Volver a La Gaceta

La Gaceta

Diario Oficial de la República de Honduras

11 diciembre 2021Edición No. 35,795

Acuerdo Administrativo

Acuerdo Administrativo No. 02-2021 — Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI)

Poder Judicial

ACUERDO ADMINISTRATIVO TSC-Nº.02-2021 CONSIDERANDO: Que el Artículo 222 reformado de la Constitución de la República de Honduras, define al Tribunal Superior de Cuentas como el ente rector del sistema de control de los recursos públicos. El Tribunal Superior de Cuentas tiene como función la fiscalización a posteriori de los fondos, bienes y recursos administrados por los poderes del Estado, instituciones descentralizadas y desconcentradas, incluyendo los bancos estatales o mixtos, la Comisión Nacional de Bancos y Seguros, las municipalidades y de cualquier otro órgano especial o ente público o privado que reciba o administre recursos públicos de fuentes internas o externas. Que en cumplimiento de su función deberá realizar el control financiero, de gestión y de resultados, fundados en la eficiencia y eficacia, economía, equidad, veracidad y legalidad. CONSIDERANDO: Que de conformidad con el Artículo 31, numeral 2, de la Ley Orgánica del Tribunal Superior de Cuentas (LOTSC), el Tribunal tiene la función administrativa de emitir las normas generales de la fiscalización interna y externa. CONSIDERANDO: Que de conformidad con el Artículo 45, numeral 9 de la Ley Orgánica del Tribunal Superior de Cuentas, el Tribunal tiene la atribución de: Supervisar y evaluar la eficacia del control interno, que constituye, la principal fuente de información para el cumplimiento de las funciones del control del Tribunal, para tal efecto debe vigilar el cuadro de cumplimiento de implementación del sistema de control interno en las entidades públicas, por parte de la Oficina Nacional de Desarrollo Integral del Control Interno (ONADICI). CONSIDERANDO: Que de conformidad al Artículo 47 de la Ley Orgánica del Tribunal Superior de Cuentas los sujetos pasivos de la Ley están obligados a aplicar bajo su responsabilidad sistemas de control interno, de acuerdo con las normas generales que emita el Tribunal. CONSIDERANDO: Que el Tribunal Superior de Cuentas mediante Acuerdo Administrativo TSC Nº.001/2009 aprobó el Marco Rector del Control Interno Institucional de los Recursos Públicos integrado por los Principios, Preceptos y Normas Generales de Control Interno. CONSIDERANDO: Que es necesario emitir el Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) tomando como referencia técnica el informe del Committee of Sponsoring Organizations of the Treadway Commission, conocido internacionalmente como informe COSO; comité que se ha dedicado a investigar sobre el control interno y la gestión de los riesgos aplicable a cualquier organización, pública o privada, con o sin fines de lucro y la directriz INTOSAI GOV 9100 que contiene la Guía para las Normas de Control Interno del Sector Público, en la que se desarrollan los cinco componentes del COSO y se recomienda que sean adaptados a las realidades del Sector Público de cada país. CONSIDERANDO: Que de conformidad al Artículo 16 del Reglamento de la Ley Orgánica del Tribunal Superior de Cuentas, establece en su literal w) Emitir las normas generales de fiscalización interna y externa. POR TANTO: EL TRIBUNAL SUPERIOR DE CUENTAS En uso de las facultades que las leyes le confieren y en aplicación del Artículo 222 de la Constitución de la República y de los Artículos 3, 4, 7 y 31 numeral 2, Artículo 47 y demás aplicables de la Ley Orgánica del Tribunal Superior de Cuentas, ACUERDA: ARTICULO PRIMERO: Aprobar y emitir el marco rector del control interno de los recursos públicos, integrado por los Componentes, Principios y Normas de Control Interno presentados en el documento titulado Marco Rector de Control Interno Institucional de los Recursos Públicos, que se adjunta a continuación: MARCO RECTOR DEL CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS PÚBLICOS (MARCI) -- 2 of 153 -- MARCO RECTOR DEL CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS PÚBLICOS (MARCI) Tabla de Contenido ACRÓNIMOS Y SINÓNIMOS ................................................................................................................. 1 CAPÍTULO I .............................................................................................................................................. 2 INFORMACIÓN GENERAL ................................................................................................................... 2 1. Introducción .................................................................................................................................... 2 2. Marco Legal ..................................................................................................................................... 4 3. Objetivos del MARCI ..................................................................................................................... 4 4. Alcance del MARCI ........................................................................................................................ 5 5. Actualizaciones ................................................................................................................................ 6 6. Estructura del Marco Rector de Control Interno ........................................................................ 6 CAPÍTULO II ............................................................................................................................................. 9 MARCO CONCEPTUAL DEL CONTROL INTERNO ........................................................................ 9 1. Definición de Control Interno ........................................................................................................ 9 2. Prevención e Identificación Oportuna de la Corrupción ........................................................... 12 3. Roles y Responsabilidades ............................................................................................................ 13 4. Atribuciones y Responsabilidades de los Organismos de Control y Regulación ..................... 15 5. Componentes y Principios ............................................................................................................ 16 6. Implementación del Control Interno ........................................................................................... 24 CAPÍTULO III ......................................................................................................................................... 26 100-00 COMPONENTE ENTORNO DE CONTROL .......................................................................... 26 PCI-TSC/110-00 Principio Integridad y Valores Éticos ................................................................... 27 NCI-TSC/111-00 Compromiso y ejemplo de las máximas autoridades y directivos con la ética y protección de los recursos públicos. ................................................................ 27 NCI-TSC/112-00 Cumplir el Código de Conducta Ética del Servidor Público y adoptar o adaptar otras normas de conducta. ............................................................................... 29 NCI-TSC/113-00 Evaluar el cumplimiento de las normas de conducta. ...................................... 30 NCI-TSC/114-00 Atención oportuna de inobservancias a la ética. .............................................. 30 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................... 31 PCI-TSC/120-00 Principio Responsabilidad de Supervisión del Funcionamiento del Control Interno .................................................................................................................................................. 31 NCI-TSC/121-00 Estructura para supervisar el funcionamiento del control interno. ................... 32 NCI-TSC/122-00 Independencia y conocimientos especializados. .............................................. 33 NCI-TSC/123-00 Corrección de deficiencias ............................................................................... 34 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................... 35 PCI-TSC/130-00 Principio Planificación en Toda la Organización ................................................ 35 NCI-TSC/131-00 La entidad establece la obligación de planificar .............................................. 36 NCI-TSC/132-00 Planes de largo, mediano y corto plazo ........................................................... 37 NCI-TSC/133-00 Monitoreo de la ejecución de los planes y sus resultados ................................ 38 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................... 39 PCI-TSC/140-00 Principio Organización, Autoridad y Responsabilidad Definidas...................... 39 NCI-TSC/141-00 Estructuras de la organización y líneas de comunicación ................................ 40 -- 3 of 153 -- NCI-TSC/142-00 Autoridad y responsabilidades definidas .......................................................................... 41 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 41 PCI-TSC/150-00 Principio Gestión de Talento Humano con Base en las Competencias Profesionales ........ 41 NCI-TSC/151-00 Políticas y procedimientos de gestión del talento humano ............................................... 42 NCI-TSC/152-00 Normas de Control Interno Detalladas de la Gestión del Talento Humano...................... 42 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 47 PCI-TSC/160-00 Principio Responsabilidad por el Control Interno y Rendición de Cuentas ....................... 47 NCI-TSC/161-00 La organización establece la responsabilidad de rendir cuentas por el funcionamiento del control interno y el logro de objetivos. .......................................................................... 48 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 49 CAPÍTULO IV ........................................................................................................................................................... 50 200-00 COMPONENTE EVALUACIÓN DE LOS RIESGOS ............................................................................ 50 PCI-TSC/210-00 Principio Objetivos Institucionales......................................................................................... 51 NCI-TSC/211-00 Alinear al plan estratégico todos los demás objetivos ...................................................... 51 NCI-TSC/212-00 Priorizar los objetivos para gestionar sus riesgos y establecer responsables de su implementación ............................................................................................................ 51 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 52 PCI-TSC/220-00 Principio Identificación, Evaluación y Respuesta a los Riesgos ........................................... 52 NCI-TSC/221-00 Involucrar a toda la organización en la gestión de los riesgos. ........................................ 53 NCI-TSC/222-00 Identificar factores de riesgo externos e internos ............................................................. 53 NCI-TSC/223-00 Evaluar y analizar los riesgos........................................................................................... 55 NCI-TSC/224-00 Respuesta a los riesgos..................................................................................................... 56 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 58 PCI-TSC/230-00 Principio Identificación, Evaluación y Análisis del Riesgo de Fraude ................................ 58 NCI-TSC/231-00 Identificar los distintos tipos de fraude y potenciales actores .......................................... 59 NCI-TSC/232-00 Evaluar los incentivos, las presiones y oportunidades ..................................................... 60 NCI-TSC/233-00 Respuesta al riesgo de fraude ........................................................................................... 61 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 63 PCI-TSC/240-00 Principio Evaluación de Cambios con Efectos en el Control Interno .................................. 63 NCI-TSC/241-00 Identificación de los cambios externos e internos ............................................................ 64 NCI-TSC/242-00 Evaluar y responder a los cambios ................................................................................... 65 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 65 CAPÍTULO V............................................................................................................................................................. 66 300-00 COMPONENTE ACTIVIDADES DE CONTROL .................................................................................. 66 PCI-TSC/310-00 Principio Diseño e Implementación de Controles para Mitigar los Riesgos .................... 67 NCI-TSC/311-00 Los controles se integran a la evaluación y gestión de los riesgos, la organización y los procesos........................................................................................................................ 67 NCI-TSC/312-00 Actividades de control de acuerdo con la organización y los procesos ............................ 68 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................................... 69 PCI-TSC/320-00 Principio Actividades de Control sobre la Tecnología para Lograr los Objetivos ............. 69 NCI-TSC/321-00 Establecer la adhesión institucional al uso de la tecnología ............................................. 69 -- 4 of 153 -- NCI-TSC/322-00 Establecer actividades de control relevantes sobre los procesos de gestión de la seguridad ......................................................................................................... 71 NCI-TSC/323-00 Establecer actividades de control relevantes sobre los procesos de adquisición, desarrollo y mantenimiento de tecnologías ...................................................... 73 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................... 75 PCI-TSC/330-00 Principio Establecimiento de Controles a través de Políticas, Procedimientos y Otros Medios ........................................................................................................................................ 75 NCI-TSC/331-00 Políticas y procedimientos para implementar actividades de control .............. 76 NCI-TSC/332-00 Controles para mitigar riesgos inherentes más frecuentes ............................... 76 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................... 92 CAPÍTULO VI ......................................................................................................................................... 93 400-00 COMPONENTE INFORMACIÓN Y COMUNICACIÓN ...................................................... 93 PCI-TSC/410-00 Principio Información Relevante y Accesible .................................................. 94 NCI-TSC/411-00 Identificación de requerimientos de información ............................................ 94 NCI-TSC/412-00 Captar datos internos y externos y transformar en información de calidad ..... 95 NCI-TSC/413-00 Archivo institucional ....................................................................................... 96 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ..................................... 97 PCI-TSC/420-00 Principio Comunicación Interna de la Información ............................................ 97 NCI-TSC/421-00 Comunicar la información a todos los niveles de la organización incluyendo líneas de comunicación independientes .......................................................... 97 NCI-TSC/422-00 Información interna mínima que se debe comunicar ....................................... 98 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ................................... 100 PCI-TSC/430-00 Principio Comunicación Externa de la Información ......................................... 100 NCI-TSC/431-00 Comunicación con la ciudadanía y otras instituciones .................................. 101 NCI-TSC/432-00 Información externa mínima que se debe comunicar .................................... 102 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ................................... 103 CAPÍTULO VII ...................................................................................................................................... 104 500-00 COMPONENTE SUPERVISIÓN............................................................................................. 104 PCI-TSC/510-00 Principio Evaluación Continua y Autoevaluación ............................................. 104 NCI-TSC/511-00 Supervisión continua ..................................................................................... 105 NCI-TSC/512-00 Autoevaluaciones........................................................................................... 106 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ................................... 107 PCI-TSC/520-00 Principio Evaluación Independiente ................................................................... 107 NCI-TSC/521-00 Evaluación independiente realizada por las unidades de auditoría interna .... 108 NCI-TSC/522-00 Evaluación independiente realizada por el TSC ............................................ 110 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ................................... 111 PCI-TSC/530-00 Principio Comunicación Oportuna de los Resultados de las Evaluaciones ..... 111 NCI-TSC/531-00 Evaluar los resultados y comunicar las deficiencias ...................................... 112 NCI-TSC/532-00 Controlar las medidas correctivas .................................................................. 113 Puntos Mínimos para la Autoevaluación y la Evaluación Independiente ................................... 113 CAPÍTULO VIII .................................................................................................................................... 114 DOCUMENTACIÓN, ARCHIVO Y PUBLICACIÓN DEL DISEÑO E IMPLEMENTACIÓN DEL CONTROL INTERNO .......................................................................................................................... 114 GLOSARIO ............................................................................................................................................ 116 -- 5 of 153 -- ACRÓNIMOS Y SINÓNIMOS COSO Committee of Sponsoring Organizations of the Treadway Commission COBIT Objetivos de Control para Tecnología de Información CPEP Comité de Probidad y Ética Pública INTOSAI Organización Internacional de Entidades Fiscalizadoras Superiores ISO Organización Internacional de Normalización ITIL Biblioteca de Infraestructura de Tecnologías de la Información MAI Máxima Autoridad Institucional MAE Máxima Autoridad Ejecutiva MARCI Marco Rector de Control Interno Institucional de los Recursos Públicos SINACORP Sistema Nacional de Control de los Recursos Públicos TSC Tribunal Superior de Cuentas TF Actividad de la USAID para la Transparencia Fiscal en Honduras LOTSC Ley Orgánica del Tribunal Superior de Cuentas CAPÍTULO I INFORMACIÓN GENERAL 1. Introducción El control interno, adecuadamente diseñado, implementado y monitoreado, es uno de los medios más eficaces para el logro de los objetivos institucionales con ética, eficiencia, economía y transparencia (en adelante logro de objetivos institucionales), así como para prevenir e identificar oportunamente errores, irregularidades y actos de corrupción. Es una de las mejores inversiones de los recursos públicos, para generar confianza en la ciudadanía, fortalecer la institucionalidad y la buena gobernanza. Para elaborar el presente Marco Rector de Control Interno Institucional de los Recursos Públicos (MARCI) se tomó como referencia técnica el informe del Committee of Sponsoring Organizations of the Treadway Commission1, conocido internacionalmente como informe COSO; el referido comité se ha dedicado a investigar sobre el control interno y la gestión de los riesgos aplicable a cualquier organización, pública o privada, con o sin fines de lucro, sin importar su complejidad, volumen de recursos y tamaño. También se consideró como referencia, la directriz INTOSAI GOV 9100 que contiene la Guía para las Normas de Control Interno del Sector Público, en la que se desarrollan los cinco componentes del COSO y se recomienda que sean adaptados a las realidades del Sector Público de cada país. En el año 2013 se publicó la última actualización del informe COSO, contemplando un enfoque basado en 17 principios inmersos en los cinco componentes 1) Ambiente de Control, 2) Evaluación o Valoración de Riesgos, 3) Actividades de Control, 4) Información y Comunicación; y 5), Monitoreo y Seguimiento; estos componentes ya se encontraban definidos en el Marco original emitido en 1992, cambiando únicamente 1. El Committee of Sponsoring Organizations of the Treadway Commission (COSO) actúa como líder del pensamiento organizacional mediante el desarrollo de marcos generales sobre control interno, gestión del riesgo empresarial y disuasión del fraude. Los principales miembros del COSO son los siguientes: American Accounting Association, American Ins- titute of Certified Public Accountants, Financial Executives Institute, Institute of Internal Auditors y Institute of Management Accountants. -- 6 of 153 -- las denominaciones de Ambiente de Control por Entorno de Control y, Monitoreo y Seguimiento por Supervisión, así como, las siguientes modificaciones: a) Se consideran los objetivos de las operaciones tanto de naturaleza financiera como no financiera, cubriendo de forma integral todos los procesos y actividades institucionales; b) No se limita a la generación y publicación de información financiera, sino que abarca la información de todas las actividades institucionales, como una práctica de la transparencia sustentada en los objetivos estratégicos y el uso de recursos tecnológicos; c) Incorpora el gobierno corporativo para elevar el nivel de responsabilidad por el funcionamiento del control interno y la gobernanza institucional; y, d) Establece la obligación de las máximas autoridades y directivos de identificar y gestionar los riesgos del fraude y de rendir cuentas por los resultados alcanzados. El Marco Rector de Control Interno emitido por el Tribunal Superior de Cuentas mediante el Acuerdo Administrativo TSC Nº.001/2009 del 5 de febrero de 2009, utilizó como base la versión del informe COSO 1992; por lo que se hace necesaria su actualización de conformidad con las modificaciones incorporadas en la versión COSO 2013; es importante indicar que este marco rector contemplaba en su estructura los capítulos de principios y preceptos de control interno, que en el presente MARCI se encuentran inmersos en las Normas de Control Interno. Para facilitar la comprensión, diseño, implementación y evaluación del control interno y principalmente para que se aprecien sus beneficios orientados al logro de los objetivos institucionales; el COSO 2013 desarrolla “79 puntos de interés” asociados a cada uno de los “5 componentes” y "17 principios". Estos puntos de interés han sido adaptados en el presente Marco Rector de Control Interno a la realidad actual del Sector Público de Honduras, denominándose Normas de Control Interno, cuya implementación debe efectuarse de manera integrada e interrelacionada para el logro de los objetivos institucionales. Es importante mencionar que se ha considerado pertinente incorporar 2 principios adicionales; en la Sección 5 “Componentes y Principios” correspondiente al Capítulo II “Marco Conceptual del Control Interno”, se profundiza más al respecto. Además del informe COSO (versión 2013) y la directriz INTOSAI GOV 9100 que contiene la Guía para las Normas de Control Interno del Sector Público, el MARCI (versión 2021) también toma como referencia lo que establecen los siguientes documentos técnicos: a) El informe COSO (versión 2017) para la gestión del riesgo empresarial; b) La norma ISO 31000 para la gestión de los riesgos; y, c) La norma ISO 37001 para la gestión antisoborno. De igual manera, el MARCI considera las buenas prácticas contenidas en normativas de control interno de varios países de América Latina que han sido actualizadas en los últimos años, a fin de que el Sector Público de Honduras cuente con normas de control interno que promuevan la ética, eficiencia, -- 7 of 153 -- eficacia, economía, transparencia y cuidado del ambiente; y, prevengan e identifiquen oportunamente irregularidades y actos de corrupción. 2. Marco Legal El MARCI se fundamenta en las siguientes disposiciones: a. El Artículo 222 de la Constitución de la República que define al Tribunal Superior de Cuentas como el Órgano Rector del Sistema de Control de los Recursos Públicos; b. La Ley Orgánica del Tribunal Superior de Cuentas (LOTSC), artículos: 2 (reformado), definición de control interno; 3, relativo a las atribuciones del TSC; 4, preeminencia normativa; 7, que atribuye al TSC la dirección, orientación, organización, ejecución y supervisión del sistema de control; 31, que otorga al TSC la facultad de emitir las normas generales de la fiscalización interna y externa; 45 reformado, por el cual el TSC tiene atribuciones para supervisar y evaluar la eficacia del control interno; 46, que establece los objetivos del control interno; 47, que dispone a los sujetos pasivos, aplicar bajo su responsabilidad, sistemas de control interno; de acuerdo con las normas generales que emita el Tribunal; c. El Reglamento General de la Ley Orgánica del Tribunal Superior de Cuentas aprobado mediante Acuerdo Administrativo TSC No. 14/2012 del 4 de septiembre de 2012 y publicado en La Gaceta No. 32.931 de 22 de septiembre de 2012; y, d. El Acuerdo Administrativo TSC No. 002/2007 del 6 de julio de 2007, que contiene el Reglamento del Sistema Nacional de Control de los Recursos Públicos (SINACORP). 3. Objetivos del MARCI El MARCI alcanzará los siguientes objetivos en las entidades sujeta al control del TSC, de acuerdo con lo que establece el artículo 5 (reformado) de su Ley Orgánica: a. Facilitar el logro de los objetivos nacionales e institucionales con ética, eficiencia, economía, cuidado del ambiente y transparencia; b. Establecer las condiciones mínimas de calidad que debe reunir el control interno de las entidades; c. Facilitar la implementación del control interno de todas las entidades, así como la autoevaluación y la evaluación independiente, con el consiguiente informe de los resultados y planes de mejora continua; d. Asegurar la uniformidad en el diseño y aplicación de los controles internos por parte de las autoridades, directivos y todos los servidores que laboran en las entidades; e. Facilitar la participación ciudadana en el ejercicio del control de los recursos públicos, mediante el acceso a información de calidad generada a través de sistemas de control interno efectivos; f. Prevenir actos de corrupción o identificarlos oportunamente, mediante el diseño e implementación de controles internos que mitiguen los riesgos de -- 8 of 153 -- errores e irregularidades, con énfasis en los procesos o áreas de mayor exposición al fraude; g. Promover una responsable rendición de cuentas por parte de las autoridades y otros servidores de las entidades, con la comparación de los planes y programas, los recursos utilizados y los resultados alcanzados, así como el funcionamiento de los controles establecidos; h. Proteger la integridad y el uso adecuado de los recursos y bienes públicos a través de la implementación de controles internos apropiados; e, i. Lograr la complementariedad del control interno con el control externo y el control social. 4. Alcance del MARCI Las disposiciones del MARCI, de forma separada o en conjunto con otras normativas de mayor y menor jerarquía, son de obligatorio cumplimiento por todos los sujetos pasivos a los que se refiere el artículo 5 de la LOTSC. Incluye no solamente a las máximas autoridades institucionales, ejecutivas y directivos, sino, a todos los servidores que participan en los procesos y actividades institucionales de cualquier naturaleza, tengan o no implicaciones financieras. También son usuarios del MARCI, aunque no tienen la condición de entidades o servidores públicos, las instituciones de educación media y superior, los colegios profesionales, los investigadores de la gestión pública, los organismos internacionales, la ciudadanía y los medios de comunicación, entre otros. El control interno debe estar presente y en funcionamiento en todos los procesos institucionales, sus objetivos se lograrán si los componentes, principios y puntos de interés que en este MARCI se denominan Normas de Control Interno; son diseñados, aplicados, evaluados y mejorados continuamente, con el liderazgo de las máximas autoridades y demás servidores de las entidades. 5. Actualizaciones El Pleno de Magistrados del TSC aprobará las modificaciones del MARCI cuando lo considere necesario. Estas modificaciones pueden originarse por cambios en la legislación relativa al control, para incorporar mejoras como resultado de sus actividades de control externo, por sugerencias de las unidades de auditoría interna y de las autoridades de las entidades; por requerimientos de la ciudadanía, por cambios en las normativas internacionales relativas al control de los recursos públicos o por cualquier otra razón calificada por el TSC. El Pleno de Magistrados determinará la Unidad Responsable dentro de la estructura del TSC, que realizará las actualizaciones del MARCI, de acuerdo con lo que establece el SINACORP referente a resultados de evaluaciones de la aplicación de las normas de control interno, mejores prácticas y estándares internacionales. 6. Estructura del Marco Rector de Control Interno El MARCI se desarrolla en ocho (8) capítulos que se identifican con los números I al VIII. -- 9 of 153 -- El Capítulo I contiene las secciones de Introducción, Marco Legal, Objetivos, Alcance, Actualizaciones y explicación de la Estructura del MARCI; en el Capítulo II se explica de manera resumida el Marco Conceptual del Control Interno, incluyendo secciones referentes a la Definición del Control Interno, Prevención e Identificación Oportuna de la Corrupción, Roles y Responsabilidades, Atribuciones y Responsabilidades de los Organismos de Control y Regulación, Componentes, Principios e Implementación del Control Interno. A partir del capítulo III hasta el VII, se desarrollan los cinco componentes del control interno mediante la explicación de la forma en que se implementan y evalúan los principios y normas de control interno. Para la identificación de los Componentes, Principios y Normas de Control Interno del presente MARCI, se ha previsto utilizar una codificación que consta de prefijos y cinco dígitos, como se explica a continuación: • Los principios se identifican con el prefijo PCI-TSC (Principio de Control Interno- Tribunal Superior de Cuentas) y las Normas de Control Interno se identifican con el prefijo NCI-TSC (Norma de Control Interno- Tribunal Superior de Cuentas); • El primer dígito identifica a cada Componente (por ejemplo, 300-00 que corresponde al Componente de Actividades de Control); • El segundo dígito identifica a cada Principio (por ejemplo, 330-00 que corresponde a Establecimiento de Controles a través de Políticas, Procedimientos y otros medios); • El tercer dígito identifica a cada Norma de Control Interno (por ejemplo, 332-00 que corresponde a Controles para mitigar riesgos inherentes más frecuentes); • Los últimos dos dígitos se utilizarán para la identificación de las subdivisiones de las Normas de Control Interno (por ejemplo, 332-01 que corresponde a Indicadores de eficiencia, eficacia y economía), por lo que mantendrán su denominación de Normas y tendrán la misma obligatoriedad de cumplimiento. • Al finalizar el desarrollo de cada principio, se incluye un cuadro denominado Puntos Mínimos para la Autoevaluación y la Evaluación Independiente, sin ninguna codificación. Los puntos de esta sección detallan las políticas, normativas, procesos, procedimientos y otros medios de control que deben ser aprobados formalmente por la autoridad competente, difundidos y aplicados como fueron establecidos. Estos puntos constituyen los criterios mínimos para las autoevaluaciones y las evaluaciones independientes; no obstante, estos podrían adecuarse a las características de cada institución. En resumen, el MARCI tiene un total de 104 elementos distribuidos en 5 componentes, 19 principios y 80 normas de control interno cuya codificación se detalla en el siguiente cuadro; todos los componentes, principios y normas de control interno se tratarán en detalle en los capítulos III al VII. -- 10 of 153 -- En resumen, el MARCI tiene un total de 104 elementos distribuidos en 5 componentes, 19 principios y 80 normas de control interno cuya codificación se detalla en el siguiente cuadro; todos los componentes, principios y normas de control interno se tratarán en detalle en los capítulos III al VII. CAPÍTULO NOMBRE DEL COMPONENTE CODIFICACIÓN COMPONENTE PRINCIPIOS NORMAS III COMPONENTE ENTORNO DE CONTROL 100-00 PCI-TSC/110-00 PCI-TSC/120-00 PCI-TSC/130-00 PCI-TSC/140-00 PCI-TSC/150-00 PCI-TSC/160-00 NCI-TSC/111-00 a la 114-00 NCI-TSC/121-00 a la 123-00 NCI-TSC/131-00 a la 133-00 NCI-TSC/141-00 a la 142-00 NCI-TSC/151-00 a la 152-00 NCI-TSC/161-00 IV COMPONENTE EVALUACIÓN DE LOS RIESGOS 200-00 PCI-TSC/210-00 PCI-TSC/220-00 PCI-TSC/230-00 PCI-TSC/240-00 NCI-TSC/211-00 a la 212-00 NCI-TSC/221-00 a la 224-00 NCI-TSC/231-00 a la 233-00 NCI-TSC/241-00 a la 242-00 V COMPONENTE ACTIVIDADES DE CONTROL 300-00 PCI-TSC/310-00 PCI-TSC/320-00 PCI-TSC/330-00 NCI-TSC/311-00 a la 312-00 NCI-TSC/321-00 a la 323-00 NCI-TSC/331-00 a la 332-00 VI COMPONENTE INFORMACIÓN Y COMUNICACIÓN 400-00 PCI-TSC/410-00 PCI-TSC/420-00 PCI-TSC/430-00 NCI-TSC/411-00 a la 412-00 NCI-TSC/421-00 a la 422-00 NCI-TSC/431-00 a la 432-00 VII COMPONENTE SUPERVISIÓN 500-00 PCI-TSC/510-00 PCI-TSC/520-00 PCI-TSC/530-00 NCI-TSC/511-00 a la 512-00 NCI-TSC/521-00 a la 522-00 NCI-TSC/531-00 a la 532-00 En el Capítulo VIII se describen los documentos mínimos del diseño, implementación y evaluación del control interno que los sujetos pasivos de la LOTSC deben generar, conservar y publicar. CAPÍTULO II MARCO CONCEPTUAL DEL CONTROL INTERNO La definición, los objetivos, las etapas del proceso de implementación y la documentación que se origina en cada componente del control interno; así como su evaluación, se presentan de manera resumida en este capítulo, a fin de que, los usuarios de este MARCI conozcan los beneficios del control interno en funcionamiento, para lograr una gestión pública ética, eficiente, eficaz, económica, transparente; y, con cuidado del ambiente. 1. Definición de Control Interno De acuerdo al Artículo 2 de la LOTSC, el Control Interno “es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las entidades públicas y privadas, con el propósito de asistir a los servidores públicos en la prevención de infracciones a las leyes y la ética, con motivo de su gestión y administración de los bienes nacionales. El control interno comprende las acciones de Control Preventivo, concurrente y posterior, que realiza la entidad sujeta a control con el fin de que la gestión de sus recursos, bienes y operaciones se ejecute correcta y eficientemente”. La siguiente, es la definición contenida en el Informe COSO (versión 2013): -- 11 of 153 -- infracciones a las leyes y la ética, con motivo de su gestión y administración de los bienes nacionales. El control interno comprende las acciones de Control Preventivo, concurrente y posterior, que realiza la entidad sujeta a control con el fin de que la gestión de sus recursos, bienes y operaciones se ejecute correcta y eficientemente.” La siguiente, es la definición contenida en el Informe COSO (versión 2013): “Un proceso efectuado por el consejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos relativos a: • Eficacia y eficiencia en las operaciones • Fiabilidad de la información • Cumplimiento de las leyes y normas” En el caso de las instituciones que no cuentan con un consejo de administración u otro cuerpo colegiado como su máxima autoridad institucional, se entenderá que esta responsabilidad será ejercida por la máxima autoridad unipersonal, de acuerdo con la estructura organizacional de cada entidad, como se explica con mayor detalle en la sección Roles y Responsabilidades de este capítulo. Asimismo, con base en esta definición, para efectos del diseño, implementación y evaluación del control interno en el Sector Público de Honduras, deben considerarse los siguientes aspectos: En el caso de las instituciones que no cuentan con un consejo de administración u otro cuerpo colegiado como su máxima autoridad institucional, se entenderá que esta responsabilidad será ejercida por la máxima autoridad unipersonal, de acuerdo con la estructura organizacional de cada entidad, como se explica con mayor detalle en la sección Roles y Responsabilidades de este capítulo. Asimismo, con base en esta definición, para efectos del diseño, implementación y evaluación del control interno en el Sector Público de Honduras, deben considerarse los siguientes aspectos: 1.1. Características del Control Interno a. Debe ser un proceso permanente, dinámico e interactivo que conste de actividades y tareas que se integren en todos los procesos institucionales para el logro de sus objetivos; b. Debe ser realizado por personas que asuman responsabilidades de acuerdo con la autoridad asignada dentro de la organización, empezando por los de mayor jerarquía que deben liderar el diseño, implementación, evaluación y actualizaciones permanentes del control interno; c. Debe involucrar a todos los miembros de la organización porque cada uno tiene algún grado de participación y responsabilidad en el logro de los objetivos institucionales; d. Brinda una seguridad razonable pero no absoluta, de los efectos del control interno en el logro de los objetivos institucionales y la salvaguarda de sus recursos contra el uso indebido o irregular; e. Reconoce que existen limitaciones en la efectividad del control interno que deben gestionarse de manera adecuada y oportuna, puesto que pueden existir errores en su diseño e implementación o irregularidades provocadas por la actitud de las personas, tales como la colusión entre partes interesadas, internas y externas, y; otros hechos imprevisibles; y, f. Se debe adaptar a la estructura, tamaño, complejidad y recursos de las instituciones; asegurando que la -- 12 of 153 -- efectividad del control guarde relación con los costos de su funcionamiento. 1.2. Resultados que Promueve el Control Interno Para que las entidades produzcan bienes y presten servicios públicos de acuerdo con lo previsto, el control interno debe promover los siguientes aspectos: Ética: Actitud permanente de los servidores públicos para cumplir sus obligaciones con responsabilidad, esmero, rectitud y demás valores morales aceptados por la sociedad; constituye la base principal en que se fundamenta el control interno institucional de los recursos públicos. Eficiencia: Velar porque la entidad obtenga la máxima productividad de los recursos humanos, materiales, financieros, tecnológicos y de tiempo que le han sido confiados, para el logro de los objetivos institucionales. Eficacia: Cumplimiento de las metas y los objetivos previstos. Permite determinar si los resultados obtenidos tienen relación con los objetivos y con la satisfacción de las necesidades de la ciudadanía y otros grupos de interés, internos y externos. Economía: Austeridad y mesura en los gastos e inversiones públicas, en condiciones de calidad, cantidad y oportunidad requeridas. Cuidado del Ambiente: Responsabilidad que tienen las instituciones públicas y sus servidores en la preservación, conservación, renovación y mejoramiento del medio ambiente. Transparencia: Publicación constante y oportuna de información de calidad, para facilitar el control social y el conocimiento de la gestión por parte de todos los grupos de interés. 1.3. Criterios Relacionados con la Fiabilidad de la Información El control interno promoverá que a través de los procesos, el uso de la tecnología y de otros medios; las entidades provean a usuarios internos y externos, información financiera y no financiera de calidad. Se entenderá como información de calidad aquella que sea: completa, veraz, oportuna, útil, comparable, accesible, verificable, originada en procesos institucionales; y, con la identificación de los responsables de su elaboración, revisión y aprobación. 1.4. Objetivos Relativos al Cumplimiento de Leyes y Normas Las disposiciones contenidas en la Constitución, las leyes y demás normativa aplicable debe estar inmersa en el diseño de los controles internos de los procesos y actividades institucionales; en este sentido la difusión apropiada, capacitación, supervisión continua y las evaluaciones independientes, garantizarán de manera razonable su cumplimiento. 1.5. Otros Objetivos Implícitos del Control Interno Además de la promoción de la ética, economía, eficiencia, eficacia, fiabilidad de la información y el cumplimiento de -- 13 of 153 -- leyes y normas; el control interno provee una seguridad razonable de que se alcancen los siguientes objetivos: a. Proteger los recursos públicos contra pérdida, deterioro, despilfarro, uso indebido, irregular o ilegal; b. Prevenir actos de corrupción o identificarlos oportunamente, mediante la implementación efectiva de controles internos previos, concurrentes y posteriores en todos los procesos; la vigilancia de su aplicación por parte de las autoridades y la adopción de acciones correctivas oportunas cuando se detecten infracciones a las leyes y la ética en la gestión pública; y, c. Facilitar la coordinación interna y externa para la aplicación de los controles internos en las entidades públicas. 2. Prevención e Identificación Oportuna de la Corrupción En cumplimiento de los artículos 31 numeral 12; 37 numerales 4 y 6; 69 y 71, de la LOTSC y otras normas aplicables; las máximas autoridades de las entidades sujetas al control del TSC con la participación de directivos y todos los servidores, deberán establecer controles institucionales que prevengan e identifiquen oportunamente actos de corrupción, permitan la aplicación de sanciones y otras acciones correctivas. Para prevenir e identificar oportunamente la corrupción deben funcionar de manera sistemática todos los componentes, principios y normas de control interno que establece este MARCI, empezando por aquellos controles generales relativos al entorno del control, hasta llegar a los controles más específicos. Las actividades expuestas a mayor riesgo de errores e irregularidades por su naturaleza y por los recursos que utiliza, tales como: las contrataciones de bienes, su manejo y administración; servicios, la construcción de obras, la gestión del talento humano, las concesiones, los fideicomisos, las Alianzas Público Privadas (APP), las exoneraciones, el establecimiento de costos de bienes y servicios, la recaudación de ingresos, entre otros; requieren la atención responsable de las máximas autoridades de las instituciones en el diseño, implementación, evaluación y actualización de los controles internos para prevenir e identificar oportunamente la corrupción, tales como los siguientes: a. Los controles previos que son aquellos que permiten evitar que las actividades se ejecuten sin cumplir con los requisitos establecidos, a fin de identificar a tiempo eventos que pueden producir pérdidas o el incumplimiento a las normativas u otros criterios establecidos. Los controles previos generalmente se establecen en leyes, reglamentos y otras normativas que deben ser consideradas en el diseño de procesos y procedimientos como requisitos que deben cumplirse para cada actividad y tarea. Estos controles son mucho más efectivos cuando se utiliza la tecnología para cada fase de los procesos, sin su cumplimiento previo, no se puede continuar con el siguiente. Como ejemplos de control previo pueden citarse: el software de seguridad informática, que impide los accesos no autorizados a los aplicativos y otras herramientas tecnológicas; los requisitos para -- 14 of 153 -- los precompromisos, compromisos, devengado y pago, durante la ejecución presupuestaria. b. Los controles concurrentes se aplican durante la ejecución de las operaciones, antes de concluir el proceso. Están relacionadas con las atribuciones y responsabilidades inherentes a quienes dirigen las áreas o unidades encargadas de los procesos. Los controles concurrentes son también denominados controles directivos y están diseñados para asegurar que un resultado particular está siendo alcanzado, por ejemplo, la supervisión directa sobre la ejecución de un proceso o actividad. Complementan los controles preventivos y se diferencian de éstos por el momento de su aplicación, aclarando que en su conjunto actúan como frenos para prevenir e identificar oportunamente actos de corrupción. c. Los controles internos posteriores se realizan luego que la actividad o tarea ha sido ejecutada, para comprobar de manera independiente que se ha cumplido con los requisitos establecidos; y, emprender acciones correctivas en caso de determinarse que la transacción no ha cumplido con los objetivos de control previstos. Las constataciones físicas de los bienes para determinar su existencia, condiciones de uso y mantenimiento, control de los vencimientos y caducidades, arqueos del efectivo, inversiones en valores, de los documentos por cobrar y garantías recibidas; son controles posteriores más comunes. También, son controles posteriores los que verifican el cumplimiento de las normativas, las metas, los objetivos establecidos en los planes y la rendición de cuentas. Estas acciones, para que sean efectivas deben ser oportunas, esto es, dentro de los períodos más cortos posibles después de realizadas las operaciones y como se mencionó antes, ser ejecutadas preferentemente en línea mediante el uso de la tecnología. d. El control social es otro medio para prevenir y combatir la corrupción a través de ciudadanos preparados e informados, así como de organizaciones sociales con capacidad para analizar e investigar la gestión pública por medio del acceso a la información de calidad, sin más restricciones que las que establezca de manera expresa la Ley. Las autoridades de las entidades tienen la obligación de generar información accesible y de calidad para que la ciudadanía pueda ejercer el derecho de conocer de manera oportuna, la forma en que se utilizan los recursos públicos. La periodicidad, cantidad y profundidad de cada uno de estos controles, deben estar vinculados con los riesgos identificados, evaluados y valorados. Por tanto, no se debe generalizar su aplicación, sino ajustarla a la medida de cada entidad y proceso. 3. Roles y Responsabilidades El proceso de control interno institucional como elemento del SINACORP, está bajo la rectoría permanente del TSC; para asegurar de manera razonable la uniformidad en el desarrollo y aplicación de los componentes, principios y normas de control interno. -- 15 of 153 -- La responsabilidad por el funcionamiento del control interno corresponde a las máximas autoridades institucionales y ejecutivas, los directivos y todos los servidores de las entidades a las que se refiere el artículo 5 de la LOTSC. En este sentido, el funcionamiento del control interno es responsabilidad de las siguientes autoridades y servidores, con el alcance que se explica al final de esta sección: a. Los Presidentes de los Poderes del Estado: Legislativo, Ejecutivo y Judicial; b. La Máxima Autoridad Institucional (MAI) que estará representada por el Consejo de Administración, el Directorio, la Corporación Municipal u otro cuerpo colegiado que dirige las entidades, con las facultades establecidas en las disposiciones de su creación; c. La Máxima Autoridad Ejecutiva (MAE), tales como el Fiscal General, Procurador General; los Secretarios de Estado, Gerentes Generales, Alcaldes y otros que representen legalmente a las entidades. En caso de entidades con una sola autoridad, como las Secretarías de Estado; se entenderá como máxima autoridad institucional a la misma autoridad ejecutiva, en cuyo caso, tiene la principal responsabilidad por el diseño, implementación, supervisión y actualización del control interno; d. Los directivos cualquiera que sea su denominación de acuerdo con la estructura de la entidad y que sigan en el orden jerárquico, después de la máxima autoridad ejecutiva (MAE); tienen la responsabilidad de supervisar el funcionamiento de los procesos y los controles establecidos, así como de sugerir a la máxima autoridad, las actualizaciones que corresponda; e. Todos los sujetos pasivos a los que se refiere el Artículo 5 de la LOTSC de acuerdo con la responsabilidad que se asigna a cada cargo; f. Los auditores internos, en materia de control interno tienen la responsabilidad de asesorar, evaluar de manera continua la efectividad de dicho sistema y elaborar los informes con los resultados obtenidos; y, g. Los Comités de Probidad y Ética Pública (CPEP) y otros comités relacionados con el sistema de control de los recursos públicos, que asumirán la responsabilidad de acuerdo con lo que establece la norma de su creación y las disposiciones del TSC. Las autoridades enunciadas en los incisos a, b y c son las que se ubican en el primer frente de responsabilidad en el funcionamiento del sistema de control interno; los directivos de nivel superior y el personal señalados en los literales d y e, son el segundo frente de responsabilidad para el funcionamiento del control interno; el tercer frente, es la unidad de auditoría interna que consta en el literal f. Los que constan en el inciso g, asumirán los roles y responsabilidades que se establezcan en las disposiciones legales, en los documentos de su creación, lo que determine el TSC y este MARCI para la implementación del control interno. Las autoridades y demás servidores que tienen que cumplir obligaciones en los procesos de implementación, evaluación, aplicación de acciones correctivas, actualización -- 16 of 153 -- y en general, todas aquellas relacionadas con el adecuado funcionamiento del control interno; serán sujetos de responsabilidad administrativa, sin perjuicio de otros tipos de responsabilidades de acuerdo con la LOTSC y otras normativas aplicables, por la existencia de deficiencias de control interno. 4. Atribuciones y Responsabilidades de los Organismos de Control y Regulación Con fundamento en lo que se establece en el artículo 40 de la LOTSC relativo a la coordinación con organismos de control del sector financiero, los órganos de regulación y cualquier otro ente público con facultades de control y lo dispuesto en el Acuerdo Administrativo TSC No. 002/2007 con el que se crea y se establece el funcionamiento del SINACORP; las autoridades que dirigen instituciones reguladoras y de control de la gestión pública, deben emitir normas específicas de control interno como las que se describen a continuación, tomando como base sus competencias legales y bajo la rectoría del TSC mediante la utilización del enfoque del presente MARCI. Las autoridades de las entidades que regulan los siguientes procesos, deberán emitir normas específicas de control interno de acuerdo con sus competencias legales, mediante la utilización del enfoque del presente MARCI: a. Normas de control interno para la elaboración y seguimiento de la planificación estratégica institucional, los planes operativos y otros planes; b. Normas de control interno para la gestión por procesos; la información y los documentos de soporte que deben publicar las instituciones por cada uno de los procesos y actividades, señalando contenido, periodicidad y la identificación de las personas que participaron en su elaboración, revisión y aprobación; c. Normas de control interno para los procesos de la gestión presupuestaria de Tesorería, Contabilidad, Bienes Nacionales, Fideicomisos, Exoneraciones, Deuda Pública, Remuneraciones y de otros procesos de la gestión financiera pública; d. Normas de control interno para la planificación y ejecución de los procesos: precontractual, contractual, ejecución y liquidación para todas las modalidades de adquisiciones y contrataciones que establece la Ley de Contratación del Estado, su Reglamento y otras normativas; con énfasis en la transparencia de dichos procesos mediante la publicación de la información y documentación que permita el control social y de las instituciones de control, para que sea posible realizar análisis y revisiones en línea; e. Normas para la implementación detallada de cada componente del control interno y la información sobre su funcionamiento; y, f. Normas de control interno para cada fase de la administración del talento humano, desde la planificación de las necesidades de personal hasta su desvinculación, con énfasis en la competencia profesional. Para determinar los controles específicos para cada etapa o fase de los procesos, se debe realizar la gestión de los riesgos con base en lo que establece este MARCI y otras disposiciones aplicables emitidas por organismos competentes. -- 17 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) 5. Componentes y Principios El MARCI se desarrolla de forma consistente con el Informe COSO (versión 2013) a través de los cinco componentes: 100-00 Entorno de Control, 200-00 Evaluación de los Riesgos, 300-00 Actividades de Control, 400-00 Información y Comunicación; y, 500-00 Supervisión, que se describen en los capítulos III al VII. Cada uno de estos componentes tiene sus respectivos principios que guían su implementación. Estos principios a su vez tienen normas de control interno que se aplican mediante políticas, regulaciones, procedimientos, instructivos, y otras disposiciones para la implementación y funcionamiento del control interno como un sistema integrado para el cumplimiento de los objetivos institucionales, así como, la protección de los recursos públicos contra daños, pérdidas o uso indebido. Todos los componentes, principios y normas de control interno deben interrelacionarse para que surtan efecto y se considere que el control interno está en funcionamiento. Se considera pertinente aclarar que el Informe COSO (versión 2013) tiene 17 principios, no obstante, en este MARCI se consideró necesario agregar dos para llegar a 19, como se explica a continuación:  Se incluyó el principio Planificación en toda la Organización en el Componente Entorno de Control, ya que el informe COSO no lo desarrolla, a pesar de que es la base para que las instituciones establezcan objetivos que guíen sus actividades; y,  También se incluyó el principio Evaluación Independiente en el Componente Supervisión, ya que el informe COSO (versión 2013) desarrolla en un solo principio la Supervisión Continua y la Evaluación Independiente, que son dos acciones que se complementan pero que tienen diferentes enfoques y ejecutores. Se consideró necesario destacar que las evaluaciones independientes deben ser realizadas por las Unidades de Auditoría Interna y el TSC, y que el autocontrol o autoevaluación es responsabilidad de cada entidad, de acuerdo con su organización. En el siguiente cuadro, se presentan los cinco componentes y los 19 principios del MARCI, que, al funcionar de manera interrelacionada, permiten el logro de los objetivos institucionales: OBJETIVOS INSTITUCIONALES 100-00 ENTORNO DE CONTROL 200-00 EVALUACIÓN DE LOS RIESGOS 300-00 ACTIVIDADES DE CONTROL 400-00 INFORMACIÓN Y COMUNICACIÓN 500-00 SUPERVISIÓN -- 18 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Cada componente debe ser implementado y documentado de la forma en que se describe a continuación. Es importante mencionar que en los capítulos III al VII, se brindan mayores detalles a través de Normas de Control Interno para cada principio. 5.1. Componente Entorno de Control El Componente Entorno de Control establece la filosofía de una organización y tiene influencia acerca del control en la conciencia de todo el personal. Es el fundamento para todos los componentes de control interno, porque genera disciplina y estructura. En la implementación de este componente tienen una fuerte participación las máximas autoridades como primera línea de responsabilidad del control interno, puesto que tienen que liderar la elaboración, difusión, aplicación, supervisión y mejoramiento de la lista no limitativa de los siguientes documentos; que constituyen el fundamento para el funcionamiento integral del sistema de control interno y son la base para la implementación de los otros componentes: ENTORNO DE CONTROL ACTIVIDADES DE CONTROL 1. Integridad y Valores Éticos 2. Responsabilidad de Supervisión del Funcionamiento del Control Interno 3. Planificación en Toda la Organización 4. Organización, Autoridad y Responsabilidad Definida 5. Gestión del Talento Humano con Base en las Competencias Profesionales 6. Responsabilidad por el control interno EVALUACIÓN DE LOS RIESGOS 7. Objetivos Institucionales 8. Identificación, Evaluación y Respuesta a los Riesgos 9. Identificación, Evaluación y Análisis del Riesgo de Fraude 10. Evaluación de Cambios con Efectos en el Control Interno 11. Diseño e Implementación de Controles para Mitigar los Riesgos 12. Actividades de Control sobre la Tecnología para Lograr los Objetivos 13. Establecimiento de Controles a Través de Políticas, Procedimientos y Otros Medios INFORMACIÓN Y COMUNICACIÓN 14. Información Relevante y Accesible 15. Comunicación Interna de la Información 16. Comunicación Externa de la Información SUPERVISIÓN 17. Evaluación Continua y Autoevaluación 18. Evaluación Independiente 19. Comunicación Oportuna de Resultados de las Evaluaciones COMPONENTES Y PRINCIPIOS DEL MARCO RECTOR DEL CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS PÚBLICOS (MARCI) Cada componente debe ser implementado y documentado de la forma en que se describe a continuación. Es importante mencionar que en los capítulos III al VII, se brindan mayores detalles a través de Normas de Control Interno para cada principio. 5.1. Componente Entorno de Control El Componente Entorno de Control establece la filosofía de una organización y tiene influencia acerca del control en la conciencia de todo el personal. Es el fundamento para todos los componentes de control interno, porque genera disciplina y estructura. En la implementación de este componente tienen una fuerte participación las máximas autoridades como primera línea de responsabilidad del control interno, puesto que tienen que liderar la elaboración, difusión, aplicación, supervisión y mejoramiento de la lista no limitativa de los siguientes documentos; que constituyen el fundamento para el funcionamiento integral del sistema de control interno y son la base para la implementación de los otros componentes: a. Las políticas institucionales; b. El Código de Conducta Ética del Servidor Público y otras normas de ética especificas emitidas de la institución; c. Creación y funcionamiento del Comité de Probidad y Ética Pública (CPEP) e informes de las acciones realizadas; d. La planificación estratégica e informes de monitoreo; e. Planes operativos, presupuesto, planes de compras e informes de ejecución; -- 19 of 153 -- f. La organización institucional basada en la gestión por procesos o cualquier otra metodología seleccionada que generan, entre otros: organigramas, macroprocesos, procesos, actividades, con base en las entradas y salidas de información; g. El sistema para la gestión del talento humano desde la planificación de las necesidades de personal hasta su desvinculación; de cuya aplicación se originarán reglamentos, manuales, expedientes, informes de cumplimiento y otros; y, h. La rendición de cuentas mediante la cual los servidores públicos respondan o den cuenta de la forma y resultados de su gestión. 5.2. Componente Evaluación de los Riesgos. Sobre la base de los objetivos establecidos en la planificación estratégica, operativa y otros planes, así como en los macroprocesos y procesos que deben estar alineados entre sí, se deben implementar estrechamente vinculados los componentes Evaluación de los Riesgos y Actividades de Control, con sus respectivos principios y las normas de control interno. Se entiende por riesgo la probabilidad de ocurrencia de eventos no deseados que podrían afectar adversamente el logro de los objetivos; y, por control, las normativas, políticas, procedimientos, instructivos y otras acciones ordenadas que deben implementar las autoridades y directivos para mitigar los riesgos. Por tanto, la gestión de los riesgos es el proceso que permite a las entidades lograr los objetivos institucionales, con su menor exposición a riesgos de errores o irregularidades. En esta fase, los directivos deben comunicar por escrito a la máxima autoridad, los riesgos que están dispuestos a aceptar frente al logro de los objetivos, así como los niveles de tolerancia o variación permitidos. Para estas decisiones deben considerar que, a más altos objetivos, mayores serán los riesgos aceptados. También debe quedar claro que, en el proceso de gestión de los riesgos, es necesaria la intervención de los servidores que participan de las diferentes fases de los procesos, ya que son quienes conocen su funcionamiento y deben orientar el desarrollo de dicha gestión. Su participación tiene varios beneficios, como su involucramiento en el establecimiento de los controles, lo que evita que sean percibidos como imposiciones de las autoridades y directivos y además, se convierten en medios de difusión y agentes de los cambios. En el siguiente gráfico se presenta el proceso de la gestión de los riesgos destacando que los objetivos institucionales son las entradas al proceso y los planes de mitigación, son las salidas o resultados: Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) las autoridades y directivos y además, se convierten en medios de difusión y agentes de los cambios. En el siguiente gráfico se presenta el proceso de la gestión de los riesgos destacando que los objetivos institucionales son las entradas al proceso, y los planes de mitigación, son las salidas o resultados: a. Identificación de eventos externos e internos. Como se explicó antes, el insumo para la gestión de los riesgos son los objetivos institucionales. Por cada uno de los objetivos seleccionados y con la participación directa Identificación de Eventos Evaluación y Categorización de los Riesgos Análisis de los Riesgos y Riesgo Residual Respuesta a los Riesgos Objetivos institucionales Planes de Mitigación -- 20 of 153 -- a. Identificación de eventos externos e internos. Como se explicó antes, el insumo para la gestión de los riesgos son los objetivos institucionales. Por cada uno de los objetivos seleccionados y con la participación directa de las personas que intervienen en los procesos, se realiza la identificación y descripción de eventos o riesgos externos e internos. En este proceso los directivos que siguen en jerarquía a la MAE, juegan un papel muy importante y asumen la responsabilidad de revisarlos, antes de someter a la aprobación de las autoridades, dentro de los grados de competencia, con relación a los procesos. Los eventos externos más comunes pueden ser políticos, económicos, sociales, naturales y tecnológicos. Los eventos internos más comunes están relacionados con las personas (competencias y actitudes), los recursos financieros, la infraestructura y la tecnología. Sobre los eventos externos la organización no tiene la posibilidad de realizar gestión alguna, pero debe tener suficiente información para analizarlos, porque influyen en la selección de las estrategias para los objetivos institucionales; en cambio, sobre los eventos internos, las autoridades y los directivos de las entidades deben gestionarlos para determinar la forma de mitigarlos o tomar otras decisiones. En todo este proceso de evaluación de los riesgos, la MAI, la MAE y los directivos tienen la obligación de estar informados sobre los cambios internos y externos que pueden afectar el control interno, como modificaciones en los planes, procesos, la organización, la legislación, las políticas laborales o ambientales y otras; para lo cual se deben asignar los recursos y responsables. Frente a los cambios, la administración debe incluir un análisis de los riesgos de manera oportuna para establecer a tiempo los medios para su mitigación. Por cada uno de los eventos internos identificados, la administración debe preparar una clara descripción y establecer las causas, los efectos y dónde se originan; así como, documentarlos identificando a quienes elaboraron, revisaron y aprobaron. b. Evaluación de los riesgos. Con base en los eventos internos identificados, se evalúa el riesgo inherente, esto es, el riesgo que siempre estará presente por la naturaleza de las operaciones haya o no controles establecidos por la entidad. Por ejemplo, el riesgo inherente en la administración del efectivo es que haya pérdida o dinero falsificado. En la administración de medicinas o de alimentos, los riesgos inherentes serán la pérdida de estos bienes, la caducidad o el vencimiento. Estos riesgos siempre estarán presentes por las características propias de esta actividad, por lo que se deben establecer los controles para su mitigación, de acuerdo con las necesidades de cada entidad. Para procesos muy complejos, se debe considerar la participación de especialistas en todo el proceso de gestión de los riesgos y el establecimiento de los controles correspondientes. Esta evaluación del riesgo inherente se realiza considerando las probabilidades e impactos, así como otros criterios como la rapidez con la que se presentan y su permanencia en el -- 21 of 153 -- tiempo. Para la calificación de las probabilidades e impactos u otros criterios, puede utilizarse modelos matemáticos, principalmente en entidades que cuentan con información histórica y los recursos para asumir los costos de estas actividades. Si no es posible aplicar modelos matemáticos por falta de información o porque implican costos muy altos, se establecerán mediante criterios cualitativos a través de encuestas, entrevistas, reuniones de trabajo, análisis de los procesos, datos de pérdidas ocurridas, siniestros u otros acontecimientos. Una combinación de los dos métodos es una alternativa a considerar. La evaluación de los riesgos puede dar como resultado categorizaciones del riesgo como Alto, Medio o Bajo (u otras categorías como muy alto, alto, medio, bajo o muy bajo dependiendo de la metodología que haya desarrollado la entidad). La categorización se obtiene de combinar la calificación de las probabilidades con la calificación de los impactos, por ejemplo, si la probabilidad y el impacto se califican como altos, la categoría del riesgo es alta, y así con los resultados de todas las combinaciones posibles establecidas en la metodología. Estos resultados deben presentarse en mapas o matrices de riesgos para facilitar su análisis y la toma de decisiones por parte de las autoridades y directivos. c. Análisis de los riesgos y riesgo residual. Con base en los resultados de la evaluación de los riesgos, se procede a analizar los controles existentes y en funcionamiento para cada riesgo. El efecto de los controles en funcionamiento sobre los riesgos se denomina riesgo residual, esto es, el riesgo que permanece luego de determinar la eficacia de los controles en funcionamiento. Para que un control se entienda que está en funcionamiento, éste debe ser establecido oficialmente por acto administrativo de la autoridad competente; ser difundido mediante capacitaciones, publicaciones u otros medios, estar aplicándose como fue diseñado, haber sido evaluada su aplicación; y, adoptado las acciones para la mejora continua. Como resultado de este análisis, la categorización de los riesgos inherentes puede mantenerse como alta, media o baja, o modificarse hacia abajo si los controles disminuyen la probabilidad y/o el impacto; de esta forma se tendrá un nuevo mapa de riesgos revisado, que será sometido a la aprobación de la autoridad competente, para la adopción de decisiones que se documentarán en un plan de mitigación de riesgos. Este MARCI considera que cada entidad o grupo de entidades similares o de un mismo Poder del Estado pueden diseñar métodos para la gestión de los riesgos para que sean aplicados de manera uniforme. También es recomendable que se realicen capacitaciones sobre la aplicación de las metodologías con la participación de autoridades, directivos y otro personal relacionado con las actividades de la institución, para que se convierta en una práctica generalizada y de fácil aplicación. d. Respuesta a los riesgos. Con base en los resultados de la evaluación de los riesgos inherentes, las entidades pueden adoptar las siguientes decisiones dependiendo de los costos probables de su -- 22 of 153 -- gestión; considerando que los riesgos de categoría de baja posiblemente no requieran de acciones adicionales de control; estas decisiones se desarrollan más ampliamente en la Norma de Control Interno 224-00 sobre la Respuesta a los Riesgos: a) Aceptar los riesgos; b) Mitigar o disminuir los riesgos; c) Compartir los riesgos con otros organismos públicos o privados; y, d) Evitar los riesgos que no pueden ser gestionados. Estas decisiones deben constar por escrito en la matriz de riesgos u otros documentos, con las firmas de responsabilidad de quienes tomaron las decisiones, con base en el proceso de evaluación de los riesgos que se ha llevado a cabo. 5.3. Componente Actividades de Control Como se explicó antes, los controles se establecen para mitigar los riesgos evaluados y analizados en el Componente Evaluación de los Riesgos, cuya información y documentación sirve de base para el desarrollo de este componente. Para los riesgos que no tengan controles en funcionamiento, porque no se han establecido o porque no están aplicándose adecuadamente, se deben diseñar controles mediante políticas, normativas, procedimientos, instructivos u otros medios, que deben estar contenidos en un plan de mitigación que tendrán como mínimo la siguiente información: objetivo, descripción del riesgo, categoría del riesgo después de determinar el efecto de los controles, controles establecidos, responsable de la implementación, fecha de inicio y finalización, recursos e indicadores. Un procedimiento similar al descrito debe aplicarse para la gestión de los riesgos al fraude, con la diferencia de que se dirige hacia procesos, que, por su naturaleza, están mayormente expuestos a irregularidades o actos de corrupción. Todas las actividades realizadas en los procesos descritos deben estar documentadas y registrados los datos de quienes elaboran, revisan y aprueban, ya que cada una de estas personas asume las responsabilidades, de acuerdo con su nivel de autoridad. Los controles sobre tecnología de la información para los procesos de adquisición, desarrollo, mantenimiento y otros deben ser desarrollados con la participación de especialistas, destacando que las instituciones con alta dependencia tecnológica y grandes bases de datos deben establecer procesos de control y seguridad más rigurosos a los que se establezcan para otras entidades, de acuerdo con el volumen de sus operaciones. Como se ha mencionado antes, es recomendable la incorporación de controles automatizados, en todos los procesos, para lograr mayor agilidad y objetividad; así como, la generación de informes en línea para usuarios internos y externos. Sobre la base de los riesgos más comunes, principalmente relacionados con los procesos de apoyo, este MARCI explicará el funcionamiento de controles básicos, que las -- 23 of 153 -- entidades deben tomar en cuenta para establecer sus propios controles como respuesta a los riesgos analizados. 5.4. Componente Información y Comunicación El componente Información y Comunicación determina la obligación que tienen las autoridades y directivos de poner al alcance de la ciudadanía, de los organismos de control y de otras instituciones públicas y privadas, así como de su propio personal, informes y documentos que puedan ser utilizados sin más restricciones, que las que establecen las leyes y de acuerdo con los procedimientos formalmente establecidos. El desarrollo de este componente debe observar las disposiciones legales y otras normativas relacionadas con la transparencia y acceso a la información pública, que internacionalmente es considerada como un derecho de la ciudadanía. Sin embargo, siempre y cuando no existan restricciones legales, no debe limitarse a lo que disponen dichos lineamientos, ya que son de tipo general y no abarcan todas las necesidades de información específica que cada institución debe publicar, para llegar a ser transparente con sus grupos de interés, principalmente con la ciudadanía. Por tanto, la MAI de cada entidad, deberá establecer políticas internas de transparencia para que se consideren en el diseño de los procesos y la generación de información para uso interno y externo, con énfasis en la información de sus actividades misionales que reflejan la razón de su creación. La información interna es la que los servidores de la institución deben conocer y tener acceso permanente, de acuerdo con sus niveles de competencia y responsabilidad, para lograr su involucramiento en el logro de los objetivos, así como la plena comprensión de sus derechos y obligaciones. Uno de los medios para que las autoridades cumplan con los requerimientos de información interna, es comunicar al personal de reciente ingreso en la fase de inducción, y para quienes ya están prestando sus servicios, ejecutar un proceso de reinducción, en caso de considerarlo procedente. Para comunicar la información externa e interna se debe privilegiar el uso de la tecnología. La información debe ser de fácil acceso y permitir su análisis utilizando cualquier medio tecnológico disponible. Las unidades de comunicación institucional deben jugar un papel muy importante en la implementación de este componente, en coordinación con las instituciones que tienen competencia con la transparencia en todo el Sector Público. El TSC, por medio de las unidades de auditoría interna, vigilará que permanentemente se cumpla con lo que mandan las disposiciones legales y las normas de este componente; por su parte, las universidades, gremios profesionales y ciudadanía en general, como usuarios de la información; deben vigilar que cumpla con las normativas referentes a la transparencia, incluyendo el presente MARCI 5.5. Componente Supervisión La Supervisión tiene relación con la responsabilidad de las autoridades y directivos de verificar que los procesos y procedimientos se diseñen para mitigar los riesgos establecidos y que éstos se apliquen como fueron diseñados y aprobados; -- 24 of 153 -- para este propósito deben asumir la responsabilidad de supervisar, por los medios más eficaces, el cumplimiento de los principios y las normas de control interno de todos los componentes del control interno; y, apoyar la realización de supervisiones continuas y las evaluaciones independientes, mediante la asignación de recursos y la aplicación oportuna de las recomendaciones y otras acciones correctivas. La delegación de autoridad por escrito a niveles jerárquicos apropiados para que ejerzan la supervisión permanente es una forma de asegurar el logro de los objetivos institucionales a través del cumplimiento de las normas inmersas en los procedimientos y controles establecidos. Otra forma de supervisar la calidad del control interno es la autoevaluación del grado de cumplimiento de los controles aprobados e incorporados en los procesos o desarrollados en los otros componentes, principios y normas de control interno. Adicionalmente, la evaluación independiente realizada por la auditoría interna y externa cierra el proceso de evaluación y se complementan. La supervisión, las autoevaluaciones y las evaluaciones independientes no deben significar duplicaciones de esfuerzos, sino actividades complementarias. Para lograr este propósito deberán utilizar iguales criterios de evaluación, y para su calificación, se fundamentarán en evidencias. Además, los resultados de las supervisiones y autoevaluaciones realizadas por la administración de las entidades servirán de base para las verificaciones que realicen los auditores internos y externos. Los resultados de las supervisiones y evaluaciones deben ser analizadas con las autoridades, directivos y el personal relacionado con los procesos, como base para elaborar el plan de mejoras y su seguimiento. Toda la implementación del control interno debe ser documentada y formará parte del archivo físico y electrónico de la institución, cuya custodia y actualización será asignada por escrito a la unidad que corresponda, de acuerdo con la estructura organizativa de la entidad. 6. Implementación del Control Interno Para dar inicio a la Implementación del Control Interno, la MAI, por ser el principal responsable por su diseño, implementación y evaluación; debe manifestar su compromiso por la efectividad del control interno a través de la elaboración y difusión de un Acta de Compromiso o cualquier otro documento, en el que se expongan los beneficios del control interno para el logro de los objetivos institucionales, la responsabilidad de todos los servidores de la institución por su funcionamiento y actualización; así como, las sanciones que conlleva su incumplimiento. La importancia de que la MAI manifieste su compromiso de liderar el proceso de implementación del control interno radica en la motivación que este hecho genera en los servidores públicos que integran la institución, al entender que se llevará a cabo un proceso que surge como iniciativa y liderazgo de la MAI, y la participación de todos los miembros de la entidad. -- 25 of 153 -- La implementación de todos los componentes, principios y normas de control interno, requiere que se cumpla con las siguientes etapas que deben ser debidamente documentadas: a. Que el control exista mediante la emisión formal por parte de autoridad competente, de las normativas, políticas, procesos, procedimientos, instructivos y otros medios; b. Que sean difundidos o comunicados, dentro y fuera de la organización, según corresponda, por medio de capacitaciones, reuniones de trabajo, publicación en los portales web institucionales o cualquier otro medio efectivo y de bajo costo, cuyo liderazgo corresponde a los directivos y otros servidores de acuerdo con la organización. El uso de medios electrónicos es una alternativa que se debe considerar; c. Que se apliquen conforme fueron emitidos o diseñados los controles, para lo cual cada miembro de la organización tendrá la asignación de autoridad y responsabilidad, de acuerdo con su participación en los procesos; y, d. Que se supervise y evalúe la forma en que se aplican los controles y se establezcan acciones correctivas para su mejora continua. Si bien el MARCI puede ser aplicado en entidades grandes como medianas y pequeñas, se debe reconocer que las pequeñas enfrentan mayores retos en la segregación de funciones debido a la concentración de responsabilidades y autoridades en los distintos niveles de su estructura organizacional. Sin embargo, se puede responder a esta dificultad, delegando autoridad a mandos medios cuando la estructura de las instituciones lo permita, y en su defecto a personal independiente de quien ejecuta los procesos; para que realicen revisiones o supervisiones de procesos clave, pruebas aleatorias de exactitud o conformidad, la realización de constataciones físicas periódicas a los activos o supervisando las conciliaciones, entre otras actividades. En todo momento, se debe tener presente que el costo del control debe guardar proporción con los recursos de las instituciones y con los beneficios que estos controles brindan. CAPÍTULO III 100-00 COMPONENTE ENTORNO DE CONTROL La MAI, la MAE y los directivos son los principales responsables de la implementación de este componente, sus principios y normas de control interno; además, su compromiso, liderazgo y ejemplo para la emisión y aplicación de cada una de las normativas, políticas, procesos, procedimientos, instructivos y la supervisión de su aplicación; es clave para que el control interno institucional esté en funcionamiento. Como se puede evidenciar en el siguiente cuadro, este componente tiene seis principios relacionados con la conducta ética, el gobierno corporativo y su rol en la supervisión de la efectividad del control interno, la planificación, la organización, la gestión del talento humano y la responsabilidad por el control interno que, junto con sus 15 normas de control interno, son el fundamento para la implementación de los demás componentes. -- 26 of 153 -- Como se puede evidenciar en el siguiente cuadro, este componente tiene seis principios relacionados con la conducta ética, el gobierno corporativo y su rol en la supervisión de la efectividad del control interno, la planificación, la organización, la gestión del talento humano y la responsabilidad por el control interno que, junto con sus 15 normas de control interno, son el fundamento para la implementación de los demás componentes. 100-00 COMPONENTE ENTORNO DE CONTROL PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/110-00 Integridad y Valores Éticos NCI-TSC/111-00 Compromiso y ejemplo de las máximas autoridades y directivos con la ética y protección de los recursos públicos NCI-TSC/112-00 Cumplir el Código de Conducta Ética del Servidor Público y adoptar o adaptar otras normas de conducta NCI-TSC/113-00 Evaluar el cumplimiento de las normas de conducta NCI-TSC/114-00 Atención oportuna de inobservancias a la ética PCI-TSC/120-00 Responsabilidad de Supervisión del Funcionamiento del Control Interno NCI-TSC/121-00 Estructura para supervisar el funcionamiento del control interno NCI-TSC/122-00 Independencia y conocimientos especializados NCI-TSC/123-00 Corrección de deficiencias PCI-TSC/130-00 Planificación en toda la Organización NCI-TSC/131-00 La entidad establece la obligación de planificar NCI-TSC/132-00 Planes de largo, mediano y corto plazo NCI-TSC/133-00 Monitoreo de la ejecución de los planes y sus resultados PCI-TSC/140-00 Organización, Autoridad y Responsabilidad Definidas NCI-TSC/141-00 Estructuras de la organización y líneas de comunicación NCI-TSC/142-00 Autoridad y responsabilidades definidas PCI-TSC/150-00 Gestión del Talento Humano con base en las Competencias Profesionales NCI-TSC/151-00 Políticas y procedimientos de gestión del talento humano NCI-TSC/152-00 Controles detallados de la gestión del talento humano (Esta norma se desarrolla en 9 normas detalladas) Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) 100-00 COMPONENTE ENTORNO DE CONTROL PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/160-00 Responsabilidad por el Control Interno NCI-TSC/161-00 La organización establece la responsabilidad de rendir cuentas por el funcionamiento del control interno y el logro de objetivos PCI-TSC/110-00 Principio Integridad y Valores Éticos Para lograr un adecuado entorno de control en los entes públicos, la MAI, la MAE, los directivos y servidores en los diferentes niveles de responsabilidad de la estructura -- 27 of 153 -- PCI-TSC/110-00 Principio Integridad y Valores Éticos Para lograr un adecuado entorno de control en los entes públicos, la MAI, la MAE, los directivos y servidores en los diferentes niveles de responsabilidad de la estructura organizacional; deben mantener una actitud íntegra y ética y promover permanentemente el cumplimiento del Código de Conducta Ética del Servidor Público emitido mediante Decreto Ejecutivo No. 36-2007 del 31 de mayo de 2007, su Reglamento y otras normativas relacionadas, de aplicación general o específica dentro de cada entidad. Las siguientes Normas de Control Interno relacionadas con el Principio Integridad y Valores Éticos, permiten su diseño e implementación: NCI-TSC/111-00 Compromiso y ejemplo de las máximas autoridades y directivos con la ética y protección de los recursos públicos. A partir del ejemplo de las autoridades y directivos respecto de la cultura ética institucional, todos los servidores públicos, cualquiera sea el nivel que ocupen en la institución; están obligados a actuar bajo principios de honestidad y profesionalismo, para mantener y ampliar la confianza de la ciudadanía en los servicios prestados, observando las disposiciones legales que rijan su actuación técnica. No podrán recibir ningún beneficio directo o indirecto y se excusarán de intervenir en asuntos en los que tengan conflictos de interés personal o de su cónyuge o conviviente, hijos y parientes hasta el segundo grado de afinidad o cuarto de consanguinidad. El TSC promoverá y conformará comités de probidad y ética en cada institución pública, cuya integración y funcionamiento será determinado reglamentariamente. Los titulares de las instituciones están obligados a brindar el apoyo necesario a los comités para su operatividad. La MAE, con apoyo del Comité de Probidad y Ética Pública (CPEP) y tomando como base lo que establece el Código de Conducta Ética del Servidor Público; debe definir los procedimientos para fomentar la difusión y aplicación de los valores éticos, así como, para promover la adhesión a su aplicación permanente por todos los servidores públicos o colaboradores sin distinción de nivel jerárquico; mediante talleres, conferencias, tutoriales, entre otros. Además, debe asegurarse que el proceso de inducción al que es sometido el personal ingresante incluya aspectos relacionados con los valores y la ética institucional. Como mínimo, la MAE, con la participación de todos los servidores de la entidad, debe realizar lo siguiente: a. Elaborar la política de probidad y ética institucional que, entre otros aspectos, promueva la cultura institucional de cero tolerancia a la corrupción y la posibilidad de que se presenten quejas y denuncias originadas dentro y fuera de la entidad. La MAI, la MAE y los directivos deben considerar las normas de conducta al emitir las políticas y otras directrices; b. Elaborar y ejecutar un programa de integridad y ética institucional que considere al control interno, como uno de los elementos importantes para el logro de los objetivos institucionales, la prevención y la identificación oportuna de irregularidades y actos de corrupción; c. Difundir la política de ética institucional, el Código de Conducta Ética del Servidor Público y todas las disposiciones relacionadas con esta materia; utilizando los medios que permitan cumplir esta obligación de manera efectiva eficiente y transparente; d. Verificar periódicamente el conocimiento de los valores de integridad por parte de los servidores y elaborar informes de respaldo de datos estadísticos para la toma de decisiones; e. Desarrollar acciones para prevenir la corrupción y los conflictos de intereses, promover la transparencia en -- 28 of 153 -- las compras y contrataciones de bienes y servicios, la construcción de obras y otros procesos de importancia institucional; y, elevar la calidad y eficiencia del servicio público; y, f. Informar al TSC y demás autoridades competentes sobre los actos de corrupción de los que tengan conocimiento, manteniendo la reserva para evitar el entorpecimiento de las posibles investigaciones que puedan realizar los órganos competentes. Es necesario que los servidores públicos tengan clara conciencia de que los controles internos institucionales, por idóneos y efectivos que sean, pueden resultar inútiles si las autoridades y otros responsables de su aplicación, anteponen su interés personal o privado a la ética pública que debe guiar su gestión. La actitud de respaldo de las autoridades y de los directivos puede impulsar la integridad y los valores éticos y el control interno en su conjunto, pero también pueden ser un obstáculo. Sin una sólida actitud de respaldo de éstos, el control interno puede debilitarse significativamente o no existir, dando paso a la ineficiencia y la presencia de actos de corrupción. Finalmente, para lograr un contexto integral de la ética en la gestión pública, los Poderes del Estado o cada uno de ellos en las áreas de su competencia, deberán elaborar un plan nacional de integridad y ética con cualquier denominación, que incluya a todas las entidades públicas y a quienes tienen relación con éstas, como los proveedores de bienes, servicios y la construcción de obras. Este plan servirá de marco referencial para los programas de integridad y ética institucional. NCI-TSC/112-00 Cumplir el Código de Conducta Ética del Servidor Público y adoptar o adaptar otras normas de conducta. El Código de Conducta Ética del Servidor Público emitido mediante Decreto Ejecutivo No. 36-2007 del 31 de mayo de 2007, debe ser cumplido por quienes trabajan en las entidades del Sector Público, no obstante, la MAI puede emitir, adoptar o adaptar normas de conducta ética específicas para que sean aplicadas en toda la institución. La MAI, con la participación de los directivos de nivel superior jerárquico, debe promover la difusión y conocimiento del Código u otro documento que sea su equivalente, utilizando los medios más adecuados y privilegiando el uso de medios tecnológicos. En la fase de inducción se deberá promover el conocimiento del Código y de la cultura ética institucional por parte de servidores de reciente ingreso. Todos los servidores incluyendo la MAI, deberán firmar la declaración de cumplimiento del Código o su equivalente, documento que se mantendrá en su expediente personal. La MAI, la MAE y directivos de la institución deben identificar cuáles son los rasgos y cualidades éticas y morales necesarios en su personal para que con su actitud coherente con dichos rasgos y cualidades puedan impulsar el sistema organizacional hacia un óptimo funcionamiento. Para el efecto, los procesos de reclutamiento y selección de personal deben conducirse teniendo presentes los rasgos y cualidades éticas y morales de tal forma que se asegure razonablemente la contratación de nuevos funcionarios que ya los reúnan o que, al menos, ostenten principios congruentes con los impulsados por las máximas autoridades y en general, por la administración activa del ente público. Con todo, la labor de la administración al respecto no acaba en la etapa de selección; por el contrario, le corresponde asegurarse que las características de integridad y ética continúen presentes en los servidores públicos y se manifiesten en su accionar diario. Por tanto, se debe promover la construcción al interior del ente, de valores de integridad y políticas éticas para lograr respecto a éstos, el compromiso consciente de los servidores de la institución y para establecer un sistema de gestión -- 29 of 153 -- ética que dé sostenibilidad a dicho compromiso, en lo cual el Comité de Probidad y Ética Pública (CPEP) previsto en el Artículo 53 (reformado) de la LOTSC, debe cumplir un papel preponderante. NCI-TSC/113-00 Evaluar el cumplimiento de las normas de conducta. La MAI y la MAE con la participación de los directivos, debe establecer procesos para evaluar el desempeño del personal frente a las normas de conducta de la institución y atender oportunamente cualquier desviación que sea de su conocimiento. Las normas del Código constituyen los criterios de evaluación y supervisión de los superiores jerárquicos; de acuerdo con la organización, es uno de los medios de evaluación. Otro medio será incluir en la evaluación del desempeño de los servidores, las secciones que sean necesarias para evaluar el cumplimiento de las normas de conducta. Los servidores públicos deben informar sobre asuntos relevantes a través de líneas de comunicación, tales como reuniones periódicas del personal, procesos de retroalimentación, un programa o línea ética de denuncia, entre otros. La MAI debe ser informada sobre el apego de la entidad en su conjunto a las normas de conducta, mediante la consolidación de los resultados de las evaluaciones de cada área o proceso, según corresponda a fin de determinar oportunidades de mejora. NCI-TSC/114-00 Atención oportuna de inobservancias a la ética. La MAI, debe vincular las desviaciones al Código de Conducta Ética y su Reglamento a las Normas de Gestión del Talento Humano y otras disposiciones internas, a efectos de aplicar las acciones correctivas y las sanciones que correspondan. Los servidores públicos deben informar sobre hechos contrarios a la ética que afecten negativamente a los recursos públicos, por uso indebido, pérdida, despilfarro o cualquier otra situación que sea de su conocimiento y sobre los que puedan aportar información o pruebas apropiadas. Para este efecto, las máximas autoridades deberán establecer procedimientos para la presentación de denuncias que garanticen reserva de la identidad de los denunciantes y que originen investigaciones con medios internos y/o externos. Estos procedimientos, también deben contemplar facilidades para que la ciudadanía pueda presentar denuncias, asegurando reserva de la identidad de los denunciantes, pero a la vez, salvaguardando la honorabilidad de los servidores que cumplen con sus responsabilidades. La oportunidad y las evidencias de las acciones correctivas adoptadas por las autoridades a todos los niveles jerárquicos de la organización, así como la información y comunicación interna y externa que corresponda, son mensajes apropiados de su compromiso con la ética institucional. En todos los casos se debe observar el debido proceso conforme la normativa legal. La participación de la unidad de auditoría interna debe ser considerada en las investigaciones que sean necesarias realizar, así como la de los organismos externos de control y del Comité de Probidad y Ética Pública (CPEP), cuando corresponda. La clave de estas participaciones es su oportunidad; es decir, que sea lo más cercana a la fecha de realización de los hechos y lograr la aplicación de las sanciones que correspondan, dentro y fuera de la entidad. La impunidad, alienta la corrupción. -- 30 of 153 -- control y del Comité de Probidad y Ética Pública (CPEP), cuando corresponda. La clave de estas participaciones es su oportunidad; es decir, que sea lo más cercana a la fecha de realización de los hechos y lograr la aplicación de las sanciones que correspondan, dentro y fuera de la entidad. La impunidad, alienta la corrupción. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del principio Integridad y Valores Éticos, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. La existencia de políticas sobre ética institucional, transparencia, protección de los recursos públicos contra uso indebido y cero tolerancia a la corrupción; b. Comité de Probidad y Ética Pública (CPEP) creado formalmente y en funcionamiento; c. Declaratoria de Cumplimiento del Código de Conducta Ética del Servidor Público y normas de conducta ética internas debidamente aprobadas; d. Proceso para la evaluación del cumplimiento del Código por parte de todos los miembros de la organización; e. Procedimientos aprobados para la presentación de quejas y denuncias que protejan tanto la identidad del denunciante como la del denunciado para evitar que se afecte a servidores honestos que sean injustamente denunciados; y, f. Resultados de las acciones correctivas adoptadas dentro de la organización y la comunicación a los organismos externos de control cuando los hechos hayan afectado negativamente los recursos públicos, por uso indebido, pérdida o despilfarro. PCI-TSC/120-00 Principio Responsabilidad de Supervisión del Funcionamiento del Control Interno -- 31 of 153 -- PCI-TSC/120-00 Principio Responsabilidad de Supervisión del Funcionamiento del Control Interno La supervisión es un recurso y una obligación de todo servidor público que realice funciones de dirección con un grado de autoridad. Como recurso permite adquirir sobre la marcha, una seguridad razonable de que la gestión real es congruente con lo que se planeó hacer y mantener el control sobre cada paso de los procesos, transacciones y operaciones, desde el momento en que se proponen y hasta después de su materialización. Como obligación, la supervisión es mucho más que una mera observación de la forma como se desarrolla el quehacer organizacional, pues además involucra comunicar a los subalternos las observaciones y recomendaciones pertinentes para mejorar la gestión, aplicar justamente la autoridad precisa para que aquéllas se implanten con eficiencia y puntualidad y generar en el personal la motivación requerida para que colabore en la ejecución eficaz de los planes. La MAI de la institución tiene la responsabilidad de supervisar el funcionamiento del control interno que comprende la implementación de los componentes, principios y normas de control interno de este MARCI; con la participación directa de la MAE y resto de personal y con el apoyo de los directivos, de la unidad de auditoría interna, de la auditoría externa, cuando esta se lleve a cabo. La MAI y el personal que apoyará la supervisión del sistema de control interno deberán demostrar competencias sobre campos especializados relacionados con los objetivos misionales de la entidad, así como los de información y comunicación, cumplimiento legal y la protección de los recursos contra usos indebidos y la corrupción. Las decisiones que adopta la MAI en conocimiento de hallazgos o desviaciones del control interno o la presencia de irregularidades marcan la pauta de la fortaleza o debilidad del control interno. En entidades que no cuentan con cuerpos colegiados como las Secretarías de Estado, la máxima autoridad ejecutiva es la máxima autoridad institucional, en cuyo caso, le corresponde aplicar las normas de control interno que se describen a continuación, con asignación escrita de autoridad y responsabilidad de supervisión del control interno a los directivos de mayor jerarquía, la intervención oportuna y profesional de la auditoría interna, así como, de comités especializados con atribuciones y responsabilidades específicas. Las siguientes Normas de Control Interno relacionadas con el Principio Responsabilidad de Supervisión del Funcionamiento del Control Interno, permiten su diseño e implementación: NCI-TSC/121-00 Estructura para supervisar el funcio- namiento del control interno. Las disposiciones constitucionales, legales y de otra naturaleza con las que se crea cada entidad; establecerán la conformación, requisitos, funciones y otras características de la MAI y del personal que apoyará la supervisión del sistema de control interno. Estas disposiciones se deberán complementar con normas internas que con cualquier denominación establezcan atribuciones y responsabilidades de la MAI y demás miembros de la organización, con respecto a la Responsabilidad de Supervisión del Funcionamiento del Control Interno. La MAI tiene la responsabilidad de supervisar el funcionamiento del control interno por sus propios medios o con la participación de la MAE, de los directivos y principalmente con la unidad de auditoría interna, por la especialidad de sus miembros y la independencia de ésta. La participación de la auditoría interna es indispensable en esta fase de supervisión, principalmente en el caso de máximas autoridades que no constituyen cuerpos colegiados; para complementar de esta forma el requisito de la independencia. -- 32 of 153 -- La definición de responsabilidades de supervisión del control interno debe establecerse en la estructura organizativa de la institución, así como la manera y periodicidad de informar sobre los resultados de las supervisiones realizadas. El diseño de procesos ayuda a la determinación de estas responsabilidades en cada una de las fases. Las responsabilidades de la MAI para supervisar el funcionamiento del control interno son, entre otras, las siguientes: a. Entorno de Control: Establecer los mecanismos para promover la integridad, los valores éticos y las normas de conducta; así como la estructura organizativa, desarrollar expectativas de competencia profesional y mantener la rendición de cuentas dentro y fuera de la organización; b. Gestión de Riesgos: Vigilar la respuesta adecuada a los resultados de la evaluación de los riesgos que amenazan el logro de objetivos, incluyendo el impacto potencial de los cambios significativos, la corrupción y la elusión de controles por parte de cualquier servidor público; c. Actividades de Control: Vigilar a los directivos de acuerdo con la estructura organizativa de la entidad, en el diseño e implementación de las actividades de control; d. Información y Comunicación: Analizar la información relativa al logro de los objetivos institucionales contenidos en la planificación y la que se genera de los macroprocesos y procesos institucionales; así como, los medios para la comunicación interna y externa de la información; y, e. Supervisión: Examinar la naturaleza y alcance de las actividades de supervisión de los directivos sobre el sistema de control interno, así como las evaluaciones realizadas por éstos y las acciones correctivas implementadas para remediar las deficiencias identificadas. NCI-TSC/122-00 Independencia y conocimientos especia- lizados. La objetividad de la MAI y los conocimientos con los cuales deben contar los miembros de los cuerpos colegiados y el personal que apoyará la supervisión del sistema de control interno, son elementos clave para cumplir con las responsabilidades de supervisión del funcionamiento del control interno y de las operaciones de la entidad. Los miembros de los cuerpos colegiados no deben participar en la ejecución de las actividades operativas de las áreas técnicas, administrativas y financieras, porque perderían independencia para supervisar el cumplimiento de los planes y la rendición de cuentas del ejecutivo y sus principales colaboradores. La MAI debe apropiarse de los objetivos de la institución, sus riesgos asociados y las expectativas de sus grupos de interés. De igual modo, deben demostrar experiencia y capacidades técnicas y profesionales para realizar su función de supervisión, particularmente en materia de control interno, administración de riesgos y prevención de la corrupción. Las competencias que debe reunir la MAI y el personal que apoyará la supervisión del sistema de control interno deben constar por escrito en las normas legales que regulan el funcionamiento de cada institución o en otras disposiciones; estas deben privilegiar la integridad y los valores éticos, el profesionalismo, el liderazgo y competencias especializadas de acuerdo con la naturaleza de las operaciones institucionales. Las competencias de los miembros de los cuerpos colegiados o de la MAE y del personal que apoyará la supervisión del sistema de control interno en entidades como las Secretarías de Estado, marcan la pauta del éxito o fracaso de la gestión institucional, así como del funcionamiento del control interno. Es indispensable establecer competencias profesionales y otros relativos a la ética pública para las máximas autoridades y personal de apoyo de las instituciones, -- 33 of 153 -- para que generen un entorno de control apropiado dentro y fuera de la organización. Si las disposiciones legales lo permiten, las entidades también pueden considerar la inclusión de miembros independientes como los comités de auditoría en las instituciones financieras y otras, quienes con la pericia pertinente deben proporcionar valor a través de la evaluación imparcial de la institución y de sus operaciones, comparando la rendición de cuentas de los ejecutivos y los resultados alcanzados, con los objetivos establecidos en los planes, así como, los recursos utilizados. NCI-TSC/123-00 Corrección de deficiencias La MAI debe establecer los mecanismos que le permitan conocer en línea o de la manera más práctica y oportuna, informes de cumplimiento de objetivos estratégicos, operacionales, presupuestarios, de disposiciones legales y de cualquier otro tipo de información relacionada con la misión y visión institucional. Además, debe conocer los informes de auditoría interna y externa para analizar el alcance e impacto de los hallazgos y las acciones correctivas, que corresponde aplicar para fortalecer el control interno y los riesgos de actos de corrupción. Las evidencias de las acciones correctivas adoptadas con base en los informes y otros medios que son de conocimiento de la MAI deben ser comunicados a los niveles de la entidad que corresponda, para que se retroalimente el sistema de control interno y la gestión institucional. Cuando sea apropiado y autorizado, la MAI puede crear grupos de trabajo para hacer frente o vigilar asuntos específicos, críticos, que afecten el sistema de control interno y el logro de los objetivos de la institución. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Cuando sea apropiado y autorizado, la MAI puede crear grupos de trabajo para hacer frente o vigilar asuntos específicos, críticos, que afecten el sistema de control interno y el logro de los objetivos de la institución. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del principio Responsabilidad de Supervisión del Funcionamiento del Control Interno, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Documento escrito que establezca las competencias profesionales, experiencia, y otros requisitos que debe reunir la MAI y el personal de apoyo que supervisará el funcionamiento del control interno; b. La norma de creación de las entidades y otras normativas que establecen atribuciones y responsabilidades de la MAI y del personal de apoyo que supervisarán el funcionamiento del control interno; c. Informes del cumplimiento del MARCI realizados mediante autoevaluaciones y preferentemente a través de evaluaciones independientes; y, d. Evidencias de las acciones adoptadas por la MAI con base en los informes de autoevaluación y de las evaluaciones independientes realizadas por los auditores internos y externos. PCI-TSC/130-00 Principio Planificación en Toda la Organización La planificación establece la orientación estratégica y operativa de las instituciones públicas. Establece las bases necesarias para que la gestión pública se oriente hacia el -- 34 of 153 -- PCI-TSC/130-00 Principio Planificación en Toda la Organización La planificación establece la orientación estratégica y operativa de las instituciones públicas. Establece las bases necesarias para que la gestión pública se oriente hacia el logro de los objetivos institucionales; y, que la supervisión continua sea una práctica corriente para medir los resultados alcanzados, frente a los planes y a los recursos utilizados. Articula los fines esenciales del Estado, las competencias legales y las necesidades de la sociedad, con el conjunto de recursos y capacidades asignadas a las instituciones, para que, de manera coherente y armónica, presten servicios de calidad a la ciudadanía. En la planificación institucional que debe incluir a todos los niveles de la organización, las entidades deben cumplir lo que establecen las normas de este principio, así como con lo que disponen los organismos que regulan este proceso y la rendición de cuentas. Se debe tener presente que el control interno se implementa para contribuir al logro de los objetivos institucionales. La relación entre objetivos, riesgos y controles es directamente proporcional; por esta razón, la MAI, con la participación de la MAE y los directivos que corresponda, debe decidir el riesgo que está dispuesta a aceptar para lograr los objetivos estratégicos, así como, las variaciones que serán tolerables al comparar los planes con los resultados; puesto que estos pueden verse afectados respecto del logro de los objetivos, por situaciones imprevisibles que se presentan al momento de ejecutar las actividades. En todo caso, las evaluaciones de la ejecución de los planes deben realizarse periódicamente, a fin de identificar posibles modificaciones a los objetivos e indicadores. Las siguientes Normas de Control Interno relacionadas con el Principio Planificación en Toda la Organización, permiten su diseño e implementación: NCI-TSC/131-00 La entidad establece la obligación de planificar Las políticas y procedimientos deben establecer la obligación de planificar todas las actividades de la institución y de rendir cuentas sobre los recursos utilizados y los resultados alcanzados. Estas normativas internas son complementarias a las disposiciones emitidas por los organismos que regulan este proceso y deben establecer el contenido, los responsables de su elaboración, los indicadores que permitan medir el cumplimiento de los planes, los medios de verificación, la comunicación interna y externa; y, su relación con la rendición de cuentas. Los planes no se considerarán completos si no establecen de manera explícita los criterios que se emplearán para evaluar su ejecución. Por ello, la Administración deberá asegurar que estos incluyan los indicadores pertinentes y que deben ser adoptados en consenso con los funcionarios responsables de la ejecución de dichos planes, por ende, el compromiso de cumplimiento de estos indicadores. Por regla general, debe procurarse que los indicadores respectivos sean claros, uniformes, fácilmente aplicables, medibles y de conocimiento general. En este sentido, se dice que las metas deben ser evaluables en términos cuantitativos (por ejemplo: número de casos atendidos, cantidad de reparaciones efectuadas) más que cualitativos (por ejemplo: nivel de eficiencia, grado de satisfacción del cliente externo). Sin embargo, la naturaleza de algunas metas hace imposible su cuantificación y obliga a recurrir a características cualitativas. Las políticas y procedimientos relativos a la planificación deben ser conocidos y comprendidos por quienes elaboran -- 35 of 153 -- y ejecutan los planes; así como, por los que evaluarán su cumplimiento, como parte de la supervisión permanente o de evaluaciones independientes. La autoevaluación por parte de los ejecutores de los planes es una práctica recomendable que las autoridades y directivos deben promover, para lo que deben utilizar los mismos criterios empleados para la supervisión y la evaluación independiente. NCI-TSC/132-00 Planes de largo, mediano y corto plazo Los planes más comunes en el Sector Público son los que se describen a continuación, aclarando que sus denominaciones, contenido y otras características pueden cambiar con el tiempo y el avance tecnológico; sin embargo, la obligación de las entidades de elaborar los planes y programas de largo, mediano y corto plazo, para lograr los objetivos institucionales y la calidad en la prestación de los servicios a la ciudadanía, son permanentes: a. Plan estratégico elaborado con la participación de grupos de interés internos y externos; b. Plan Operativo Anual de la Entidad con base en los planes operativos de cada una de las dependencias o unidades que la integran; c. Presupuesto inicial y modificaciones; d. Plan anual de compras y contrataciones; y, e. Planes de necesidades de personal, tecnología, información y comunicación, entre otros. En la elaboración de los planes estratégicos debe existir la participación de los grupos internos y externos, para lo que las autoridades y directivos deben establecer mecanismos de coordinación, así como, determinar los medios más efectivos de comunicación de la ejecución. El proceso de planificación operativa convierte el plan estratégico en acciones concretas tendientes a obtener como efecto, el cumplimiento de los objetivos generales y, por ende, el alcance de la visión institucional. Para ello, es preciso generar metas y objetivos específicos de corto plazo que identifiquen, entre otros, los recursos disponibles, las personas responsables de llevarlos a la práctica, la coordinación que debe darse entre las unidades participantes, la identificación y el análisis de los riesgos pertinentes. Todos estos planes deben ser publicados tanto en su versión inicial como todas sus modificaciones cumpliendo lo que disponen los organismos reguladores, así como lo que establece este MARCI en lo relativo a la calidad de la información y comunicación, para conocimiento de la ciudadanía y de los organismos públicos y privados. La ejecución de los planes es responsabilidad de cada uno de los servidores encargados de realizar las actividades de acuerdo con la estructura organizativa, los procesos, procedimientos, tareas y otras formas de distribución del trabajo. La provisión y utilización eficiente de los recursos humanos, materiales, financieros, tecnológicos es parte del proceso de ejecución de lo planificado, para asegurar que los procesos establecidos se cumplan adecuadamente para el logro los resultados dentro de los tiempos, costos, calidad y otros indicadores. La supervisión en todos los niveles debe ser considerada en la ejecución, así como en la elaboración de los informes de cumplimiento y en la adopción de las acciones correctivas que correspondan. La rendición de cuentas de autoridades, directivos y de otros de acuerdo con la estructura organizativa de la entidad, también es parte de la ejecución y debe estar vinculada a la planificación. NCI-TSC/133-00 Monitoreo de la ejecución de los planes y sus resultados La comparación de lo planificado con lo ejecutado, los recursos utilizados, los impactos y la explicación de las variaciones; debe ser parte de la información sobre la -- 36 of 153 -- ejecución de los planes, utilizando los indicadores y medios de verificación establecidos en estos. El uso de la tecnología es recomendable para que se evite la inversión de tiempo en la elaboración manual de informes, que además conlleva riesgos de errores y modificaciones no autorizadas. En el diseño de los procesos deben establecerse los tipos de informes, el contenido, la periodicidad y los destinatarios; a fin de que la supervisión y el análisis de la información sea continua y en línea. También se debe privilegiar el uso de tecnología para que las autoridades, directivos y otros grupos de interés internos y externos, puedan conocer en línea, los avances de los planes y adoptar oportunamente acciones correctivas para el logro de los objetivos institucionales. En períodos de emergencia, la formulación de los planes, su seguimiento y publicación debe realizarse con la urgencia que cada caso requiera; sin dejar de cumplir con las normas que a tal efecto han sido establecidas. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Planificación en toda la Organización, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Políticas de planificación; b. Plan estratégico elaborado con la participación de grupos de interés internos y externos; c. Planes operativos anuales, inicial y modificaciones, alineados con el plan estratégico; d. Presupuesto inicial y modificaciones, igualmente alineado con el plan estratégico y los planes operativos; e. Plan de compras y contrataciones, inicial y modificaciones, igualmente alineados con los otros planes; f. Otros planes como: de necesidades de recursos humanos, de tecnología, de comunicación; g. Informes periódicos de la ejecución de los planes que forman parte de la rendición de cuentas interna y externa; h. Informes de las evaluaciones realizadas a los resultados de la ejecución de los planes y comunicación a las autoridades correspondientes; y, i. Acciones adoptadas para atender los incumplimientos de indicadores y otros medios de verificación. PCI-TSC/140-00 Principio Organización, Autoridad y Responsabilidad Definidas Una adecuada organización permite a los entes públicos ejecutar sus actividades y cumplir con los objetivos institucionales. La organización de los entes públicos es una -- 37 of 153 -- PCI-TSC/140-00 Principio Organización, Autoridad y Responsabilidad Definidas Una adecuada organización permite a los entes públicos ejecutar sus actividades y cumplir con los objetivos institucionales. La organización de los entes públicos es una de las funciones administrativas básicas y elemento importante del entorno de control institucional. Implica definir una estructura organizativa que apoye el logro de los objetivos institucionales, para lo cual se requiere determinar las actividades, procesos o transacciones, especificar las labores que deben completarse dentro de la organización, distribuirlas entre los diferentes puestos y asignarles a estos últimos no sólo la responsabilidad por su cumplimiento, sino también la autoridad necesaria para ejecutarlas a cabalidad. Adicionalmente, se deben establecer las relaciones jerárquicas entre puestos y los canales de comunicación, coordinación e información formal que se utilizarán en la organización. Las siguientes Normas de Control Interno relacionadas con el Principio Organización, Autoridad y Responsabilidad Definidas, permiten su diseño e implementación: NCI-TSC/141-00 Estructuras de la organización y líneas de comunicación La MAI con la participación de la MAE y los directivos deben establecer una estructura que permita, de manera clara y sencilla, responsabilizar a todo el personal por el desempeño de su cargo, para lo cual se le asignan niveles de autoridad que le permitan ejecutar sus responsabilidades. La organización que se origina en los macroprocesos, procesos, actividades y tareas u otras formas de desarrollo organizacional adoptado por la entidad para la generación de bienes y servicios; deben establecer niveles de comunicación a través de las cuales fluye la información, para facilitar la supervisión continua y la mejora de los procesos. La estructura organizativa también debe establecer la forma en que se puede comunicar a las autoridades, situaciones inusuales como la presencia de abusos de autoridad, uso indebido de recursos o actos de corrupción. El sistema de organización administrativa de los entes públicos debe ser dinámico para permitir su ajuste oportuno en función de los planes operativos anuales y del logro de las metas programadas o previstas en el respectivo presupuesto. En cada ente público, como parte de un adecuado entorno de control, debe existir una unidad de auditoría interna eficaz, cuyo nivel de independencia funcional y de criterio debe ser respetado por la MAI, la MAE, directivos de la entidad y por todos los servidores públicos de la misma. El control interno debe contemplar los mecanismos y disposiciones requeridos a efecto de que los servidores públicos y unidades participantes en la ejecución de los procesos, actividades y transacciones de la institución, desarrollen sus acciones de manera coordinada y coherente, con miras a la implantación efectiva de la estrategia organizacional para el logro de los objetivos institucionales. Como elemento de un adecuado entorno de control en los entes públicos, es indispensable establecer mecanismos de coordinación específicos. Igualmente, es conveniente contemplar el valor de la cultura organizacional como elemento catalizador para la coordinación y coherencia institucional. -- 38 of 153 -- Asimismo, debe considerarse que la coordinación tiene como fundamento a la planificación y que para su apropiado ejercicio se requiere una estructura orgánica idónea. Por ello, los mecanismos de coordinación deben preverse convenientemente desde las primeras etapas del proceso planificador e integrarse en la estrategia y en las consideraciones relativas a la organización formal y a las relaciones entre los diversos puestos de trabajo. NCI-TSC/142-00 Autoridad y responsabilidades definidas La gestión por procesos establece los datos de entrada, las normas que regulan su funcionamiento, las actividades y tareas con el señalamiento de los responsables de su ejecución y supervisión, los recursos que se utilizan y las salidas después de cumplidos los procesos diseñados. La autoridad y responsabilidad de cada uno de los servidores que participan en cada proceso, se consignan en reglamentos, estatutos o manuales que por muchos años se han conocido como manuales de funciones. Debe quedar claro que, a mayor grado de autoridad, debe existir mayor grado de responsabilidad; y, esa información debe quedar claramente definida en la estructura organizacional y otros documentos oficialmente aprobados. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) NCI-TSC/142-00 Autoridad y responsabilidades definidas La gestión por procesos establece los datos de entrada, las normas que regulan su funcionamiento, las actividades y tareas con el señalamiento de los responsables de su ejecución y supervisión, los recursos que se utilizan y las salidas después de cumplidos los procesos diseñados. La autoridad y responsabilidad de cada uno de los servidores que participan en cada proceso, se consignan en reglamentos, estatutos o manuales que por muchos años se han conocido como manuales de funciones. Debe quedar claro que, a mayor grado de autoridad, debe existir mayor grado de responsabilidad; y, esa información debe quedar claramente definida en la estructura organizacional y otros documentos oficialmente aprobados. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Organización, Autoridad y Responsabilidad Definidas, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Documento actualizado, aprobado e implementado de la estructura general de la organización y de sus unidades; b. Documento actualizado, aprobado e implementado de los macroprocesos, procesos, actividades, tareas y los mecanismos de coordinación interna y externa que se llevan a cabo para generar bienes, servicios e información para uso interno y externo; y, c. Reglamentos, manuales y otros documentos en los que se establezcan atribuciones y responsabilidades para cada cargo, conocidos también como manuales de funciones. PCI-TSC/150-00 Principio Gestión de Talento Humano con Base en las Competencias Profesionales La competencia profesional es el conjunto de conocimientos y capacidades comprobables -- 39 of 153 -- PCI-TSC/150-00 Principio Gestión de Talento Humano con Base en las Competencias Profesionales La competencia profesional es el conjunto de conocimientos y capacidades comprobables de un servidor público para llevar a cabo sus responsabilidades asignadas. El personal requiere de conocimientos, destrezas y habilidades pertinentes al ejercicio de sus cargos; los cuales son adquiridos en gran medida, con la formación requerida, capacitación, las certificaciones profesionales y con la experiencia profesional. De la competencia de los servidores públicos depende el funcionamiento de los sistemas y procesos establecidos para el logro de los objetivos institucionales, producción de bienes y la prestación de los servicios de calidad a la ciudadanía. Las siguientes Normas de Control Interno relacionadas con el Principio Gestión de Talento Humano con Base en las Competencias Profesionales, permiten su diseño e implementación: NCI-TSC/151-00 Políticas y procedimientos de gestión del talento humano La MAI, la MAE y los directivos deben elaborar, difundir y poner en funcionamiento políticas y los procedimientos para la gestión del talento humano orientados a lograr la competencia profesional de todos los servidores que laboran en la entidad. Las políticas y procedimientos emitidos por autoridad competente deben abarcar como mínimo, las siguientes fases de la gestión de talento humano; para lo que deben cumplir con las disposiciones emitidas por los organismos que regulan estos procesos y las técnicas más modernas aplicables para el diseño e implementación de este principio clave para el funcionamiento del control interno institucional: Fase de Planificación a. Formulación de planes de necesidades de personal; b. Establecimiento de los perfiles de puestos, de acuerdo con la organización; c. Establecimiento del sistema salarial; Fase de Reclutamiento, Selección y Contratación d. Convocatoria a postulantes; e. Inducción y reinducción cuando corresponda; f. Selección y contratación de personal; Fase de Desarrollo y Evaluación g. Asistencia y permanencia de personal; h. Capacitación y desarrollo profesional; i. Evaluación del desempeño, retención, promoción y sanción; y, Fase de Desvinculación Las actividades antes descritas deben constar en los procesos, reglamentos, manuales, expedientes u otros documentos; y, ser parte de la información interna que el personal debe conocer. El ambiente laboral basado en la ética, la equidad y las competencias; facilita el logro de los objetivos de forma coordinada, el trabajo en equipo y previene de manera razonable los actos de corrupción. NCI-TSC/152-00 Normas de Control Interno Detalladas de la Gestión del Talento Humano Es responsabilidad de la MAI, MAE y de los directivos de la entidad según sea su estructura, la aplicación ética y efectiva de las políticas y procedimientos de la gestión del talento humano en todas sus etapas, incluyendo la más crucial que es la selección y contratación. Esta norma se subdivide en todas las fases de la gestión del talento humano, estableciendo controles detallados desde la planificación de las necesidades del personal hasta el momento en que ocurre su desvinculación, como se describe a continuación: -- 40 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Esta norma se subdivide en todas las fases de la gestión del talento humano, estableciendo controles detallados desde la planificación de las necesidades del personal hasta el momento en que ocurre su desvinculación, como se describe a continuación: CÓDIGO NORMAS DE CONTROL INTERNO DETALLADAS DE LA NCI-TSC/152-00 DE LA GESTIÓN DEL TALENTO HUMANO NCI-TSC/152-01 Plan de necesidades de personal NCI-TSC/152-02 Establecimiento de perfiles de los puestos NCI-TSC/152-03 Convocatoria, selección y contratación del personal NCI-TSC/152-04 Inducción del personal NCI-TSC/152-05 Control de asistencia y permanencia NCI-TSC/152-06 Evaluación del desempeño, retención, promoción y sanción NCI-TSC/152-07 Capacitación del personal NCI-TSC/152-08 Desvinculación del personal NCI-TSC/152-09 Expedientes completos del personal NCI-TSC/152-01 Plan de necesidades de personal La planificación de las necesidades de personal se elaborará sobre la base de un diagnóstico efectuado con la información estadística que mantendrá la unidad responsable de la administración del talento humano; considerando, además, el plan estratégico institucional, los planes operativos anuales, los programas y proyectos. Esta actividad permitirá planificar de manera oportuna las actividades de reclutamiento, selección, contratación, capacitación, desarrollo y evaluación. El plan de necesidades de personal deberá formar parte de la documentación del sistema de planificación anual institucional, para lo cual tomará en cuenta información actualizada sobre despidos, renuncias, introducción de nuevas tareas, programas o procesos. El referido plan deberá contener como mínimo, los siguientes datos con una explicación previa de los fundamentos para las necesidades de personal: unidad administrativa o proceso, denominación del cargo, autoridad y responsabilidad que asumirá, perfil del cargo, número de servidores requerido, escala salarial y fecha probable de ingreso NCI-TSC/152-02 Establecimiento de los perfiles de puestos La entidad deberá contar con un manual de perfiles de puestos que describa las funciones, actividades, tareas, la autoridad y responsabilidades de cada puesto; así como, las NCI-TSC/152-01 Plan de necesidades de personal La planificación de las necesidades de personal se elaborará sobre la base de un diagnóstico efectuado con la información estadística que mantendrá la unidad responsable de la administración del talento humano; considerando, además, el plan estratégico institucional, los planes operativos anuales, los programas y proyectos. Esta actividad permitirá planificar de manera oportuna las actividades de reclutamiento, selección, contratación, capacitación, desarrollo y evaluación. El plan de necesidades de personal deberá formar parte de la documentación del sistema de planificación anual institucional, para lo cual tomará en cuenta información actualizada sobre despidos, renuncias, introducción de nuevas tareas, programas o procesos. El referido plan deberá contener como mínimo, los siguientes datos con una explicación previa de los fundamentos para las necesidades de personal: unidad administrativa o proceso, denominación del cargo, autoridad y responsabilidad que asumirá, perfil del cargo, número de servidores requerido, escala salarial y fecha probable de ingreso NCI-TSC/152-02 Establecimiento de los perfiles de puestos La entidad deberá contar con un manual de perfiles de puestos que describa las funciones, actividades, tareas, la autoridad y responsabilidades de cada puesto; así como, las competencias y otros requisitos de todos los puestos de la estructura organizativa institucional, cumpliendo con las disposiciones legales aplicables. El documento deberá ser revisado y actualizado periódicamente y servirá de base para los procesos de reclutamiento, selección y evaluación del personal. La estructura de salarios estará conformada por la retribución que le corresponda a las categorías, clases o puestos, según la complejidad y naturaleza de las atribuciones y responsabilidades; esta retribución se establecerá en -- 41 of 153 -- cumplimiento de lo que disponga la normativa general y las disposiciones aplicables. NCI-TSC/152-03 Convocatoria, selección y contratación del personal El ingreso de personal a laborar en la entidad se efectuará previo a una convocatoria interna o externa, evaluación y selección de méritos; que permitan incorporar a quienes, por sus competencias y otros requisitos establecidos en los manuales de perfiles de puestos, sean los más idóneos para el desempeño de estos. En la unidad de administración de talento humano se conservará la información del proceso efectuado, para evidenciar las acciones realizadas, así como, para efectos de revisión y control posterior. La transparencia de cada una de las etapas de la gestión del talento humano es uno de los medios para lograr que las normativas sobre la convocatoria, selección y contratación del personal se cumplan y se genere confianza en este proceso. La contratación del personal seleccionado se realizará en cumplimiento de las disposiciones legales aplicables, para lo cual, la unidad encargada verificará que todos los documentos presentados estén de acuerdo con los requerimientos establecidos, cuya veracidad habrá sido comprobada en la etapa de selección, acreditará la asignación presupuestaria para el puesto, la autorización del funcionario con potestad para formalizar la contratación y la aceptación del servidor vinculado registrado en el documento formal que servirá de respaldo para los pagos. NCI-TSC/152-04 Inducción del personal La MAE con la participación de los directivos, deberán implementar procesos de inducción para orientar al personal sobre las disposiciones legales que regulan el funcionamiento de la entidad, el código de conducta, los objetivos estratégicos, otros objetivos y su contribución para lograrlos; así como, las normativas para la gestión del talento humano, la organización, los procesos, la autoridad y responsabilidad de su cargo, los niveles de comunicación, sus derechos y obligaciones, entre otros aspectos. Con respecto a la conducta ética, al personal de reciente ingreso también se le debe informar sobre lo que se espera de su honestidad y profesionalismo, incluyendo la indicación de que no podrán recibir ningún beneficio directo o indirecto de quienes reciben sus servicios, que deben excusarse de intervenir en asuntos en los que tengan conflictos de interés y cumplir las disposiciones legales, entre otros. El proceso de reinducción deberá dirigirse a reorientar y actualizar a todo el personal, con relación a nuevas normativas y cambios significativos en los procesos y procedimientos institucionales, esta reinducción se debe realizarse periódicamente o cuando se considere procedente. NCI-TSC/152-05 Control de asistencia y permanencia La MAE con la asistencia de los directivos, establecerá mecanismos de control de la asistencia del personal, teniendo presente el costo de su implementación. El control de la permanencia en sus puestos de trabajo estará a cargo de los superiores inmediatos, quienes deben promover la ética y rendimiento del personal a su cargo, con su ejemplo. La unidad respectiva mantendrá datos estadísticos de la asistencia y permanencia del personal y comunicará esta información a las instancias pertinentes para la toma de las decisiones que correspondan. NCI-TSC/152-06 Evaluación del desempeño, retención, promoción y sanción El trabajo de los servidores deberá ser evaluado periódicamente respecto de su conducta ética, rendimiento y productividad de acuerdo con los criterios de evaluación previamente -- 42 of 153 -- establecidos para cada cargo. Los resultados de la evaluación de desempeño servirán de base para la identificación de las necesidades de capacitación o entrenamiento del personal, promoción, reubicación u otras decisiones para mejorar la productividad y el ambiente laboral. La MAI establecerá un sistema de reconocimiento público e incentivos no monetarios para los servidores, sobre la base del tiempo de servicio, desempeño destacado o resultados excepcionales. El ascenso del personal se produce mediante promoción al nivel inmediato superior de su respectivo grupo ocupacional, previo el concurso de méritos y oposición. El ascenso tiene por objeto promover al personal para que ocupen puestos vacantes o de reciente creación; considerando la experiencia, el grado académico, la eficiencia, el rendimiento en su desempeño y observando lo previsto en la normativa vigente. La MAI, la MAE y los directivos deben implementar estrategias para mantener o retener a aquellos empleados que demuestren un desempeño satisfactorio, que sean competentes y valiosos para la buena gestión institucional; esto evitará la rotación innecesaria de personal y mejorará el ambiente laboral. Las faltas cometidas por los servidores públicos en el desempeño de sus funciones serán sancionadas mediante la aplicación de las medidas disciplinarias que correspondan; para lo cual, deberá seguirse el proceso establecido en la ley y otras normativas relacionadas y teniendo la obligación de contar con las evidencias que justifiquen su aplicación. NCI-TSC/152-07 Capacitación del personal La MAE y los directivos de la entidad promoverán en forma continua y progresiva la capacitación, entrenamiento y desarrollo profesional de los servidores de todos los niveles de la entidad, a fin de actualizar sus conocimientos, obtener un mayor rendimiento y elevar la calidad de su trabajo. La elaboración de un plan de capacitación y desarrollo profesional responderá a las necesidades identificadas en las evaluaciones de desempeño y otros procedimientos; en este plan se deberá establecer como mínimo el tipo de capacitación, metodología, material de estudio y contenido, duración, participantes y requisitos de aprobación. De la competencia de los servidores públicos depende, en gran parte, la eficacia y eficiencia de la ejecución de los sistemas administrativos, financieros y operativos, así como, el logro de los objetivos institucionales. NCI-TSC/152-08 Desvinculación del personal Las desvinculaciones del personal deben estar debidamente documentadas para evidenciar las acciones realizadas y retribuir lo que las disposiciones legales establecen en los casos de despido justificado, renuncia del empleado, jubilación, incapacidad laboral permanente determinada por la institución competente, o por el fallecimiento del empleado. La MAI, la MAE y los directivos, considerando la correspondiente asesoría especializada en la materia, deben cumplir las normas legales aplicables a la desvinculación del personal para que este proceso se realice dentro de un ambiente laboral apropiado, evitando que las entidades incurran en costos innecesarios que afectan sus presupuestos por pagos de indemnizaciones o reintegros a los puestos de trabajo, por no seguir el debido proceso. La aplicación efectiva de las acciones de repetición, que consiste en la acción civil de carácter patrimonial que deberá ejercerse en contra del servidor o exservidor público que, como consecuencia de su conducta por acción u omisión, el Estado haya sido condenado al pago de una indemnización; es una de las formas de recuperar los recursos pagados por desvinculaciones que no cumplen el debido proceso. -- 43 of 153 -- NCI-TSC/152-09 Expedientes completos del personal La unidad responsable de la administración del talento humano deberá tener información actualizada sobre la conformación del personal de la entidad respecto a: el número, formación profesional, remuneraciones, años de servicio, fechas de vacaciones, promociones, sanciones, retiro y otros datos. Con base en esta información, se debe elaborar estadísticas para la toma de decisiones y la planificación ordenada para la sucesión de servidores claves. Los expedientes del personal deben estar ordenados y actualizados de acuerdo con las normas establecidas, y preferiblemente digitalizados, al alcance de las autoridades y personal autorizado. La custodia y restricciones de los accesos deben estar determinadas formalmente. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Los expedientes del personal deben estar ordenados y actualizados de acuerdo con las normas establecidas, y preferiblemente digitalizados, al alcance de las autoridades y personal autorizado. La custodia y restricciones de los accesos deben estar determinadas formalmente. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Gestión de Talento Humano con Base en las Competencias Profesionales, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Políticas de gestión del talento humano; b. Normativas, procesos y procedimientos para la gestión del talento humano, desarrolladas desde la planificación de las necesidades de personal hasta su desvinculación, y expedientes completos del personal; planes de necesidades de personal, manual de perfiles de puestos, planes de capacitación, políticas de inducción y reinducción de personal, políticas de evaluación del desempeño y ascensos, entre otros; y, c. Expedientes y otras evidencias de la aplicación ética y transparente de las políticas, procesos y procedimientos de gestión del talento humano, desde la planificación de las necesidades de personal, hasta su desvinculación y administración de los expedientes. PCI-TSC/160-00 Principio Responsabilidad por el Control Interno y Rendición de Cuentas -- 44 of 153 -- PCI-TSC/160-00 Principio Responsabilidad por el Control Interno y Rendición de Cuentas La estructura de la organización debe comprender los niveles de responsabilidad por el funcionamiento del control interno, teniendo presente que la primera línea de responsabilidad recae en la MAI y la MAE; la segunda línea en los directivos y demás servidores de cualquier denominación de acuerdo con la autoridad asignada y asumida por cada uno de ellos; y la tercera, en la auditoría interna. Por tanto, a más alto grado de autoridad, mayor será su responsabilidad por el funcionamiento del control interno y el logro de los objetivos institucionales. El cumplimiento de los objetivos, con los recursos asignados, es una parte importante de la rendición de cuentas interna y externa. La planificación se direcciona de arriba hacia abajo, empezando por los planes nacionales, siguiendo con los estratégicos, operativos, el presupuesto, de compras y contrataciones, y otros; en cambio, la rendición de cuentas interna va desde los niveles jerárquicos más bajos hacia arriba, de acuerdo con la organización institucional, hasta llegar a la MAI. En la rendición de cuentas interna, se considerará la autoridad y responsabilidad que tiene cada miembro de la organización por el logro de los objetivos, la aplicación de los procesos, la administración de los recursos, la implementación del control interno, sobre los que deben responder en razón de sus cargos y jerarquías. La rendición de cuentas externa corresponde a la MAI que deberá observar las disposiciones emitidas por los organismos que regulan este proceso. Esta autoridad debe informar a su autoridad nominadora, a la ciudadanía, y a entidades públicas y privadas que tengan competencia para conocer los resultados de su gestión. La siguiente Norma de Control Interno relacionada con el Principio Responsabilidad por el Control Interno y Rendición de Cuentas, permite su diseño e implementación: NCI-TSC/161-00 La organización establece la responsabilidad de rendir cuentas por el funcionamiento del control interno y el logro de objetivos. Esta norma de control interno se fundamenta en lo que establece la estructura organizativa para determinar los niveles de autoridad y responsabilidad en la entidad tomada en su conjunto, para todos los procesos y actividades, en las que está inmerso el control interno para el logro de los objetivos. Todo servidor debe rendir cuentas por la manera en que ha desempeñado las actividades que se le han encomendado, por el manejo y uso que ha hecho de los recursos recibidos, por el ejercicio de la autoridad que se le ha otorgado para el cumplimiento de los objetivos y por el funcionamiento del control interno de acuerdo a su nivel de responsabilidad. La responsabilidad de responder o de rendir cuentas por la calidad del control interno y el logro de los objetivos que tiene cada miembro de la organización, de acuerdo con su nivel jerárquico, debe ser congruente con la autoridad otorgada, misma que debe estar claramente definida en los reglamentos, manuales y otros documentos relativos a la organización institucional. Como norma general, la MAI debe rendir cuentas para conocimiento de múltiples usuarios externos, principalmente, -- 45 of 153 -- de la ciudadanía. La MAE debe hacerlo ante la MAI, y los directores y coordinadores de los procesos deben rendir cuentas a la MAE u otros niveles jerárquicos establecidos en cada organización. El diseño y funcionamiento del control interno no puede verse separado del logro de los objetivos institucionales, conforme se establece en la definición del control interno. Por tanto, la rendición de cuentas de los miembros de la organización tiene el propósito de vincular el logro de los objetivos, con el funcionamiento del control interno. No tendría sentido procurar un control interno efectivo, si no tiene como contraparte el logro de los objetivos institucionales, y la rendición de cuentas. La rendición de cuentas es una actividad permanente mediante la comunicación de los resultados de la ejecución de los planes y aplicación de los procesos para la generación de bienes y servicios de calidad. Es un error pensar que la rendición de cuentas únicamente se realiza cuando la MAI presenta los informes de actividades una vez al año o en períodos más cortos, ya que esta debe demostrar que se han empleado los recursos considerando los principios de economía, eficiencia y eficacia; incluyendo aquellos que tengan relación con la implementación del control interno. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) La rendición de cuentas es una actividad permanente mediante la comunicación de los resultados de la ejecución de los planes y aplicación de los procesos para la generación de bienes y servicios de calidad. Es un error pensar que la rendición de cuentas únicamente se realiza cuando la MAI presenta los informes de actividades una vez al año o en períodos más cortos, ya que esta debe demostrar que se han empleado los recursos considerando los principios de economía, eficiencia y eficacia; incluyendo aquellos que tengan relación con la implementación del control interno. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Responsabilidad por el Control Interno y Rendición de Cuentas, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Reglamentos, manuales, procesos u otros documentos en los que se establece niveles de autoridad y responsabilidad de cada miembro de la organización de responder o rendir cuentas por el funcionamiento del control interno y el logro de los objetivos institucionales. Como se puede advertir, los productos de cada uno de los componentes se vinculan entre sí, para lograr el funcionamiento del control interno como un proceso integrado e integrador; y, b. Informes de rendición de cuentas. -- 46 of 153 -- CAPÍTULO IV 200-00 COMPONENTE EVALUACIÓN DE LOS RIESGOS La información y documentación que genera la implementación del Componente Entorno de Control sirve de insumo para el desarrollo de este componente, principalmente en lo relativo a: las políticas sobre control interno; los objetivos establecidos en la planificación; y, la organización por procesos, que son el punto de partida para la gestión de los riesgos. El Componente Evaluación de los Riesgos tiene los siguientes Principios y Normas de Control Interno: Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) CAPÍTULO IV 200-00 COMPONENTE EVALUACIÓN DE LOS RIESGOS La información y documentación que genera la implementación del Componente Entorno de Control sirve de insumo para el desarrollo de este componente, principalmente en lo relativo a: las políticas sobre control interno; los objetivos establecidos en la planificación; y, la organización por procesos, que son el punto de partida para la gestión de los riesgos. El Componente Evaluación de los Riesgos tiene los siguientes Principios y Normas de Control Interno: 200-00 COMPONENTE EVALUACIÓN DE LOS RIESGOS PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/210-00 Objetivos Institucionales NCI-TSC/211-00 Alinear al plan estratégico todos los demás objetivos NCI-TSC/212-00 Priorizar los objetivos para gestionar sus riesgos y establecer responsables para su implementación PCI-TSC/220-00 Identificación, Evaluación y Respuesta a los Riesgos NCI-TSC/221-00 Involucrar a toda la organización en la gestión de los riesgos NCI-TSC/222-00 Identificar factores de riesgo internos y externos NCI-TSC/223-00 Evaluar y analizar los riesgos NCI-TSC/224-00 Respuesta a los riesgos PCI-TSC/230-00 Identificación, Evaluación y Análisis del Riesgo de Fraude NCI-TSC/231-00 Identificar los distintos tipos de fraude y potenciales actores NCI-TSC/232-00 Evaluar los incentivos, las presiones y oportunidades NCI-TSC/233-00 Respuesta al Riesgo de Fraude PCI-TSC/240-00 Evaluación de Cambios con Efectos en el Control Interno NCI-TSC/241-00 Identificación de los cambios externos e internos NCI-TSC/242-00 Evaluar y responder a los cambios PCI-TSC/210-00 Principio Objetivos Institucionales Los objetivos establecidos en la implementación de los principios: Planificación en Toda la Organización; la Organización, Autoridad y Responsabilidad Definidas; y, la Gestión del Talento Humano con Base en las Competencias Profesionales desarrolladas en el Componente Entorno de Control, deben ser organizados y priorizados por la MAI y la MAE para gestionar los riesgos de acuerdo con sus criterios gerenciales, dentro de sus competencias y expectativas. Permitir el cumplimiento de los objetivos institucionales es uno de los principales objetivos del control interno. A lograr ese propósito se orienta la implementación del proceso de evaluación de los riesgos y las actividades de control, en conjunto con los demás componentes. Las siguientes Normas de Control Interno relacionadas con el Principio Objetivos Institucionales, permiten su diseño e implementación: -- 47 of 153 -- NCI-TSC/211-00 Alinear al plan estratégico todos los demás objetivos La MAE con la participación de los directivos deben formular los objetivos de los planes operativos, el presupuesto, los planes de compras y contrataciones, los macroprocesos y otros objetivos, en función o en relación con los objetivos estratégicos de la entidad. Esta actividad permite a la entidad contar con un detalle o listado de todos los objetivos organizados en función de los objetivos estratégicos, sobre los que las autoridades y directivos puedan tomar decisiones para la gestión de los riesgos. Para unificar criterios en la formulación de objetivos alineados a los estratégicos, la MAE debe disponer de un procedimiento, que será sometido a su aprobación para que sea de obligatorio cumplimiento dentro de la entidad. NCI-TSC/212-00 Priorizar los objetivos para gestionar sus riesgos y establecer responsables de su implementación Con base en el listado o detalle de los objetivos alineados a los estratégicos, la MAE establecerá los criterios para priorizarlos y gestionar los riesgos relacionados, de acuerdo con las políticas emitidas por la MAI Las autoridades y directivos priorizarán los objetivos de acuerdo con las exigencias legales, la relación con la misión, visión y valores, las expectativas ciudadanas, u otros criterios, que deberán reflejarse en el documento que emitan para orientar la gestión de los riesgos, el cual debe ser aprobado por la MAI o a quien esta delegue. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Objetivos Institucionales, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Procedimiento para formular objetivos alineados a los objetivos estratégicos y criterios para su priorización; y, b. Listado o detalle de objetivos de acuerdo con las prioridades establecidas aprobado por la autoridad competente. PCI-TSC/220-00 Principio Identificación, Evaluación y Respuesta a los Riesgos El riesgo se define como la probabilidad de que eventos internos o externos, afecten negativamente la capacidad organizacional para alcanzar los objetivos. -- 48 of 153 -- PCI-TSC/220-00 Principio Identificación, Evaluación y Respuesta a los Riesgos El riesgo se define como la probabilidad de que eventos internos o externos, afecten negativamente la capacidad organizacional para alcanzar los objetivos. Por tanto, en un período determinado, la gestión de los riesgos debe ser aplicados a todos los objetivos sobre la base de un plan que debe establecer los responsables de liderar la gestión de los riesgos, la fecha de inicio y finalización, los recursos que se utilizarán, y los indicadores para medir su cumplimiento. Este plan debe ser aprobado por la MAI. Para elaborar el plan, la MAE debe contar con una metodología para la evaluación de los riesgos; en caso de existir una metodología elaborada para todo el Sector Público, puede evaluar y expresar por escrito si la adoptará o adaptará en función de la naturaleza de las actividades institucionales. De no considerar la opción anterior, la MAE, con la participación de los directivos de la entidad debe establecer la metodología que utilizará para la gestión de los riesgos, a partir del listado o detalle de objetivos y su priorización; esto es: la identificación de eventos internos y externos; la evaluación de los riesgos a través de probabilidades, impactos u otros criterios como la velocidad con que se presentan los hechos y su permanencia en el tiempo; la respuesta a los riesgos; el análisis y valoración de los riesgos a través de la medición del grado de efectividad de los controles existentes; y, el riesgo residual. Con base al riesgo residual, la MAE revisará y aprobará las propuestas de los directivos para responder a los riesgos, esto es, aceptar, mitigar, compartir, o evitar, en la forma en que se describe más adelante en las respectivas normas de control interno. Las siguientes Normas de Control Interno relacionadas con el Principio Identificación, Evaluación y Respuesta a los Riesgos, permiten su diseño e implementación: NCI-TSC/221-00 Involucrar a toda la organización en la gestión de los riesgos. La MAE debe disponer que el establecimiento de los objetivos institucionales y la gestión de los riesgos involucren a todos los niveles de la organización, de acuerdo con su grado de participación en el logro de dichos objetivos. Esto incluye a todos los procesos, actividades y tareas que se desarrollan en la institución, sin excepción. En la medida en que funcionan los controles establecidos dentro de la organización para mitigar los riesgos que afectan el logro de todos los objetivos institucionales, se tiene mayor probabilidad de cumplirlos en la forma en que se planificaron. La capacitación sobre gestión de riesgos a líderes que ejerzan efecto multiplicador es clave para lograr que en la entidad se comprenda y acepte los beneficios y la metodología de este proceso, y se logre una implementación participativa y comprometida. NCI-TSC/222-00 Identificar factores de riesgo externos e internos La identificación de los riesgos vinculada a los objetivos de toda la institución proporciona una base para evaluarlos. Son muchos los factores externos e internos que provocan eventos que afectan a la implantación de la estrategia y la consecución de objetivos. Por esa razón, la MAE y los directivos deben identificar dichos factores y el tipo de evento o riesgo que puede derivarse de ellos. Los factores -- 49 of 153 -- externos más comunes que pueden afectar el logro de los objetivos son los siguientes: a. Económicos, por ejemplo: inflación, reducción de presupuesto y disminución de ingresos por falta de poder adquisitivo de los ciudadanos, disminución de las importaciones y exportaciones; b. Naturales, por ejemplo: inundaciones, sequías, incendios y terremotos, que provocan daños a las instalaciones o edificios, un acceso restringido a las materias primas y productos, o la pérdida de capital humano; c. Políticos, por ejemplo: incluyen la elección de gobiernos nacionales y locales y sus efectos como cambios en los programas de gobierno, leyes y otras normas; d. Sociales, por ejemplo: el desempleo, la violencia, paros en la producción, huelgas y otras manifestaciones; y, e. Tecnológicos, por ejemplo: relativos a los nuevos medios de comunicación, que generan una mayor disponibilidad de datos, reducciones de costos mediante el uso de nuevas tecnologías para la generación de bienes y servicios públicos y el aumento en su demanda. Los factores internos, más comunes son los siguientes: a. Personal, por ejemplo: Relacionados con las competencias y actitudes del personal, accidentes laborales, actividades fraudulentas, efectos no previstos en los contratos colectivos; b. Financieros e infraestructura, por ejemplo: relacionados con disminuciones u otras modificaciones presupuestarias internas, pérdidas significativas que afectan la situación financiera de la entidad, así como las condiciones de las instalaciones físicas para el desarrollo de sus actividades; c. Procesos, por ejemplo: tales como modificación de procesos sin adecuadas estrategias de comunicación para la gestión de los cambios, los errores en el diseño y la aplicación de los procesos; y, d. Tecnología, por ejemplo: fallas de seguridad y la potencial caída de los sistemas pueden dar lugar a atrasos en la producción, e incapacidad para continuar las operaciones. La identificación de riesgos o eventos que pueden afectar el logro de los objetivos debe realizarse tomando en cuenta los factores mínimos descritos, más otros que tengan mayor relación con las facultades legales, la misión y visión de la entidad. Una vez que se han identificado los principales factores externos e internos, la dirección puede considerar su relevancia y centrarse en los eventos que pueden tener mayor efecto en el logro de los objetivos. Las técnicas más comunes para la identificación de eventos son las siguientes, para cuya aplicación se debe tener en cuenta los costos y los beneficios; así como, la información disponible: a. Inventario de eventos relacionados con cada uno de los objetivos priorizados, son posibles riesgos o acontecimientos internos y externos que pueden presentarse por la naturaleza de las actividades de la entidad o de un proceso específico. Este inventario puede tabularse de forma manual o mediante el uso de aplicaciones cuando amerite; b. Talleres de trabajo y entrevistas, estas técnicas identifican los eventos aprovechando el conocimiento y la experiencia acumulada de los directivos y el personal vinculado con los procesos, a través de -- 50 of 153 -- discusiones estructuradas. Un facilitador organiza y ejecuta la discusión sobre los eventos que pueden afectar a la consecución de objetivos de la entidad o de los procesos cuyos objetivos se analizan. Al combinar los conocimientos y experiencia de los miembros del equipo, se identifican eventos importantes que de otro modo podrían haberse olvidado; c. Análisis del flujo del proceso. Esta técnica considera la combinación de entradas, tareas y responsabilidades y salidas de los procesos; y, d. Identificar eventos que en el pasado han generado pérdidas. Analizar datos sobre eventos que provocaron pérdidas en el pasado son una fuente útil de información para establecer tendencias y las principales causas. Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puede hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. En la identificación de eventos, la MAE, los directivos y demás involucrados en el proceso deben analizar cómo éstos se relacionan entre sí. Evaluando estas relaciones, se puede determinar dónde deberían aplicarse los mayores esfuerzos en la gestión de riesgos. Para documentar la identificación de los riesgos para cada uno de los objetivos, la MAE, los directivos y el personal de apoyo que participa en el proceso, deben describir los riesgos, las causas por las que se originan, los efectos que ocasionarían en caso de que ocurran, y dónde se presentan, esto es, la unidad o proceso institucionales. Sobre los eventos externos, la entidad no tiene la posibilidad de gestionarlos pues no se pueden controlar, por lo que deberá establecer las mejores estrategias para obtener la mayor información posible sobre los alcances y efectos que puede tener, principalmente sobre los objetivos estratégicos. Todas las acciones realizadas deben documentarse apropiadamente e identificar a quienes elaboraron, revisaron y aprobaron; siendo este un proceso dinámico que debe revisarse de forma periódica. NCI-TSC/223-00 Evaluar y analizar los riesgos Para efectos de implementación de este MARCI, la incertidumbre de los eventos potenciales debe evaluarse desde dos perspectivas: probabilidad e impacto. La primera representa la posibilidad de que ocurra un evento determinado que afecte negativamente el logro de los objetivos, mientras que la segunda refleja su efecto en caso de ocurrir. Existen otras variables como la velocidad con la que se presentan los eventos y su permanencia en el tiempo, sin embargo, éstas no son muy comunes en la mayoría de las entidades. La metodología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y cuantitativas. Los directivos aplican a menudo técnicas cualitativas cuando los riesgos no se prestan a la cuantificación, o no están disponibles datos suficientes y confiables para una evaluación cuantitativa, o porque su obtención y análisis son muy costosos. Para conseguir consensos sobre la probabilidad e impacto usando técnicas cualitativas de evaluación, las entidades pueden aplicar el mismo enfoque que usan en la identificación de eventos, tales como las entrevistas y grupos de trabajo. Las técnicas cuantitativas aportan mayor precisión y se usan en actividades más complejas y sofisticadas, entre las que se destacan las siguientes: a. Benchmarking. Es un proceso comparativo entre entidades, que enfoca eventos o procesos -- 51 of 153 -- concretos, compara medidas y resultados mediante métricas comunes e identifica oportunidades de mejora. b. Modelos probabilísticos. Sobre la base de ciertas hipótesis. Los modelos probabilísticos relacionan una gama de eventos con su probabilidad de ocurrencia e impacto resultante. c. Modelos no probabilísticos. Los modelos no probabilísticos aplican hipótesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantificada. La periodicidad para la evaluación de los riesgos debe ser consistente al del monitoreo de la estrategia y objetivos y los procesos. A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determinan usando datos procedentes de eventos anteriores, que proporcionan una base más objetiva que las estimaciones que no cuentan con este respaldo. Las entidades deben establecer una metodología de evaluación de riesgos que contemple una relación entre la probabilidad e impacto, para que su resultado determine la categoría de riesgos que puede ser Alto, Medio o Bajo (u otras categorías como muy alto, alto, medio, bajo o muy bajo dependiendo de la metodología que haya desarrollado la entidad). Estos resultados deben presentarse en mapas o matrices de riesgos para facilitar su análisis y la toma de decisiones por parte de la MAE y los directivos. Las categorías de riesgos deben determinarse en dos momentos: El primero antes de conocer la existencia de controles y su funcionamiento, a lo que se conoce como riesgo inherente; y, el segundo después de analizar la existencia de los controles establecidos por institución y su efectividad frente a las probabilidades e impactos, o sea frente a la categoría de riesgo establecido. El resultado de esta comparación es lo que se conoce como riesgos residuales y es sobre el cual las autoridades deben tomar las decisiones consistentes en la formulación de respuestas a los riesgos. Cuando sea probable que los riesgos afecten a múltiples procesos, los directivos pueden agruparlos en categorías comunes de eventos y después, considerarlos primero por unidad o proceso, y luego conjuntamente para toda la entidad. Todas las acciones realizadas deben documentarse apropiadamente e identificar a quienes elaboraron, revisaron y aprobaron. NCI-TSC/224-00 Respuesta a los riesgos Con base en los resultados de la evaluación de los riesgos inherentes y el riesgo residual que consten en mapas o matrices de riesgos y otros documentos; la MAI, MAE, directivos y demás personal de apoyo, deben definir o establecer las acciones concretas para hacer frente a los riesgos. Las siguientes son las categorías de respuestas respecto de los riesgos identificados, evaluados y analizados: a. Aceptar los riesgos. Los riesgos se aceptarán como se identificaron, sin invertir en controles. Generalmente esta decisión se adopta cuando la categoría de riesgos es baja, o no afectan significativamente el logro de los objetivos; b. Mitigar o reducir los riesgos. Implica establecer actividades de control para mitigar o reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez; c. Compartir los riesgos. La probabilidad o el impacto del riesgo se reduce trasladando o compartiendo -- 52 of 153 -- una parte del riesgo, con otras entidades públicas o con el sector privado. El ejemplo más común de compartir es la contratación de seguros; y, d. Evitar los riesgos. Supone salir de los objetivos y las actividades que generen riesgos porque no se identificó alguna opción de respuesta que redujera el impacto y probabilidad hasta un nivel aceptable. En estos casos, se deben replantear los objetivos o cambiarlos totalmente. La MAE, con la participación de los directivos, antes de decidir sobre la respuesta a los riesgos, debe evaluar su efecto sobre la probabilidad y el impacto del riesgo, así como, los costos que implicaría su implementación. Todas las acciones realizadas deben documentarse apropiadamente mediante la elaboración de un plan de respuestas a los riesgos e identificar a quiénes elaboraron, revisaron y aprobaron. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Identificación, Evaluación y Respuesta a los Riesgos, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Documento que evidencie que se involucra a todos los niveles de la organización en la gestión de los riesgos y criterios para priorizarlos, previo a su evaluación de los riesgos; b. Listado o detalle de objetivos alineados a los objetivos estratégicos; c. Metodología para la evaluación de los riesgos, desde la determinación de los niveles de tolerancia al riesgo, su identificación hasta la respuesta a los riesgos que servirá de base para el establecimiento de controles. En caso de que exista una metodología para todo el sector público, la MAE deberá disponer su adopción o adaptación; d. Plan de implementación de la gestión de riesgos con base en los objetivos priorizados y los informes de su cumplimiento; e. Documento en el que se identifiquen los factores de riesgo internos y externos; f. Matrices, mapas de riesgos o documentos equivalentes, generalmente tablas de Excel relacionadas o aplicaciones desarrolladas a la medida de las entidades, en los que se evalúa la probabilidad y el impacto y otros criterios para categorizar el nivel de los riesgos, se analice la eficacia de los controles existentes, y se establece el riesgo residual; y, g. Plan de Respuesta a los riesgos o documento equivalente en el que la MAE y los directivos deciden si los riesgos se aceptan, mitigan, comparten o evitan. PCI-TSC/230-00 Principio Identificación, Evaluación y Análisis del Riesgo de Fraude El informe COSO versión 2013 describe que la evaluación del riesgo de fraude tiene en -- 53 of 153 -- PCI-TSC/230-00 Principio Identificación, Evaluación y Análisis del Riesgo de Fraude El informe COSO versión 2013 describe que la evaluación del riesgo de fraude tiene en cuenta posibles alteraciones de registros de la organización, informaciones fraudulentas, pérdida de activos, oportunidades de adquisiciones, uso o venta de activos no autorizados que tienen incentivos para quien lo realiza, y casos de corrupción que se originen en el incumplimiento de las leyes, procesos y otras normativas, o conductas irregulares. La implementación de este principio sigue el mismo proceso de la sección 220-00 para la Identificación, Evaluación y Respuesta a los Riesgos. Es más, durante la implementación de la sección 220-00 es obligación de las autoridades, directivos y de todo el personal que participa en este proceso, estar atento a identificar etapas, actividades o tareas que estén expuestas a errores o irregularidades que afecten los recursos de la entidad. Las siguientes Normas de Control Interno relacionadas con el Principio Identificación, Evaluación y Análisis del Riesgo de Fraude, permiten su diseño e implementación: NCI-TSC/231-00 Identificar los distintos tipos de fraude y potenciales actores La MAI, la MAE y los directivos, con el acompañamiento y/o asesoramiento del Comité de Probidad y Ética Pública (CPEP) o de auditores forenses, en caso de existir esa posibilidad, deben considerar la probabilidad de ocurrencia de actos de corrupción, fraudes, abuso de autoridad, desperdicio y otras irregularidades que atentan contra los bienes y recursos públicos, como parte o de manera separada, a la identificación, evaluación, análisis y respuesta a los riesgos generales de la entidad y sus procesos. La corrupción, por lo general, implica la obtención ilícita por parte de un servidor público de algo de valor, a cambio de la realización de una acción ilícita o contraria a la integridad. La administración de los ingresos, la gestión de las adquisiciones y contratación de bienes, servicios y obras públicas, la gestión del talento humano, las concesiones mineras o de otra naturaleza, entre otros, son generalmente áreas o procesos de mayor riesgo de fraude. Las entidades que producen bienes o servicios tienen sus propios riesgos de fraude que deben ser gestionadas por las autoridades y directivos junto con los demás procesos, porque generalmente se interrelacionan. La MAE y los directivos deben considerar los tipos de corrupción que pueden ocurrir en la institución, para proporcionar una base para la identificación de estos riesgos. A continuación, se enlista los tipos de corrupción más comunes, la cual puede adecuarse a las características de cada entidad con la asesoría legal correspondiente: a. Informes financieros y no financieros fraudulentos; b. Apropiación indebida de activos y otros recursos; c. Utilización de los recursos de la entidad pública, para fines distintos a los legalmente establecidos; d. Conflicto de intereses; e. Abuso de autoridad, o aprovechamiento del cargo para inducir a que otro servidor público o tercero efectúe, retrase u omita realizar algún acto de su competencia, que le reporte cualquier beneficio, provecho o ventaja indebida para sí o para un tercero; f. Utilización de información privilegiada o reservada; -- 54 of 153 -- g. Acuerdos o colusión con otros servidores públicos o terceros para obtener ventajas o ganancias ilícitas; h. Intimidación del servidor público o extorsión para presionar a otra persona a realizar actividades ilegales o ilícitas; e, i. Tráfico de influencias, enriquecimiento no justificado y otros delitos establecidos por la normativa legal correspondiente, para cuya determinación se debe contar con la asesoría legal correspondiente. Además de la corrupción, la MAE y los directivos deben considerar que pueden ocurrir otras transgresiones a la integridad, por ejemplo: El desperdicio, o el abuso de los recursos para la realización de actividades innecesarias y que no agregan valor, pero que implican costos. El desperdicio es el acto de usar o gastar recursos de manera exagerada, extravagante o sin utilidad para la institución. El abuso involucra un comportamiento deficiente o impropio, contrario al comportamiento que un servidor público prudente podría considerar como una práctica operativa razonable y necesaria, dados los hechos y circunstancias. Para una identificación apropiada del riesgo de fraude, la entidad debe elaborar una matriz o cuadro que contenga el nombre del proceso o actividad, el objetivo, el tipo de riesgo de fraude, la descripción del riesgo de fraude y alguna relación con las normas legales en materia penal, la causa, el efecto, y él o las áreas involucradas, así como los eventuales agentes externos, públicos o privados. Nótese que este cuadro es similar al que se debe elaborar para la identificación general de los riesgos tratados en el principio anterior. NCI-TSC/232-00 Evaluar los incentivos, las presiones y oportunidades Los incentivos, las presiones y las oportunidades son los principales factores de riesgos al fraude, que deben ser considerados en conjunto con los otros riesgos relacionados con el logro de los objetivos, porque se interrelacionan; por lo que, durante la gestión de los riesgos al fraude, la MAE y los directivos deben considerar la presencia de estos factores o circunstancias. Los incentivos son aquellos beneficios, generalmente de orden económico, que podría percibir una persona por el cometimiento de actos reñidos con la ética y las normas establecidas, tales como sobornos o beneficios por la realización de una acción indebida. Pueden existir otro tipo de incentivos como ascensos a los cargos o favores personales. Las presiones pueden darse con amenazas por no cumplir requerimientos o mediante la fijación de objetivos inalcanzables, que obligan a alterar informes o la realización de acciones indebidas. Las oportunidades se presentan con la ausencia de controles, controles inadecuados, o la capacidad de determinados servidores públicos para eludir controles en razón de su posición en la institución. La colusión es una de las formas de eludir controles, y es muy difícil de identificarla, principalmente cuando intervienen servidores públicos y terceros relacionados, como en la contratación pública. La actitud de las personas involucradas, así como la capacidad de justificar la comisión de actos corruptos, fraudes y otras irregularidades, son elementos a considerar en la evaluación del fraude. Algunos servidores públicos tienen una actitud, carácter o falta de valores éticos, que les permiten efectuar intencionalmente un acto corrupto o deshonesto, como si fueran totalmente normales. La MAE y los directivos deben utilizar la información provista por partes internas y externas para identificar los riesgos de corrupción, fraude, abuso, desperdicio y otras -- 55 of 153 -- irregularidades. Lo anterior incluye quejas, denuncias o sospechas de este tipo de irregularidades, reportadas por los auditores internos, el personal de la institución o las partes externas que interactúan con la institución. La metodología para la gestión general de los riesgos analizada en el principio anterior aplica para esta norma de control interno, porque se deben realizar y documentar las siguientes acciones: la evaluación, categorización, análisis de los controles existentes, el riesgo residual, y la respuesta a los riesgos que no puede ser otra que la de mitigar las posibilidades de fraude. Entre los elementos que se deben evaluar para el riesgo de fraude se encuentran los siguientes: a. Identificación de los distintos tipos de fraude que podrían ocurrir en la entidad, de acuerdo con su naturaleza, para lo que se podría considerar el apoyo de profesionales del derecho; b. Determinación de los incentivos que podrían tener las autoridades y el resto de los servidores para cometer fraude. Los incentivos pueden ser económicos, de información privilegiada, de favores a terceros; c. Presiones que pueden tener los servidores para cometer fraude, como el logro de objetivos de difícil cumplimiento, disposiciones de autoridades; d. Oportunidades para cometer fraude, como la alteración de registros, información, adquisición y disposición de activos; y, e. La actitud de las autoridades y servidores frente a actos fraudulentos. NCI-TSC/233-00 Respuesta al riesgo de fraude La respuesta que la MAE y los directivos deben adoptar frente a los riesgos al fraude, son políticas de cero tolerancia a la corrupción, impulsadas con su ejemplo y las acciones adoptadas ante el conocimiento de hechos identificados, cuyas decisiones deben ser públicas, principalmente cuando están involucradas servidores de jerarquía superior. La transparencia es una de las mejores medidas para prevenir y combatir la corrupción. Los programas de probidad y ética deben considerar la gestión de riesgos de corrupción en cada entidad, así como los mecanismos para que cualquier servidor público o tercero pueda informar de manera confidencial y anónima sobre la existencia de actos corruptos, probables u ocurridos dentro de la institución. La MAE y los directivos son responsables de que dichas denuncias sean investigadas oportunamente y que se corrijan las causas que dieron lugar a la presencia de hechos de corrupción. También, deben analizar y responder a los riesgos de corrupción y otras irregularidades identificadas por cualquier otro medio, como las supervisiones continuas y las actividades de los auditores internos y externos, a fin de que, sean efectivamente mitigados. Estos riesgos, como ya se dijo antes, son analizados mediante el mismo proceso de análisis de riesgos efectuado para todos los demás riesgos identificados. La MAE y los directivos, como parte del análisis de riesgos, también deben evaluar el riesgo de que los responsables de las diferentes etapas de los procesos eludan los controles, y deben diseñar controles específicos para atender este tipo de irregularidades. Dichos controles pueden incluir la rotación de personal, la segregación de funciones incompatibles, la automatización de los procesos, las constataciones físicas de bienes de mayor riesgo, entre otras. La MAI debe implementar procedimientos para identificar el riesgo de que altos directivos eludan los controles para beneficiarse de recursos u otras ventajas. En casos necesarios, -- 56 of 153 -- la incorporación de auditores forenses en los equipos de auditoría interna es una alternativa. De acuerdo con el Artículo 72 (reformado) de la LOTSC, los servidores públicos que tengan conocimiento de infracciones o violaciones a normas legales en la función pública deben comunicarlo inmediatamente a su Superior Jerárquico o al Tribunal y se les debe garantizar la reserva de su identidad. Por su parte, los entes de control y administración de justicia deben actuar con oportunidad, independencia y transparencia para realizar las investigaciones que correspondan para que se apliquen las respectivas sanciones y se evite la impunidad. Las normas de control interno de este MARCI, aplicadas en todas las operaciones, principalmente en las actividades de mayor riesgo y materialidad, deben prevenir e identificar oportunamente la presencia de actos fraudulentos. El control interno debe constar como uno de los principales elementos de un plan anticorrupción que impulsen los poderes del Estado. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Identificación, Evaluación y Análisis del Riesgo de Fraude, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Documento en el que se identifican los factores de riesgo de fraude, con la participación de la MAE, directivos, líderes y operadores de los procesos; b. Matrices, mapas o documentos equivalentes, generalmente tablas de Excel relacionadas o aplicaciones desarrolladas a la medida de las entidades, en los que se evalúa la probabilidad y el impacto; y, otros criterios para categorizar el nivel de los riesgos de fraude, se analiza la eficacia de los controles existentes, similares a la evaluación general de los riesgos; y, c. Procedimientos y otros controles para prevenir y combatir la corrupción en la entidad a través de toda su estructura, principalmente en las áreas o procesos identificados como de mayor riesgo de fraude, que pueden incluirse en un plan institucional de mitigación del fraude. PCI-TSC/240-00 Principio Evaluación de Cambios con Efectos en el Control Interno Las autoridades y los directivos deben analizar cambios o modificaciones significativas -- 57 of 153 -- PCI-TSC/240-00 Principio Evaluación de Cambios con Efectos en el Control Interno Las autoridades y los directivos deben analizar cambios o modificaciones significativas en la legislación, la estructura del Estado, la asignación o generación de recursos, los planes, procesos, la organización, las políticas laborales o ambientales, la tecnología, las relaciones internacionales, y otras, que puedan afectar al control interno y al logro de los objetivos. Frente a los cambios significativos, internos y externos, nacionales e internacionales, las autoridades y los directivos deben analizar los riesgos de manera oportuna para establecer a tiempo los medios para su mitigación. Los cambios frecuentes de directivos y de personal previamente capacitado para posiciones clave para la gestión de los procesos, son riesgos que las entidades públicas deben prever, mediante el desarrollo de competencias de servidores públicos con un relativo grado de estabilidad. Las siguientes normas de control interno relacionadas con el principio Evaluación de Cambios con Efectos en el Control Interno, permiten su diseño e implementación: NCI-TSC/241-00 Identificación de los cambios externos e internos Como complemento a la evaluación y gestión de los riesgos, la MAI, la MAE y los directivos, dentro de los ámbitos de su competencia, deben identificar cambios externos e internos que puedan impactar significativamente al control interno, y por consiguiente al logro de los objetivos. Las condiciones que afectan a la institución y su entorno cambian continuamente. Por lo que las autoridades y directivos deben contar con mecanismos apropiados de investigación e información sobre los cambios que se operan en el mundo o al menos en América Latina con entidades similares, para preparar los niveles de respuesta que disminuyan el riesgo de perder la oportunidad de modernizar y mejorar la calidad de los servicios públicos o de producir los bienes con eficiencia, aunque no existan competidores del sector privado. En el entorno externo los cambios pueden ser: políticos, legales y regulatorios, económicos, tecnológicos, y organizacionales. Los cambios internos incluyen modificaciones a los planes, programas o actividades institucionales, la función de supervisión, la estructura organizacional, el personal y la tecnología. Los cambios significativos identificados deben ser comunicados al personal adecuado de la institución mediante las líneas de reporte y autoridad establecidas. Los principales cambios que pueden afectar a las instituciones son: a. Cambios en el entorno operacional. Los cambios en el contexto económico, legal y social pueden generar nuevos riesgos para la organización; b. Nuevo personal. Principalmente en los niveles directivos que no se integren en la filosofía y enfoque de la organización, o que promueven modificaciones significativas en las políticas establecidas. Si estos cambios son frecuentes, como ocurre en algunas entidades, los riesgos se incrementan significativamente; c. Sistemas de información nuevos o modernizados. Los nuevos sistemas deterioran los controles claves que en el pasado funcionaban y requieren de cambios urgentes pero programados; d. Rápido crecimiento de la organización. El personal y los sistemas se ven sometidos a requerimientos adicionales y los procedimientos de control deben responder a esas necesidades; e. Nuevos servicios y actividades. Es necesario adecuar los controles internos a las nuevas actividades y ajustar los requerimientos de personal y tecnología; y, -- 58 of 153 -- f. Reestructuraciones internas. Ajustes para atender los requerimientos de las autoridades gubernamentales. Esto puede debilitar el control interno por limitaciones de recursos humanos y financieros. NCI-TSC/242-00 Evaluar y responder a los cambios Los cambios en el entorno externo e interno pueden ocasionar que los controles existentes se vuelvan ineficaces o insuficientes para alcanzar los objetivos institucionales. Además, las condiciones cambiantes usualmente generan nuevos riesgos o cambios a los riesgos existentes, los cuales deben ser evaluados antes o inmediatamente después de que se presenten en la entidad. Como parte del análisis y respuesta, la MAE y los directivos deben desarrollar una evaluación de los cambios y los efectos que estos pueden tener en el sistema de control interno. La necesidad de estas respuestas a los cambios debe estar considerada en la metodología desarrollada o adoptadas por la entidad para la evaluación de los riesgos, principalmente con aquellos procesos integrados con otras entidades, como la gestión financiera gubernamental, del talento humano, de compras, o que tienen relación con los procesos misionales, principalmente en entidades que producen bienes y servicios. La MAE con el apoyo de los directivos deben contar con oportuna y suficiente información sobre nuevas disposiciones legales y económicas, los modelos de negocio relacionados con sus actividades, nuevas tecnologías, los cambios de autoridades y funcionarios de áreas estratégicas, para determinar si los efectos en el sistema de control por los cambios ocurridos, podrían requerir una evaluación más profunda, para establecer si las tolerancias y las respuestas al riesgo definidas previamente a los cambios, necesitan ser replanteadas. Los procedimientos utilizados para la evaluación general de los riesgos aplican para estos fines, porque es un riesgo de permanente presencia, y se requiere actualizar los documentos previamente elaborados para los objetivos y los procesos. En caso de nuevos procesos o cambios significativos a los existentes, se deberá realizar nuevamente la evaluación de los riesgos como se explicó en secciones anteriores. NCI-TSC/242-00 Evaluar y responder a los cambios Los cambios en el entorno externo e interno pueden ocasionar que los controles existentes se vuelvan ineficaces o insuficientes para alcanzar los objetivos institucionales. Además, las condiciones cambiantes usualmente generan nuevos riesgos o cambios a los riesgos existentes, los cuales deben ser evaluados antes o inmediatamente después de que se presenten en la entidad. Como parte del análisis y respuesta, la MAE y los directivos deben desarrollar una evaluación de los cambios y los efectos que estos pueden tener en el sistema de control interno. La necesidad de estas respuestas a los cambios debe estar considerada en la metodología desarrollada o adoptadas por la entidad para la evaluación de los riesgos, principalmente con aquellos procesos integrados con otras entidades, como la gestión financiera gubernamental, del talento humano, de compras, o que tienen relación con los procesos misionales, principalmente en entidades que producen bienes y servicios. La MAE con el apoyo de los directivos deben contar con oportuna y suficiente información sobre nuevas disposiciones legales y económicas, los modelos de negocio relacionados con sus actividades, nuevas tecnologías, los cambios de autoridades y funcionarios de áreas estratégicas, para determinar si los efectos en el sistema de control por los cambios ocurridos, podrían requerir una evaluación más profunda, para establecer si las tolerancias y las respuestas al riesgo definidas previamente a los cambios, necesitan ser replanteadas. Los procedimientos utilizados para la evaluación general de los riesgos aplican para estos fines, porque es un riesgo de permanente presencia, y se requiere actualizar los documentos previamente elaborados para los objetivos y los procesos. En caso de nuevos procesos o cambios significativos a los existentes, se deberá realizar nuevamente la evaluación de los riesgos como se explicó en secciones anteriores. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Evaluación de Cambios con Efectos en el Control Interno, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Informes o investigaciones sobre cambios externos e internos que afectan el funcionamiento del control interno; b. Disposiciones de la MAI y la MAE, en los ámbitos de su competencia para atender con oportunidad los cambios externos e internos que afecten el control interno y el logro de los objetivos; y, c. Documentos en los que se actualiza de la evaluación de los riesgos realizado para objetivos preexistentes, o desarrollo de evaluaciones para nuevos objetivos y procesos, utilizando la metodología general de evaluación de los riesgos institucionales. -- 59 of 153 -- CAPÍTULO V 300-00 COMPONENTE ACTIVIDADES DE CONTROL Las políticas y procedimientos establecidos por la MAI, la MAE y otros miembros de la organización con autoridad para emitirlos, permiten mitigar o compartir los riesgos que podrían afectar el logro de los objetivos. Las actividades de control se pueden realizar de forma manual o por medios computarizados, dependiendo de la complejidad, tamaño y recursos disponibles. Los procedimientos son las acciones utilizadas por la MAE y los directivos, para implementar las políticas y ayudar a asegurar que se ejecuten las respuestas a los riesgos. El Componente Actividades de Control tiene los siguientes Principios y Normas de Control Interno: CAPÍTULO V 300-00 COMPONENTE ACTIVIDADES DE CONTROL Las políticas y procedimientos establecidos por la MAI, la MAE y otros miembros de la organización con autoridad para emitirlos, permiten mitigar o compartir los riesgos que podrían afectar el logro de los objetivos. Las actividades de control se pueden realizar de forma manual o por medios computarizados, dependiendo de la complejidad, tamaño y recursos disponibles. Los procedimientos son las acciones utilizadas por la MAE y los directivos, para implementar las políticas y ayudar a asegurar que se ejecuten las respuestas a los riesgos. El Componente Actividades de Control tiene los siguientes Principios y Normas de Control Interno: 300-00 COMPONENTE ACTIVIDADES DE CONTROL PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/310-00 Diseño e Implementación de Controles para Mitigar los Riesgos NCI-TSC/311-00 Los controles se integran a la evaluación y gestión de los riesgos, la organización y los procesos NCI-TSC/312-00 Actividades de control de acuerdo con la organización y los procesos PCI-TSC/320-00 Actividades de Control sobre la Tecnología para Lograr los Objetivos NCI-TSC/321-00 Establecer la adhesión institucional al uso de la tecnología NCI-TSC/322-00 Establecer actividades de control relevantes sobre los procesos de gestión de la seguridad NCI-TSC/323-00 Establecer actividades de control relevantes sobre los procesos de adquisición, desarrollo y mantenimiento de tecnologías PCI-TSC/330-00 Establecimiento de Controles a través de Políticas, Procedimientos y otros medios NCI-TSC/331-00 Políticas y procedimientos para implementar actividades de control NCI-TSC/332-00 Controles para mitigar riesgos inherentes más frecuentes (Esta norma se desarrolla a través de 25 normas detalladas) -- 60 of 153 -- PCI-TSC/310-00 Principio Diseño e Implementación de Controles para Mitigar los Riesgos El desarrollo de este principio es la culminación de la evaluación de los riesgos, puesto que, con su implementación, las autoridades y directivos establecen los controles que mitigan los riesgos. Las siguientes Normas de Control Interno relacionadas con el Principio Diseño e Implementación de Controles para Mitigar los Riesgos, permiten su diseño e implementación: NCI-TSC/311-00 Los controles se integran a la evaluación y gestión de los riesgos, la organización y los procesos La administración debe diseñar e implementar los controles que cumplan las disposiciones legales y se adapten a las características de la organización y sus procesos, a los recursos disponibles, a las estrategias definidas para el enfrentamiento de los riesgos relevantes, considerando siempre la relación costo/beneficio. Los directivos de la institución deben elaborar un plan de mitigación de los riesgos que contenga como mínimo la siguiente información, y someterlo a la aprobación de la MAE: Identificación del objetivo, descripción del riesgo, categoría del riesgo residual, controles establecidos para su mitigación, responsable de su implementación, recursos necesarios, fechas de inicio y finalización, indicadores y medios de verificación, firmas de elaboración, revisión y aprobación. El desarrollo de este principio es relativamente rápido, por cuanto es una continuación de la implementación del componente Evaluación de los Riesgos, ya que es la base para el establecimiento de controles que los mitigue. Las actividades de control soportan todos los componentes de control interno, pero se encuentran especialmente alineados con el componente de evaluación de riesgos, que se constituye en el insumo para su desarrollo. Después de haber seleccionado las respuestas al riesgo, las personas autorizadas dentro de la organización deben establecer actividades de control necesarias para disminuir o compartir los riesgos, y alcanzar los objetivos en sus diferentes categorías. La matriz y otros documentos que se elaboran durante la evaluación de los riesgos deben relacionar los objetivos, los riesgos y los controles para asegurarse de que todos los riesgos han tenido la respuesta apropiada a través de las actividades de control diseñadas e implementadas durante este proceso. Como ya se dijo anteriormente, todos los componentes tienen interrelación, pero los componentes evaluación de los riesgos y actividades de control, se implementan con acciones sucesivas. NCI-TSC/312-00 Actividades de control de acuerdo con la organización y los procesos La MAI, la MAE y los directivos deben diseñar e implementar actividades de control en los niveles de sus competencias de acuerdo con la estructura organizacional, para asegurar que abarcan todos los objetivos institucionales y los riesgos asociados. Los procesos operativos deben incorporar actividades de control durante la transformación de los insumos, en bienes, servicios e información, para lograr los objetivos institucionales. Los controles internos son previos, concurrentes y posteriores, estos, deben funcionar de manera integrada para que den resultados apropiados frente al logro de los objetivos y la protección de los recursos. -- 61 of 153 -- Para que la MAE y los directivos decidan sobre los controles y su relación los procesos, actividades, tareas y transaccio- nes dentro de la organización, debe considerar los siguientes factores: a. Disponer por escrito y con precisión, de las actividades, tareas o transacciones en la que se aplicarán los controles, la forma de hacerlo, los responsables de su ejecución y supervisión de acuerdo con la organización, y la forma en que se debe documentar; b. En los procesos o en cualquier otra disposición, se establecerá la frecuencia con la que se aplicará cada control para lo que se deberá tener en cuenta aquellos controles que se aplican de manera regular, y los que se realizan en forma sorpresiva como los arqueos de caja u otras inspecciones físicas; y, c. En el diseño de las actividades de control se debe asegurar que las funciones incompatibles sean segregadas. Cuando dicha segregación no sea práctica, debe diseñar medidas de control alternativas como las supervisiones de los niveles de autoridad que la organización permita. La mayor parte de los procesos cuentan con una combinación de controles manuales y automatizados, dependiendo de la disponibilidad de recursos y los requerimientos en la organización. Los controles automatizados suelen ser más confiables, siempre y cuando se implementen y funcionen adecuadamente los controles relativos a dichas tecnologías, dado que son menos susceptibles a errores humanos o de criterio personal, también porque suelen ser más eficientes. Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Diseño e Implementación de Controles para Mitigar los Riesgos, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Documentos que vinculan las actividades de control con los objetivos y los riesgos residuales. Generalmente son las matrices de riesgos que se desarrollan desde el Componente Evaluación de los Riesgos, que concluyen en el Componente Actividades de Control mediante la formulación de acciones de control para los riesgos identificados, por su interrelación directa; y, b. Plan de mitigación de los riesgos cuyo contenido se describe en la norma 311- 00, aprobado por la MAE, y cuando los casos requieran, con la aprobación de la MAI. PCI-TSC/320-00 Principio Actividades de Control sobre la Tecnología para Lograr los Objetivos La MAI, la MAE y los directivos deben establecer, a través de políticas, planes, procesos -- 62 of 153 -- PCI-TSC/320-00 Principio Actividades de Control sobre la Tecnología para Lograr los Objetivos La MAI, la MAE y los directivos deben establecer, a través de políticas, planes, procesos y otros medios, la dependencia y la vinculación existente entre los objetivos, la organización y las actividades automatizadas, los controles generales sobre la tecnología y específicos sobre las aplicaciones. Para este propósito deben seleccionar y desarrollar actividades de control sobre la infraestructura tecnológica, que ha sido diseñada e implementada para garantizar la integridad, precisión y disponibilidad de la información y, además, establecen actividades de control sobre la seguridad, la adquisición, desarrollo, aplicación y mantenimiento de las tecnologías. Las siguientes Normas de Control Interno relacionadas con el Principio Actividades de Control sobre la Tecnología para Lograr los Objetivos, permiten su diseño e implementación: NCI-TSC/321-00 Establecer la adhesión institucional al uso de la tecnología La MAI, con la participación de la MAE y los directivos, debe emitir políticas relacionadas con la adhesión de los procesos de la entidad a la tecnología de información y comunicaciones, de acuerdo con los siguientes criterios: las políticas nacionales en esta materia, la velocidad de los cambios tecnológicos, la complejidad de las operaciones institucionales, la conveniencia de automatizar los procesos, el desarrollo interno o la adquisición de recursos tecnológicos, o una combinación de ambas alternativas, la seguridad, el mantenimiento, y otros criterios relacionados. La MAI, para establecer las políticas debe tomar en cuenta que las actividades de control y la tecnología se relacionan de dos formas: a. La tecnología apoya los procesos de la institución: cuando la tecnología está integrada en los procesos, se necesitan actividades de control para mitigar el riesgo de un funcionamiento inadecuado; y, b. La tecnología se utiliza para automatizar las actividades de control: muchas actividades de control de una organización están parcial o completamente automatizadas, y en esa medida se deben establecer controles para mitigar los propios riesgos tecnológicos, como la implementación y uso adecuado de usuarios y contraseñas, para controlar el ingreso no autorizado a los sistemas y aplicaciones. Sobre la base de las políticas, la MAE con la participación de los directivos, deberá elaborar un plan de tecnología de la información y comunicación, que tendrá la cobertura y complejidad en proporción con el grado de dependencia institucional en la tecnología. En entidades de alta dependencia en la tecnología, debe elaborarse un plan estratégico de tecnología de la información y comunicación, alineado al plan estratégico institucional, utilizando los recursos que sean necesarios. -- 63 of 153 -- La infraestructura tecnológica de una entidad está constituida por el hardware y el software. Los controles sobre computadoras, monitores, videocámaras, internet, sensores, escáneres, impresoras, cableado, entre otros, asumen, en algunos aspectos, características similares a las de los demás bienes de uso, más los controles que requieren estos recursos, por su naturaleza. Los sistemas operativos y los programas informáticos como bases de datos, procesadores de texto, herramientas de ofimática, antivirus y programas de encriptamiento; son indispensables para el funcionamiento de un sistema confiable de información y comunicación, y deben contar con sus propios controles. Este MARCI, no profundiza en la administración y control de la infraestructura tecnológica que deben realizar las instituciones para proteger los recursos tecnológicos y la información. Estos temas especializados requerirán de un estudio más profundo, en entidades con alta dependencia en la tecnología, para lo que deben utilizar criterios como COBIT, ITIL, ISO/IEC 27001 y otros, de acuerdo con sus requerimientos institucionales. Sobre la base de las políticas y los resultados de la evaluación de los riesgos que debe identificar y gestionar los relacionados con la tecnología, se deben establecer actividades de control de los sistemas de información y comunicación, tanto para requerimientos internos como externos, siempre considerando las disposiciones legales aplicables. El primer grupo de actividades de control lo forman los controles generales, que se aplican a casi todos los niveles de la organización, y ayudan a asegurar que la infraestructura, el desarrollo o adquisición de sistemas y aplicaciones, la seguridad, el mantenimiento y soporte de la tecnología institucional, funcionen de manera continua y adecuada, conforme se ha previsto. El segundo grupo son los controles de aplicación, que incluyen fases informatizadas dentro del software para controlar el ingreso (captura) y el proceso de la información. Los controles de aplicación se centran directamente en la integridad, exactitud, autorización y validez del ingreso y procesamiento de datos. Ayudan a asegurar que los datos se captan o generan en el momento de necesitarlos, que las aplicaciones de soporte estén disponibles y que los errores de interfaz se detecten rápidamente. Un objetivo importante de los controles de aplicación es prevenir que los errores se introduzcan en el sistema, así como detectarlos y corregirlos una vez introducidos en él. Ambos tipos de controles, combinados con controles manuales de proceso cuando sea necesario, operan juntos para asegurar la integridad, exactitud y validez de la información. NCI-TSC/322-00 Establecer actividades de control relevantes sobre los procesos de gestión de la seguridad La gestión de la seguridad debe incluir actividades de control relativos a quiénes y qué acceso tienen a las tecnologías con las que cuenta la organización, lo cual incluirá identificar atribuciones y responsabilidades para ejecutar transacciones. Normalmente estos procesos también deben incluir los derechos de acceso a los datos, al sistema operativo (software del sistema), a las redes, a las aplicaciones y a los distintos niveles físicos. Los controles de seguridad sobre el acceso -- 64 of 153 -- protegen a una entidad de posibles accesos inadecuados y el uso no autorizado del sistema, al tiempo que respalda la segregación de funciones. Al evitar el uso no autorizado y la introducción inadecuada de cambios en el sistema, se protege la integridad de los datos y de los programas, frente a actuaciones adversas para la organización. Las amenazas a la seguridad pueden proceder tanto de fuentes internas como externas. Las amenazas externas son especialmente importantes para las entidades que dependen de las redes de telecomunicaciones o de Internet. Los usuarios, clientes y también agentes malintencionados que utilicen las tecnologías de la entidad pueden encontrarse en el extremo opuesto del planeta o en el mismo edificio de la organización. De igual manera, los múltiples usos de las tecnologías y los puntos de acceso a las mismas determinan la importancia de gestionar debidamente la seguridad. Las amenazas externas son cada vez más habituales en los entornos tan altamente interconectados del panorama actual y para ello se necesitan esfuerzos continuos con el fin de abordar estos riesgos, que deben ser identificados en la evaluación de los riesgos generales, como se explica en el Componente Evaluación de los Riesgos. Las amenazas internas pueden proceder de antiguos empleados o de empleados actuales descontentos con la organización, los cuales pueden representar una serie de riesgos únicos dado que pueden estar motivados para trabajar en contra de los intereses de la entidad, y a la vez estar muy bien informados y equipados para tener éxito en sus propósitos, porque contarán con acceso y conocimientos sobre los procesos y sistemas de gestión de seguridad institucional. El acceso de los usuarios a las tecnologías debe estar controlado mediante una serie de actividades de autenticación en las que el usuario deberá contar con una identificación o un “token” único, certificados, firmas digitales y otros, que serán verificados con respecto a la lista de usuarios autorizados. Los controles generales sobre la tecnología deben estar diseñados para permitir el acceso únicamente a los usuarios autorizados, cuya actualización debe ser permanente y debidamente supervisada. Estas actividades de control deben disponer de una política que restringe a los usuarios autorizados el uso de las aplicaciones o funciones que no corresponden con sus responsabilidades profesionales, respaldando así una adecuada segregación de funciones. Las actividades de control se utilizan para revisar las solicitudes de acceso con respecto a la lista de usuarios autorizados. De igual manera, se debe disponer de otras actividades de control para actualizar el acceso cuando los empleados cambien de puesto de trabajo o se retiren de la entidad. A menudo se debe realizar una comprobación periódica de los derechos de acceso contrastándolos con la política actual para verificar que el acceso de los usuarios sigue vigente. En resumen, los principales controles relativos a la seguridad que se deben establecer son los siguientes: a. Acceso restringido a las áreas de tecnología de la información y comunicación, mediante disposiciones de autoridad competente y utilizando preferentemente medios electrónicos; -- 65 of 153 -- b. En los casos de actualización de tecnologías de soporte se migrará la información a los medios físicos adecuados y con los estándares que garanticen la perpetuidad de los datos y su recuperación; c. Almacenamiento de respaldos con información crítica y/o sensible en lugares externos o en sitios alternos de procesamiento a la entidad; d. Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados; e. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire controlado, disponer de energía acondicionada, esto es estabilizada y polarizada, medios alternativos de energía eléctrica, entre otros; y, f. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en turnos por la noche o en fin de semana. Además de lo señalado, cuando las características de la entidad ameriten, se debe elaborar un plan de contingencias y recuperación de desastres que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas, personal relacionado u otras razones para asegurar la continuidad de las operaciones. El plan de contingencias debe ser un documento de carácter confidencial que debe describir los procedimientos a seguir en caso de una emergencia o fallo computacional que interrumpa la operatividad de los sistemas de información. La aplicación del plan permitirá recuperar la operación de los sistemas en un nivel aceptable, además de salvaguardar la integridad y seguridad de la información. El plan de contingencias deberá ser aprobado por la MAI, difundido exclusivamente entre el personal autorizado y sometido a pruebas, entrenamientos y evaluaciones periódicas, o cuando se haya efectuado algún cambio en la configuración de los equipos o el esquema de procesamiento. NCI-TSC/323-00 Establecer actividades de control relevantes sobre los procesos de adquisición, desarrollo y mantenimiento de tecnologías Los controles generales sobre la tecnología relacionada con su adquisición, desarrollo y mantenimiento deben cumplir con las disposiciones legales sobre contratación pública y otras normativas y los estándares especializados de tecnología. Las disposiciones legales y otras normativas aplicables a la tecnología incluyen las siguientes fases: precontractuales, contractuales, de ejecución, recepción, pago, registro, puesta en funcionamiento, distribución, uso o custodia, planes de mantenimiento, contratación de seguros, asignación de responsabilidades, entre otras En caso de que las circunstancias lo ameriten, la entidad debe contar con una metodología de desarrollo tecnológico que proporcionará una estructura para el diseño e implementación de sistemas, definiendo una serie de fases -- 66 of 153 -- específicas, requisitos de documentación, autorizaciones y puntos de verificación. Esta metodología debe contemplar una serie de controles adecuados sobre los cambios que se produzcan en las tecnologías y debe incluir que se exijan autorizaciones para efectuar los cambios, verificar el derecho legal de la organización a utilizar la tecnología de la manera en la que esté haciendo, revisar los cambios efectuados y comprobar los resultados, así como implementar protocolos para comprobar que los cambios se han efectuado de forma adecuada. Una de las alternativas existentes al desarrollo interno es el uso de software comercial. Los proveedores de tecnologías ofrecen sistemas flexibles e integrados que permiten a su vez personalizar dichos sistemas mediante el uso e incorporación de opciones adicionales. Muchas metodologías para el desarrollo de tecnologías abordan la adquisición de aplicaciones de software comerciales como alternativa de desarrollo, e incluyen, además, una serie de pasos necesarios para proporcionar el control adecuado sobre su selección e implementación. Una vez seleccionados e implementados, los controles generales sobre la tecnología definidos anteriormente también serán de aplicación sobre el desarrollo continuo y el mantenimiento de las tecnologías. En todo caso, al adquirir software se debe establecer claramente los derechos de la entidad para realizar cambios para que responda a las necesidades cambiantes de la tecnología y de los requerimientos institucionales, y no se mantenga una dependencia negativa con los proveedores. Igualmente se debe prever que el software permita la intercomunicación con sistemas integrados, como los de gestión financiera gubernamental. La adquisición de software o soluciones tecnológicas se deben realizar sobre la base del portafolio de proyectos y servicios priorizados en los planes estratégico y operativo previamente aprobados. Sobre la base de procedimientos que garanticen su funcionamiento y uso adecuado, la entidad debe elaborar un plan de mantenimiento preventivo y/o correctivo de la infraestructura tecnológica, para lo cual se deben establecer las responsabilidades de su aplicación, de acuerdo con la organización de cada entidad. Adicionalmente se deben establecer los procedimientos para el soporte tecnológico a usuarios, privilegiando el soporte virtual cuando sea aplicable. Los directivos deben asignar la responsabilidad para la elaboración de normas, procedimientos e instructivos de instalación, configuración y utilización de los servicios de internet, intranet, correo electrónico y sitio web de la entidad, con base en las disposiciones legales y normativas; y, los requerimientos de los usuarios externos e internos. También se deben establecer responsabilidades para dar respuesta y aplicar los procesos de firmas electrónicas y digitales cuando corresponda para simplificar los procesos, así como de planificar y ejecutar actividades de capacitación en tecnología de información y comunicación, para asegurar eficiencia en los procesos. -- 67 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Actividades de Control sobre la Tecnología para Lograr los Objetivos, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Política sobre tecnología de la información y comunicación institucional aprobadas por la MAI, en las que se determine el nivel de desarrollo que se requerirá para el cumplimiento de los objetivos; b. Controles específicos sobre hardware y software, que complementen los controles generales y respondan a los riesgos identificados, evaluados y analizados; c. Procedimientos de seguridad de la plataforma tecnológica, que incluye planes de contingencias, cuando aplique; d. Plan de tecnología de la información y comunicación, de acuerdo con la política emitida por la MAI; e. Procedimientos para realizar adquisiciones de hardware y software en adición a lo que establecen las normativas sobre contratación pública; y, f. Planes y procedimientos de mantenimiento y soporte tecnológico, que debe incluir procesos de capacitación sobre el uso de tecnología. PCI-TSC/330-00 Principio Establecimiento de Controles a través de Políticas, Procedimientos y Otros Medios En el componente Entorno de Control se estableció la responsabilidad de la MAI, la MAE y de los directivos, de promover la ética institucional, emitir políticas generales y específicas, supervisar la aplicación del MARCI, diseñar y poner en funcionamiento controles relativos a la planificación, la organización, los procesos, actividades, procedimientos, la gestión del talento humano en todas sus etapas, y la rendición de cuentas y otros medios; estas políticas y procedimientos se deben establecer como resultado de la gestión de los riesgos asociados a la estructura y procesos de la institución y deberán ser implementados de acuerdo con las necesidades y características de cada entidad. Las siguientes Normas de Control Interno relacionadas con el Principio Establecimiento de Controles a Través de Políticas, Procedimientos y Otros Medios, permiten su diseño e implementación: PCI-TSC/330-00 Principio Establecimiento de Controles a través de Políticas, Procedimientos y Otros Medios En el componente Entorno de Control se estableció la responsabilidad de la MAI, la MAE y de los directivos, de promover la ética institucional, emitir políticas generales y específicas, supervisar la aplicación del MARCI, diseñar y poner en funcionamiento controles relativos a la planificación, la organización, los procesos, actividades, procedimientos, la gestión del talento humano en todas sus etapas, y la rendición de cuentas y otros medios; estas políticas y procedimientos se deben establecer como resultado de la gestión de los riesgos asociados a la estructura y procesos de la institución y deberán ser implementados de acuerdo con las necesidades y características de cada entidad. Las siguientes Normas de Control Interno relacionadas con el Principio Establecimiento de Controles a Través de Políticas, Procedimientos y Otros Medios, permiten su diseño e implementación: NCI-TSC/331-00 Políticas y procedimientos para implementar actividades de control La MAI, la MAE y los directivos deben establecer actividades de control a través de políticas y procedimientos, que se incorporen en los procesos de la entidad y en las actividades que realizan los servidores de acuerdo con la organización. -- 68 of 153 -- Las políticas deben reflejar la visión de la entidad sobre lo que debe hacerse para llevar a cabo el control; dicha visión debe documentarse por escrito y ser comunicada a los niveles correspondientes. Los procesos, procedimientos y actividades deben especificar las actuaciones a ser realizadas por los miembros de la organización para cumplir con las políticas. Las actividades de control hacen referencia específicamente a aquellas políticas y procedimientos que contribuyen a la mitigación de los riesgos para la consecución de los objetivos en los niveles aceptables. Se deberá establecer claramente las responsabilidades para la aplicación efectiva de los controles, las cuales recaerán en último término en quienes dirigen las unidades y los procesos en las que residan los riesgos. Los procedimientos deberán incluir el plazo en el que una actividad de control y cualesquiera medidas correctivas de seguimiento deban ser llevadas a la práctica. Los procedimientos que se aplican de manera inoportuna reducen la utilidad de la actividad de control. Se deben asignar las atribuciones y responsabilidades para la aplicación de las políticas y procedimientos de control, así como la oportunidad de su aplicación y las acciones correctivas que correspondan ante la presencia de errores o irregularidades. Para la adecuada aplicación de las políticas y procedimientos, se debe contar con personal competente, que ejecute las actividades de control con diligencia, cuya aplicación debe ser revisada periódicamente para determinar que cumplen con eficacia su propósito o requieren de actualizaciones. NCI-TSC/332-00 Controles para mitigar riesgos inherentes más frecuentes Las normas de control interno que se describen en esta sección, con codificación desde la 332-01 hasta la 332-25, responden a riesgos inherentes de los procesos de apoyo más comunes de la mayoría de las instituciones públicas. Estos controles se deben implementar adecuándolos al tamaño, complejidad, dependencia y desarrollo tecnológico, y otros factores de cada entidad, e integrándoles a los procedimientos y actividades, considerando en todo momento la relación costo beneficio. Los riesgos de incumplimiento de planes y programas, la concentración de funciones incompatibles, la presencia de empleados insustituibles, la información incompleta o sin oportunidad, la pérdida o uso indebido de los bienes, la falta de protección de los recursos institucionales, entre otros, han originado a través del tiempo, el desarrollo de controles comunes que, aplicados adecuadamente de acuerdo con las características de cada entidad, permiten su mitigación. Estas normas de control interno complementan las que se han desarrollado en el Componente Entorno de Control sobre los compromisos éticos, la emisión de políticas y la supervisión por parte de la MAI, la planificación, la organización, la gestión del talento humano, la rendición de cuentas, los controles con el uso de tecnología. También, se complementa con los controles que se establecen como resultado de la respuesta a los riesgos, y los que se desarrollarán en los componentes Información, Comunicación y Supervisión; sus principios y normas de control interno que, en su conjunto, deben ser implementados como un sistema integrado, para el logro de los objetivos institucionales. A continuación, se presenta un listado de los controles más comunes y luego la explicación de su implementación, reiterando, que su aplicación se adecuará a las características de cada entidad y siempre considerando la relación costo beneficio: -- 69 of 153 -- implementados como un sistema integrado, para el logro de los objetivos institucionales. A continuación, se presenta un listado de los controles más comunes y luego la explicación de su implementación, reiterando, que su aplicación se adecuará a las características de cada entidad y siempre considerando la relación costo beneficio: CÓDIGO NORMAS DE CONTROL INTERNO DETALLADAS DE LA NCI-TSC/332-00 CONTROLES PARA MITIGAR RIESGOS INHERENTES MÁS FRECUENTES NCI-TSC/332-01 Indicadores de eficiencia, eficacia, economía NCI-TSC/332-02 Informes de cumplimiento NCI-TSC/332-03 Supervisión continua NCI-TSC/332-04 Disfrute oportuno de vacaciones NCI-TSC/332-05 Rotación de funciones NCI-TSC/332-06 Cauciones y fianzas NCI-TSC/332-07 Acceso restringido NCI-TSC/332-08 Determinación, recaudación y custodia de los ingresos NCI-TSC/332-09 Control previo al gasto: precompromiso, compromiso, devengado y pago NCI-TSC/332-10 Autoridad y responsabilidad delimitada por escrito NCI-TSC/332-11 Documentos uniformes con numeración prestablecida y secuencial NCI-TSC/332-12 Separación de funciones incompatibles NCI-TSC/332-13 Proceso precontractual, contractual, registro de proveedores, ejecución, recepción, distribución y uso NCI-TSC/332-14 Sistema contable y presupuestario NCI-TSC/332-15 Revisión, autorización y aprobación de transacciones y operaciones NCI-TSC/332-16 Documentación de transacciones, actividades y tareas NCI-TSC/332-17 Identificación de los bienes NCI-TSC/332-18 Custodia de los bienes NCI-TSC/332-19 Registros oportunos y detallados Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) CÓDIGO NORMAS DE CONTROL INTERNO DETALLADAS DE LA NCI-TSC/332-00 CONTROLES PARA MITIGAR RIESGOS INHERENTES MÁS FRECUENTES NCI-TSC/332-20 Mantenimiento y conservación de los bienes NCI-TSC/332-21 Conciliación periódica NCI-TSC/332-22 Constataciones físicas NCI-TSC/332-23 Arqueos independientes NCI-TSC/332-24 Seguros contra siniestros NCI-TSC/332-25 Registro y control de garantías NCI-TSC/332-01 Indicadores de eficiencia, eficacia, economía. En todos los planes, la MAE y los directivos deberán establecer indicadores y otros criterios para verificar objetivamente su cumplimiento y la medida en que han contribuido -- 70 of 153 -- NCI-TSC/332-01 Indicadores de eficiencia, eficacia, economía. En todos los planes, la MAE y los directivos deberán establecer indicadores y otros criterios para verificar objetivamente su cumplimiento y la medida en que han contribuido al logro de la misión, las metas, los objetivos institucionales, cumpliendo, además, lo que disponen los organismos reguladores sobre planificación. Todos los planes deben estar alineados con los objetivos estratégicos, así como con la evaluación de los riesgos y la implementación de controles para su mitigación. Los indicadores de eficiencia generalmente tienen relación con la optimización de los recursos en el logro de las metas, por ejemplo, número de días de trabajo, cantidad de materiales, y otros elementos. Los indicadores de eficacia tienen relación con el logro de las metas, por ejemplo, número de kilómetros construidos en una carretera, cantidad de auditorías realizadas frente a lo planificado, el monto cobrado a los deudores de los servicios públicos. Los indicadores de economía se refieren a los costos o el uso racional de los recursos. Todos estos indicadores deben estar desarrollados en fichas que contengan como mínimo el título del indicador, lo que esperan medir, la fuente de la información, la fórmula o criterios que intervienen, periodicidad de su aplicación y medición, responsable de su elaboración, revisión y aprobación, y usuarios internos y externos de la información. Estos indicadores deben ser claros, uniformes, fácilmente aplicables, medibles y de conocimiento general. Asimismo, es deseable que los datos relacionados sean llenados en línea, a medida que se desarrollan las actividades, porque los indicadores comparan lo que se espera en la planificación con lo que se ejecuta día a día, para que las personas autorizadas, dentro y fuera de la institución, tomen decisiones oportunas y que los recursos públicos sean utilizados adecuadamente, esto es, con eficiencia, eficacia y economía. NCI-TSC/332-02 Informes de cumplimiento Como se señaló en la norma anterior, el avance sobre el cumplimiento de las metas contenidas en los planes debe ser informado de manera oportuna a las personas autorizadas, de preferencia en línea, utilizando tecnología apropiada tales como tableros de control que comparan automáticamente lo planificado con lo ejecutado, o mediante informes realizados por otros medios, para que las personas autorizadas, dentro y fuera de la organización, conozcan a tiempo el cumplimiento de los planes. El contenido y la periodicidad de los informes, procesados por cualquier medio, así como los datos oficiales de las personas que deben elaborarlos y analizarlos, deben constar en los planes, destacando que estos y su ejecución deben ser comunicados a la ciudadanía y otros usuarios externos, para cumplir con normas de transparencia. Las decisiones que las autoridades y directivos adopten como resultado de haber conocido los informes de ejecución de los planes, deben ser oportunas, eficaces y debidamente documentadas para mejorar la gestión dirigida al logro de los objetivos. -- 71 of 153 -- NCI-TSC/332-03 Supervisión continua Los niveles y las responsabilidades de supervisión permanente sobre las actividades que realiza el personal de la entidad deben establecerse en los documentos de la estructura organizativa, los procesos, manuales u otros documentos de control. La MAI, la MAE y los directivos deben ejercer supervisión constante sobre el desarrollo de los planes, procesos, transacciones y actividades de la institución, con el propósito de asegurar que se realicen de conformidad con la normativa, políticas, procedimientos y otras disposiciones, internas y externas vigentes. La supervisión es mucho más que la observación de la forma en que se desarrollan las actividades, pues además implica comunicar a los subalternos las observaciones y recomendaciones pertinentes para mejorar su trabajo y productividad. La supervisión debe ser ejercida de tal forma que no obstruya el proceso operativo y que no derive en una dilución de la responsabilidad, para lo cual debe evitar incurrir en acciones previas a la finalización de una tarea, operación o actividad, de lo contrario es preferible trabajar bajos criterios de calidad total. NCI-TSC/332-04 Disfrute oportuno de vacaciones El disfrute de las vacaciones por los servidores públicos debe ser obligatorio de acuerdo con las normativas aplicables; para tal propósito, la entidad debe contar con políticas y planes debidamente aprobados, de tal forma que se garantice la continuidad de los servicios que presta en la institución. Esta práctica permite efectuar una rotación de funciones de manera más ordenada. Cuando un funcionario se encuentra disfrutando de sus vacaciones, otro debe asumir temporalmente esas labores, lo que permite la identificación de modos más eficientes de realizar las mismas labores, y evita la existencia de “funcionarios indispensables” sin cuya presencia no es posible continuar con procesos específicos. Se debe tener presente que el propósito de las vacaciones consiste en permitir que los servidores públicos disfruten de un descanso periódico para que mantengan adecuadamente su salud, integridad física y mental para servir eficaz y eficientemente en su desempeño. NCI-TSC/332-05 Rotación de funciones Cambiar las funciones del personal de igual o similar jerarquía, es una práctica que debe ser implementada en la gestión del talento humano, ya que, entre otros aspectos, facilita las sustituciones y la identificación de posibles errores o irregularidades. La rotación de personal debe ser organizada dentro de períodos preestablecidos, con base a criterios técnicos y en áreas similares para no afectar la operatividad interna de la entidad. Los cambios periódicos de tareas a los servidores con responsabilidades como, custodia y registro de recursos -- 72 of 153 -- materiales o financieros, les permite estar capacitados para cumplir diferentes funciones en forma eficiente. La práctica en cuestión procura que los funcionarios no tengan permanentemente el control de partes específicas de una transacción ni de los recursos empleados en ellas, lo que brinda cierta seguridad de que no se presentarán situaciones irregulares en relación con tales transacciones y recursos. Asimismo, suministra parámetros de eficiencia mediante la comparación del desempeño de funcionarios distintos en la misma actividad, lo que permite descubrir las habilidades particulares de cada uno y asignarles las tareas para las que están mejor dotados. NCI-TSC/332-06 Cauciones y fianzas La MAE y los directivos de las instituciones deberán velar porque las personas naturales y jurídicas encargadas de recaudar, custodiar o administrar fondos y valores de propiedad de la institución, rindan caución o estén respaldados con una fianza, sin perjuicio de otras medidas de seguridad que pueda emitir la propia institución, de acuerdo con la Ley, y otras normativas aplicables. Las disposiciones relativas al procedimiento de cálculo, presentación, registro, custodia y actualización de las cauciones y fianzas, así como los servidores responsables tanto de su presentación como de su aplicación, están contenidas en el reglamento de la Ley Orgánica del TSC. NCI-TSC/332-07 Acceso restringido El acceso a los activos y registros de los entes públicos debe estar claramente definido y delimitado, de modo que sólo lo obtengan los funcionarios o servidores públicos autorizados por razón de su cargo y de las labores correspondientes; en este sentido, la MAE o a quien delegue, debe emitir disposiciones escritas para restringir el acceso a lugares donde se procesa la información, se mantienen archivos, se custodian bienes, o donde se realizan actividades que deben ser protegidas de interrupciones, de acuerdo con la naturaleza de las operaciones de cada entidad. Para promover su cumplimiento, además de la difusión adecuada de las disposiciones, se deben establecer claves de acceso, cuando sea posible, y la aplicación de sanciones por su inobservancia. NCI-TSC/332-08 Determinación, recaudación y custodia de los ingresos Los ingresos de las entidades deben determinarse, registrarse, ser recaudados y custodiados, conforme las normas y los procesos establecidos. Los ingresos que las entidades públicas recaudan de manera directa o por otros medios, como el sistema financiero, deberán ser registrados inmediatamente después de su recepción, en cuentas que permitan establecer, en cualquier momento, sus montos totales y por fuente, para comparar lo recaudado, con los valores preestablecidos en la programación financiera. -- 73 of 153 -- Los ingresos obtenidos a través de cajas recaudadoras, en efectivo o en cualquier otra forma, serán revisados, depositados en forma completa e íntegra y registrados en las cuentas de ingresos creados de manera exclusiva para ese efecto, durante el curso del día de recaudación o máximo el día hábil siguiente; en casos excepcionales la máxima autoridad establecerá la periodicidad y otros mecanismos de control de acuerdo con las características institucionales. Las instituciones que dispongan de cajas recaudadoras efectuarán una verificación diaria o en períodos más cortos, con la finalidad de comprobar que los depósitos realizados sean iguales a los valores recibidos. La verificación la realizará una persona distinta a la encargada de efectuar las recaudaciones y su registro contable. El servidor encargado de la administración de los recursos evaluará permanentemente la eficiencia y eficacia de las recaudaciones y depósitos y adoptará las medidas que correspondan para fortalecer los controles. La MAE de cada entidad pública y el servidor encargado de la administración de los recursos financieros, adoptarán las medidas para resguardar los fondos que se recauden directamente, mientras permanezcan en poder de la entidad y en tránsito para depósito en las instituciones financieras. NCI-TSC/332-09 Control previo al gasto: precompromiso, compromiso, devengado y pago Las disponibilidades presupuestarias y los documentos requeridos para cada tipo de gasto deben ser revisadas y aprobadas por quienes están autorizados para hacerlo, antes del precompromiso, compromiso, devengado y pago, de acuerdo con las disposiciones generales y específicas emitidas por los organismos competentes, y las normativas institucionales. Se denomina control previo en las etapas antes señaladas, al conjunto de procedimientos y acciones que adoptan los niveles directivos de las entidades, antes de tomar decisiones, para precautelar el eficiente, eficaz y económico uso de los recursos y el cumplimiento de las disposiciones aplicables. En el control previo para la ejecución de un gasto, las personas designadas deberán verificar que se cumpla, como mínimo, lo siguiente: a. La operación financiera esté directamente relacionada con la misión de la entidad y con los programas, proyectos y actividades aprobados en los planes operativos anuales, los planes de compras y contrataciones, y el presupuesto; b. La operación financiera reúna los requisitos legales establecidos; c. Que los bienes o servicios sean recibidos de conformidad con la calidad y cantidad requerida y descritas en la factura, en el acta de recepción y su correspondiente ingreso al almacén; y, que, en caso de demoras injustificadas en los plazos de entrega, se ejecutan las garantías o las multas que corresponda; d. El pago se realice cumpliendo los plazos establecidos en los contratos u otros documentos, o -- 74 of 153 -- se cuente con una explicación válida para cualquier demora; y, e. Que los documentos de respaldo de cada operación sean los establecidos en las normativas legales. NCI-TSC/332-10 Autoridad y responsabilidad delimitada por escrito La autoridad y responsabilidad por cada proceso, actividad, o función que realicen los servidores en la entidad, debe ser establecida por escrito, estar claramente asignada y formalmente comunicada, según el puesto que ocupa. La estructura organizativa, los procesos y procedimientos establecerán la autoridad y responsabilidad de los servidores encargados de ejecutar cada una de las actividades y tareas, según los cargos que desempañan. Éstas deben ser comunicadas y asumidas por escrito. En adición a los manuales de puestos y otras normativas, las instrucciones que se impartan a los servidores de la institución para el cumplimiento de sus responsabilidades deben darse por escrito y mantenerse en un compendio ordenado, actualizado y de fácil acceso que sea de conocimiento general. El uso de correos electrónicos institucionales es un medio idóneo para evidenciar instrucciones de rápida ejecución que no constan en documentos formales. NCI-TSC/332-11 Documentos uniformes con numeración prestablecida y secuencial Todo formulario y otros documentos que respalden las operaciones técnicas, administrativas y financieras, deben tener numeración previa consecutiva y formato uniforme, incluidas las que se obtienen de sistemas electrónicos. Su impresión y custodia, debe establecerse con las debidas seguridades, y el uso, de acuerdo con las instrucciones correspondientes. Los documentos para respaldar transacciones deben estar previamente establecidos, aprobados y comunicados, dentro y fuera de la institución, en cada uno de los procesos. Cuando los formularios o documentos sean generados electrónicamente, el programa respectivo deberá asignarles un número que los identifique y permitirá verificar la validez de la información cuando sean utilizados. NCI-TSC/332-12 Separación de funciones incompatibles La segregación de funciones es un mecanismo de control que contribuye a prevenir errores e irregularidades. Las funciones de autorización, ejecución, registro y custodia deben ser distribuidas entre varios servidores de la institución, sin que esto signifique la creación innecesaria de cargos. Debe evitarse que una misma persona realice, de manera individual, todas las fases de un proceso, porque facilita que se cometan errores e irregularidades. Por las mismas razones, debe procurarse que ninguna unidad tenga a su cargo la totalidad de un proceso, a efecto de evitar que posea un control completo de los recursos y las decisiones, como por ejemplo que le corresponda la planificación, asignación y registro de recursos, evaluación de resultados y toma de acciones correctivas. -- 75 of 153 -- La elusión de controles cuenta con mayores posibilidades de ocurrencia cuando diversas responsabilidades, incompatibles entre sí, las realiza un solo servidor público. La Administración debe abordar este riesgo a través de la segregación de funciones, pero no puede eliminarlo absolutamente, debido al riesgo de colusión en el que dos o más servidores públicos se confabulan para eludir los controles. Conviene señalar que la implantación efectiva de medidas orientadas a asegurar la división del procesamiento de transacciones debe contemplar un control cruzado entre unidades y personas, de los procesos y las actividades relacionadas; con esto se procura, como efecto colateral, la corrección del resultado final. En instituciones medianas o pequeñas, deberán efectuarse las separaciones referidas hasta donde sea posible sin elevar el costo del control, y suplir las limitaciones mediante la aplicación de medidas alternas, como una supervisión más estrecha, el requerimiento de informes más frecuentes, la ejecución de arqueos en períodos más cortos, entre otras posibilidades. NCI-TSC/332-13 Proceso precontractual, contractual, registro de proveedores, ejecución, recepción, distribución y uso La MAE y los directivos deberán vigilar que se elabore y actualice el Plan Anual de Compras y Contrataciones de Bienes, Servicios y Construcción de Obras, que se publique para conocimiento interno y externo, que todas las adquisiciones y contrataciones se ajusten a lo planificado, y que todas las fases de la contratación cumplen las disposiciones legales, reglamentarias y otras normativas emitidas por autoridad competente; considerando para tal propósito, la asesoría legal pertinente. El proceso de contratación es uno de los que más riesgo inherente presenta en la administración de los recursos públicos, por lo que requiere de mayores esfuerzos para su control. El compromiso de las autoridades y directivos es indispensable, para que cumplan con transparencia las normativas, y se administren adecuadamente los recursos. En la planificación y antes del inicio de cualquier proceso previo a la contratación, se debe contar con la certificación de disponibilidad presupuestaria, y en los casos que aplique, información sobre los inventarios que se espera adquirir para determinar su necesidad. La vinculación de los sistemas de presupuesto y de compras y contrataciones es uno de los medios que deben aplicarse de manera automática. De esta forma, si no existe disponibilidad presupuestaria, los sistemas no permiten continuar con los procesos. Las adquisiciones deberán ser solicitadas, autorizadas y ejecutadas con la anticipación suficiente y en las cantidades apropiadas. La ejecución de las compras programadas para el año se deberá realizar tomando en consideración el consumo real, la capacidad de almacenamiento, la conveniencia financiera y el tiempo que regularmente toma el trámite. La adquisición de bienes con fecha de caducidad o expiración, como medicinas, alimentos y otros, se la efectuará en -- 76 of 153 -- cantidades que cubran la necesidad en tiempo menor al vencimiento. La información de las fechas de vencimiento y caducidad deben generarlas diariamente los sistemas y ser conocidas por quienes supervisan estas actividades para la adopción de decisiones oportunas. Las MAE y los directivos, deben requerir que todas las personas que participan en procesos contractuales declaren su compromiso de actuar con honestidad e imparcialidad, que conocen la normativa y procedimientos aplicables para cada modalidad y etapa de la contratación pública, y que asumen las responsabilidades por su aplicación indebida. Toda persona natural o jurídica, nacional o extranjera, que desee participar en los procesos de contratación, deberán cumplir con lo que disponen las normas emitidas por la autoridad competente, y demostrar ante la entidad contratante, que el giro de su negocio, experiencia y capacidad financiera y operativa tiene relación con la naturaleza y montos de lo que se espera contratar. La publicación oportuna, completa, útil, accesible de los documentos y otra información de cada una de las fases de todo el proceso de contratación pública, así como de la recepción, pago, distribución y uso de los bienes, obras, así como los servicios de consultoría y otros, son obligatorios, aún en las emergencias, en cuyos casos, pueden cambiar los plazos, pero no la transparencia mediante la publicación de la información y documentación de los procesos. NCI-TSC/332-14 Sistema contable y presupuestario Cada entidad deberá mantener actualizados los registros; completos y ordenados los archivos; y, generará la información interna y externa que establezcan organismos reguladores de los sistemas y subsistemas de contabilidad, presupuesto, tesorería, administración de bienes, de la deuda pública, de la gestión tributaria, de los fideicomisos, exoneraciones, y de otros relacionados con las finanzas públicas. La MAE y los directivos en el campo de su competencia, deben asegurar el cumplimiento de lo que disponen las normativas y el sistema de presupuesto en las etapas de: formulación, presentación, aprobación, ejecución, seguimiento, evaluación y su liquidación. Igualmente, se requiere el establecimiento de un sistema de contabilidad gubernamental basado en los principios y normas internacionales de contabilidad e información financiera adaptadas al sector público, que integre las operaciones financieras, presupuestarias y patrimoniales, y que registre sistemáticamente todas las transacciones que produzcan y afecten la situación económica, financiera y patrimonial de las entidades del Sector Público, a efecto de producir los informes contables y financieros de la gestión pública. El cumplimiento de esta norma debe observar las disposiciones legales, reglamentarias y otras normativas promulgadas por autoridad competente, y sobre esa base, establecer las propias necesidades de información que tienen -- 77 of 153 -- las instituciones, como, por ejemplo, las que producen bienes y servicios, que por su naturaleza deben procesar costos, recaudaciones, antigüedad de saldos de clientes, y otra información útil para la toma de decisiones. NCI-TSC/332-15 Revisión, autorización y aprobación de transacciones y operaciones Para los procesos y procedimientos de cada operación, se deben establecer los servidores autorizados de su ejecución o elaboración, revisión y aprobación de acuerdo con la organización, la autoridad y responsabilidad establecidas. Para que puedan rendir cuenta satisfactoriamente por el descargo de los asuntos que les han sido encomendados, los administradores de todo nivel deben ejercer un control permanente sobre los procesos, las operaciones y las transacciones de su competencia, según la delegación recibida de parte de los niveles superiores. Entre los mecanismos de que disponen al efecto, les corresponde otorgar la autorización previa para la ejecución de esos procesos, operaciones y transacciones, así como evaluar los resultados del desempeño para conceder la aprobación o validación posterior o emprender medidas destinadas a corregir cualquier producto insatisfactorio. Con ello se previene que se lleven a cabo acciones o transacciones inconvenientes o contraproducentes para la organización, para sus recursos y, por ende, para su capacidad de alcanzar los objetivos; a la vez, se obtiene una seguridad razonable de que lo realmente ejecutado se ajuste a lo que se planeó hacer y contribuya, en consecuencia, a la eficaz puesta en práctica de la estrategia. Debe tenerse cuidado especial respecto a que las autorizaciones previas solo deben establecerse en puntos estrictamente claves de los procesos, por aspectos en que la responsabilidad efectiva de su ejecución recae en quien se le otorga la atribución de autorizarlos o aprobarlos a efecto que, en ningún caso, la aplicación de estos controles signifique una evasión del ejercicio o aplicación de los autocontroles o, lo que es más grave en una dilución de la responsabilidad del servidor público ejecutor de las operaciones. Las evidencias y las fechas de realización de la ejecución o elaboración, revisión y aprobación, deben constar en los documentos que se originan en los procesos, mediante firmas y otros datos establecidos. El uso de firmas electrónicas debe privilegiarse cuando sea aplicable, para simplificar procesos, así como para dejar pistas de auditoría que permitan la supervisión continua e independiente, en línea. Asimismo, los resultados de la gestión que previamente fue autorizada, deberán someterse al conocimiento de los servidores públicos que concedieron tal autorización, a efectos de la supervisión que le corresponde, y así, cerrar el ciclo del proceso. NCI-TSC/332-16 Documentación de transacciones, actividades y tareas Los procesos y procedimientos deben establecer los documentos que deben respaldar las operaciones para que -- 78 of 153 -- puedan ejecutarse. El uso de listas de verificación (check list) es recomendable, así como procesos automatizados que no permiten continuar con la siguiente etapa si no se cumplen requisitos anteriores. Los controles vigentes para los diferentes procesos y actividades de la institución, así como todas las transacciones y hechos significativos que se realicen, deben respaldarse con documentos que permitan comprobar la legalidad, integridad, exactitud, oportunidad, y otros criterios de cada etapa, así como las personas que en razón de sus cargos intervinieron. Los documentos que respaldan todas las actividades de la institución, financieras y no financieras, deben cumplir con los requisitos que disponen las leyes y otras normativas, y estar disponibles para uso interno y externo, custodiadas de manera adecuada con medidas de seguridad y protección contra pérdida, uso indebido, adulteración, daños provocados de manera intencional, o por situaciones fortuitas, y otros riesgos. Por esta razón, el uso de tecnología para generar documentos electrónicos, o escanear documentación clave, es una práctica sugerida, porque, además, permite el control en línea por parte de la ciudadanía y de organismos públicos con facultades para hacerlo. NCI-TSC/332-17 Identificación de los bienes Se establecerá un sistema de codificación que permita fácil identificación, organización y protección de los bienes de larga duración. Todos los bienes de larga duración llevarán impreso el código correspondiente en una parte visible, permitiendo su fácil identificación. La protección de los bienes entregados para el desempeño de sus funciones será de responsabilidad de cada servidor público, quien firmará la recepción y entrega cuando corresponda, comprometiéndose a su uso exclusivo para los fines de la institución. NCI-TSC/332-18 Custodia de los bienes La MAE, cuando el caso lo amerite, debe organizar una unidad o en su defecto definir quién será el encargado de la administración de los bienes, y con la participación de los directivos, aplicando las disposiciones emitidas por los organismos reguladores, instrumentará los procesos a seguir para: la planificación, adquisición, recepción, custodia, registro, utilización, traspaso, préstamo, enajenación, baja, conservación y mantenimiento, medidas de protección y seguridad, levantamiento o verificación de inventarios, y elaboración de informes sobre existencias, vencimientos, caducidad, posible deterioro, y otra información relevante, de los bienes de larga duración, así como para la venta y consumo. Estas disposiciones también aplican para donaciones recibidas, con las adecuaciones que deban realizarse, por sus condiciones especiales para la valoración y registro. Los bienes que adquiera la entidad ingresarán físicamente a un almacén o bodega, antes de ser utilizados, para mantener un control eficiente de los bienes recibidos. Los ambientes asignados para su funcionamiento estarán adecuadamente -- 79 of 153 -- ubicados, contarán con instalaciones seguras y tendrán el espacio físico necesario. El guardalmacén o bodeguero tiene la responsabilidad de acreditar con documentos, su conformidad con los bienes que ingresan, debiendo verificar si se ajustan a los requerimientos y especificaciones técnicas solicitadas por las dependencias de la institución, así como de los bienes que egresan. Si en la recepción se encontraren novedades, no se recibirán los bienes; y, se comunicará inmediatamente a la MAE o al servidor delegado para el efecto. Dichos bienes, no serán recibidos hasta que cumplan con los requerimientos institucionales. Los directivos establecerán un sistema apropiado para la conservación, seguridad, manejo y control de los bienes almacenados. Para el control de los bienes se establecerá un sistema adecuado de registro permanente, debiendo incluirse registros auxiliares individualizados o por grupos de bienes de iguales características. Sólo las personas que laboran en el almacén o bodega, y otros debidamente autorizados, tendrán acceso a las instalaciones. Existen bienes que, por sus características especiales, deben ser almacenados en otras instalaciones o enviados directamente a los encargados de su utilización. En estos casos, el encargado de almacén efectuará la verificación directa y la tramitación de la documentación correspondiente. NCI-TSC/332-19 Registros oportunos y detallados Se establecerá un sistema para el registro contable inmediatamente después de la realización de las operaciones, de manera global y detallado, para los bienes de larga duración, para la venta o consumo, así como para otros bienes, que permitan controlar los ingresos, retiros, traspasos o bajas, a fin de que la información se encuentre actualizada y de conformidad con la normativa contable vigente. La sistematización de los procesos, cuando sea posible, permite con facilidad conocer en línea los saldos y el movimiento de los bienes y otros recursos, para lo que deberán adecuarse los procedimientos para el registro inmediato de ingresos y salidas de los bienes. Lo señalado aplica también al control contable de las cuentas en los bancos, los fondos fijos de caja chica, fondos rotativos o para rendir cuentas, las inversiones, las cuentas y documentos por cobrar, las garantías, los seguros, bienes, los pasivos y otros que deben contar con cuentas contables globales (o generales) y detalladas. El nivel de detalle de la información, se refiere a la identificación de cada tipo de bienes, derechos y obligaciones, códigos, número de unidades y/o de serie, valor unitario y total, estado de conservación, rendimientos económicos como intereses, vencimientos, localización y cualquier otra información que permita la realización de conciliaciones contables y de existencias físicas, y la toma de decisiones. La actualización permanente de los registros permitirá la realización de la conciliación de saldos de los registros auxiliares o detallados con los saldos de las cuentas del mayor general; y, se complementará con la verificación física periódica de los bienes. -- 80 of 153 -- Los bienes que no reúnan las condiciones para ser registrados como activos fijos, se registrarán directamente en las cuentas de gastos o costos, según corresponda y simultáneamente se registrarán en una cuenta de orden o de otra característica para conocer sus movimientos, aplicando la normativa de contabilidad gubernamental, vigente. Para los vehículos y otros bienes de características similares que sirvan para transportación o la realización de operaciones de producción y afines, además de lo señalado, y de acuerdo con sus características, se deberá diseñar y aplicar el registro de recorridos y usuarios, horas de uso, consumo de combustible, planes de mantenimiento y fechas de su realización, asegurando que se utilicen únicamente para realizar actividades de la entidad, de acuerdo con las normativas generales y específicas aplicables. Para estos bienes y otros similares, se deberá contar con dispositivos de control y seguridad como los “GPS”, a fin de procurar su óptimo uso en las labores que corresponde cumplir a la institución pública. Un sistema de denuncias para usos indebidos debe ser promovido y aplicado por la MAE, con la participación de la ciudadanía. NCI-TSC/332-20 Mantenimiento y conservación de los bienes El área administrativa de cada entidad elaborará los procedimientos que permitan implantar programas de mantenimiento preventivo y correctivo de los bienes de larga duración. La aplicación de estos programas no debe afectar la gestión operativa de la entidad, permitirán conservar su estado óptimo de funcionamiento y prolongar su vida útil. Para los bienes de la infraestructura tecnológica y otros como los equipos de laboratorio, estos planes deben realizarse con la participación de especialistas, quienes asumirán la responsabilidad que les corresponda. Los directivos establecerán los controles que les permitan conocer el funcionamiento de los planes y programas y el cumplimiento de sus objetivos. La contratación de servicios de terceros para atender necesidades de mantenimiento estará debidamente justificada y fundamentada y se realizará cumpliendo las normativas emitidas por los organismos reguladores. NCI-TSC/332-21 Conciliación periódica Las conciliaciones entre los saldos de los registros detallados o auxiliares con las cuentas principales o generales, así como con las constataciones físicas, son las principales formas de conciliación que abarca esta norma, destacándose la conciliación bancaria. Estas conciliaciones se aplican a casi todas las cuentas de activo, pasivo, patrimonio, ingresos y gastos, pudiendo también ser utilizada para las cuentas de orden, como las garantías. Cualquier diferencia entre los registros auxiliares y las cuentas de mayor o las constataciones físicas deben ser analizadas y resueltas las causas por quienes tengan autoridad para hacerlo. Las conciliaciones bancarias se realizan comparando los movimientos del libro bancos de la entidad, con los registros -- 81 of 153 -- y saldos de los estados bancarios a una fecha determinada, para verificar su conformidad y determinar las operaciones pendientes de registro en uno u otro lado. La conciliación de los saldos contables y bancarios permite verificar si las operaciones efectuadas por la unidad administrativa de tesorería han sido oportunas y adecuadamente registradas en la contabilidad. Para garantizar la efectividad del procedimiento de conciliación, éste será efectuado por servidores no vinculados con la recepción, depósito o transferencia de fondos y/o registro contable de las operaciones relacionadas. Cuando las conciliaciones se efectúen soportadas en sistemas computarizados y en tiempo real, la entidad debe velar por que las aplicaciones incorporen los controles de carga y validación de la información, que permitan identificar y ajustar las diferencias, o analizarlas para determinar las causas y las acciones que procedan. NCI-TSC/332-22 Constataciones físicas Casi todos los activos pueden ser objeto de constataciones físicas. Los procedimientos deben establecer los responsables y la forma de realizar las constataciones físicas, por ejemplo: el efectivo que se conoce como arqueos, las inversiones, los documentos por cobrar, los inventarios para uso, venta o consumo, entre otros bienes. La exactitud de los registros y la información institucional deberá ser comprobada periódicamente mediante la verificación y el recuento físico de esos activos. La existencia de registros detallados es indispensable para realizar esta actividad. La necesidad de contar con información financiera, administrativa y de otra naturaleza, exacta y confiable para la toma de decisiones, es indispensable. Una práctica para lograr estos dos atributos es la verificación física de las cantidades y características de los activos que puedan ser sujetos a recuento. En la actualidad el uso de la robótica hace posible realizar inventarios de grandes bodegas o almacenes, durante horas no laborables y registrarse los resultados en línea, para compararlos con los saldos contables. Las verificaciones físicas pretenden detectar eventuales discrepancias entre los registros y las existencias físicas, que pueden obedecer a errores o irregularidades. En consecuencia, una vez efectuado el inventario físico, es preciso analizar las desviaciones y su origen, a efecto de implantar las acciones correctivas necesarias. NCI-TSC/332-23 Arqueos independientes El arqueo del efectivo o su equivalente ya sea por recaudaciones, por fondos de caja chica u otros fondos, es una forma de constatación física, cuyo procedimiento debe asegurar la sorpresa, la independencia y la documentación de las acciones realizadas, que contará con las firmas de responsabilidad de las personas que intervinieron. Los valores en efectivo, incluyendo los que se encuentran en poder de los recaudadores de la entidad, estarán sujetos a verificaciones mediante arqueos periódicos y sorpresivos con la finalidad de determinar su existencia física y comprobar su -- 82 of 153 -- igualdad con los saldos contables o de las cajas registradoras u otros registros. Al realizar los arqueos, se debe tener en cuenta lo siguiente: a. Efectuar el arqueo de manera sorpresiva, a fin de que el custodio no tenga oportunidad de cubrir cualquier faltante o diferencia; b. Asignar la realización de este control a un funcionario distinto de quienes custodian, administran, recaudan o registran el efectivo, a fin de mantener la separación de funciones incompatibles; c. Dejar constancia escrita del arqueo, con las firmas de los funcionarios participantes. El uso de un formulario diseñado para esta actividad es recomendable; d. Requerir la presencia del custodio durante todo el procedimiento; e. Analizar las causas de cualquier diferencia; y, f. Informar a las autoridades correspondientes y a la unidad de auditoría interna, errores o irregularidades, para que emprendan las acciones correspondientes para corregir las discrepancias, de conformidad con las normativas aplicables. NCI-TSC/332-24 Seguros contra siniestros La MAE y los directivos deben establecer los bienes y otros recursos que deben contar con seguros contra pérdida, daño, u otros siniestros. La protección de los bienes incluye la contratación de pólizas de seguro contra diferentes riesgos que pudieran ocurrir, que deberán ser verificadas periódicamente respecto a la cobertura, vigencia y otras características. Para la contratación de los seguros se debe seguir lo que disponen las normativas generales y específicas sobre esta materia; tener registros detallados e información sobre vencimientos, así como, constataciones físicas de sus archivos. NCI-TSC/332-25 Registro y control de garantías Las garantías deben registrarse inmediatamente y en forma detallada después de ser recibidas y asegurar la custodia e información de su vigencia. El registro contable de las garantías se realiza generalmente en cuentas de orden, que deben realizarse inmediatamente después de recibidas las garantías con información detallada de las características de cada póliza. En los contratos que celebren las entidades, para asegurar el cumplimiento de las obligaciones de los contratistas, los directivos a cargo de la contratación exigirán la presentación de las garantías en las condiciones y montos señalados en la ley. La unidad administrativa, que de acuerdo con la organización de cada entidad le corresponda, ejercerá un control permanente de las garantías, con el fin de conservarlas y generar información sobre su vencimiento a fin de asegurar las renovaciones o su ejecución. -- 83 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) ejercerá un control permanente de las garantías, con el fin de conservarlas y generar información sobre su vencimiento a fin de asegurar las renovaciones o su ejecución. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Establecimiento de Controles a través de Políticas, Procedimientos y otros medios, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Documento que vincule los riesgos residuales con la respuesta a los riesgos y las actividades de control. Estos documentos generalmente son la continuación o conclusión de los elaborados en la implementación del Componente Evaluación de los Riesgos; b. Plan de mitigación de los riesgos aprobado por la MAE, y cuando corresponda, por la MAI, e informes sobre la ejecución. Estos planes incluirán las actividades de control que corresponda para la gestión de los cambios internos y externos que afecten el logro de los objetivos, así como los riesgos al fraude. Los controles para los riesgos al fraude podrían ser tratados de manera separada, si así deciden la MAI y la MAE; c. Política emitida por la MAI sobre la tecnología de información y comunicación, en la que se pueda identificar el grado de dependencia de la entidad en el desarrollo tecnológico; d. Plan de tecnología de la información y comunicación, con la cobertura y complejidad que cada entidad requiera, e informes de su ejecución; e. Procedimientos para la adquisición o desarrollo de sistemas, aplicaciones y otros recursos similares; f. Planes de mantenimiento, soporte y capacitación de la tecnología institucional e informes de su ejecución; g. Procedimientos de seguridad de los recursos tecnológicos de la institución, incluyendo planes de contingencia, cuando proceda su elaboración; y, h. Disposiciones emitidas por la MAE con la participación de los directivos, para que se implementen, dentro de los procesos, o como controles independientes, las normas de control interno desarrollados desde el 332-01 al 332.25, con la asignación por escrito de los responsables de su aplicación y supervisión. -- 84 of 153 -- CAPÍTULO VI 400-00 COMPONENTE INFORMACIÓN Y COMUNICACIÓN Los componentes Información y Comunicación y Supervisión son transversales a todos los componentes, principios y normas de control interno, puesto que todas las acciones y la documentación desarrollada para su implementación, debe ser comunicada dentro de la organización y fuera de ésta cuando corresponda; así como, ser evaluada permanentemente. Un sistema de información es un conjunto de actividades, que permite a la entidad obtener, generar, utilizar y comunicar transacciones e información para mantener la adecuada responsabilidad por la rendición de cuentas, medir y revisar el desempeño de la organización o el avance en la consecución de los objetivos. En este sistema se vinculan personas, procesos, tecnología y otros recursos de acuerdo con las características de la entidad. Se entiende por información aquellos datos que se combinan y se resumen con base a su relevancia para cumplir los requisitos de información financiera y no financiera. Los requisitos de información se establecen para cumplir con las disposiciones legales y otras normativas, así como para atender requerimientos de todos los usuarios, tanto internos como externos. Los sistemas de información permiten realizar acciones de control y la toma de decisiones, cuando ésta es relevante, oportuna y de calidad. La comunicación permite que la organización pueda compartir información relevante y de calidad para usuarios internos como externos. La comunicación proporciona la información necesaria a la hora de diseñar, implementar y ejecutar el control interno y evaluar su eficacia. La MAE comunica la información internamente, para que la MAI cumpla con sus responsabilidades de vigilancia y control y para que el personal de la entidad comprenda los objetivos de la organización y la importancia de sus actividades para lograrlos. La relevancia se refiere a la importancia o utilidad para el análisis y la toma de decisiones. Ésta se puede medir por los montos, como los informes financieros comparativos de ingresos, costos de gastos, así como por los impactos en el cumplimiento de las políticas institucionales relativas a la ética, imagen institucional, clima laboral, el cumplimiento de objetivos y de las normativas, entre otras. Información con datos irrelevantes o sin importancia, dañan la imagen institucional y no cumplen con los propósitos de la información y comunicación. El Componente Información y Comunicación tiene los siguientes principios y normas de control interno: -- 85 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) El Componente Información y Comunicación tiene los siguientes principios y normas de control interno: PCI-TSC/410-00 Principio Información Relevante y Accesible Los entes públicos deben establecer y mantener un sistema de información y comunicación para obtener, procesar, generar y comunicar de manera eficaz, eficiente y económica, la información financiera, administrativa, de gestión y de cualquier otro tipo, requerida tanto en el desarrollo de sus procesos, transacciones y actividades, como en la operación del proceso de control interno con miras al logro de los objetivos institucionales. Las siguientes Normas de Control Interno relacionadas con el Principio Información Relevante y Accesible, permiten su diseño e implementación: NCI-TSC/411-00 Identificación de requerimientos de información Los requerimientos de información y comunicación deben originarse en las políticas institucionales relativas a la transparencia, uso de la tecnología y la rendición de cuentas que emite y promueve la MAI. A partir de las políticas estos requerimientos se materializan en el diseño e implementación de los procesos y la estructura organizativa de la entidad. 400-00 COMPONENTE INFORMACIÓN Y COMUNICACIÓN PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/410-00 Información Relevante y Accesible NCI-TSC/411-00 Identificación de requerimientos de información NCI-TSC/412-00 Captar datos internos y externos y transformar en información de calidad NCI-TSC/413-00 Archivo Institucional PCI-TSC/420-00 Comunicación Interna de la Información NCI-TSC/421-00 Comunicar la información a todos los niveles de la organización incluyendo líneas de comunicación independientes NCI-TSC/422-00 Información interna mínima que se debe comunicar PCI-TSC/430-00 Comunicación Externa de la Información NCI-TSC/431-00 Comunicación con la ciudadanía y otras instituciones NCI-TSC/432-00 Información externa mínima que se debe comunicar PCI-TSC/410-00 Principio Información Relevante y Accesible Los entes públicos deben establecer y mantener un sistema de información y comunicación para obtener, procesar, generar y comunicar de manera eficaz, eficiente y económica, la información financiera, administrativa, de gestión y de cualquier otro tipo, requerida tanto en el desarrollo de sus procesos, transacciones y actividades, como en la operación del proceso de control interno con miras al logro de los objetivos institucionales. Las siguientes Normas de Control Interno relacionadas con el Principio Información Relevante y Accesible, permiten su diseño e implementación: NCI-TSC/411-00 Identificación de requerimientos de información Los requerimientos de información y comunicación deben originarse en las políticas institucionales relativas a la transparencia, uso de la tecnología y la rendición de cuentas que emite y promueve la MAI. A partir de las políticas estos requerimientos se materializan en el diseño e implementación de los procesos y la estructura organizativa de la entidad. Todo proceso tiene datos de entrada que se originan en políticas y normativas que regulan su funcionamiento, información externa e interna que sirve de insumo para el desarrollo de las actividades y tareas, así como para la toma de decisiones. Todo proceso también tiene salidas, que además de bienes o servicios, finales o intermedios, están conformadas por información para uso interno y externo, cuyo formato, contenido y nivel de detalle, frecuencia, destinatarios, así como los medios para su comunicación, deberán estar definidos en los mismos procesos. El diseño de procesos que se interrelacionan debe integrar a los servidores responsables de éstos, para tener mayor precisión con respecto a la información que requieren para cumplir con sus funciones. -- 86 of 153 -- Además de los procesos y las disposiciones legales relacionadas con la información y comunicación de la gestión pública, dentro y fuera de cada entidad, la MAE, en caso de ser aplicable, puede promover consultas o encuestas para complementar los requerimientos de información. NCI-TSC/412-00 Captar datos internos y externos y transformar en información de calidad Las entidades deben desarrollar sistemas de información para obtener, captar y procesar grandes volúmenes de datos procedentes de fuentes internas y externas y para poder transformarlos en información que les permita cumplir los requisitos de información definidos, en los que se incluye, criterios de calidad y oportunidad. La información se puede obtener a través de diversas formas, entre las que se incluyen la recopilación o introducción manual de datos, o el uso de tecnologías de la información. La coordinación interna y con otras entidades para utilizar bases de datos e información relacionada, es una práctica recomendada, para simplificar los procesos, bajar costos y lograr controles más eficaces. La MAI, al emitir políticas sobre la información y comunicación, también debe establecer los niveles de responsabilidad sobre la calidad de la información, orientaciones para categorizar los niveles y contenidos, la transparencia, la seguridad y criterios de privacidad de acuerdo con la Ley. Estas políticas deben obligar a los directivos y el resto del personal, a proteger los datos y la información, evitando accesos y cambios no autorizados, así como en el cumplimiento de los requisitos para su conservación en el tiempo. La capacidad para generar información de calidad comienza con la captación de los datos relevantes. Si se dispone de datos poco precisos o incompletos, la información derivada de dichos datos puede provocar que se adopten decisiones equivocadas, que se efectúen estimaciones erróneas o que se aplique de manera deficiente el criterio de las autoridades. La información para que sea de calidad, además de lo que establecen las normativas en materia de transparencia y acceso a la información pública y otras normas relacionadas, debe ser: a. Accesible: la información pública, interna y externa, debe ser fácil de obtener por parte los usuarios. Estos deben saber que información está disponible y dónde no debe existir más limitación al acceso que las establecidas en la Ley; b. Correcta: la información es precisa y completa. Los sistemas de información deberán incluir comprobaciones que validen y aborden la integridad y precisión de la información, incluidos los procedimientos necesarios para la resolución de incidencias; c. Actualizada: la información debe contener información vigente a la fecha de su publicación. La información histórica debe estar también disponible, con la identificación de las fechas. Esta información debe mantenerse disponible durante el tiempo que determinen las disposiciones legales y otras aplicables; d. Suficiente: se refiere a la cantidad para completar el nivel de detalle y volúmenes establecidos en los requisitos de información; e. Importante: se refiere a la información que por su contenido es de utilidad para el análisis y la toma de decisiones; f. Oportuna: la información se encuentra disponible en los plazos establecidos. La información oportuna -- 87 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Información Relevante y Accesible, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Política de información emitida por la entidad sobre la trasparencia y acceso a la información pública, en armonía con lo que establecen las normativas sobre esta materia, y las propias características de la entidad; b. Documento del diseño e implementación del sistema de información interna y externa, que debe incluir criterios de calidad de la información; y, c. Políticas y procedimientos de archivo apropiados para la preservación de los documentos e información que se genera de las operaciones. PCI-TSC/420-00 Principio Comunicación Interna de la Información La comunicación interna facilita el funcionamiento del control interno compartiendo contribuye a la identificación temprana de posibles eventos, tendencias, errores o irregularidades; g. Válida: la información se obtiene a través de fuentes autorizadas, de manera legítima y legal; y, h. Veraz: la información está soportada por evidencias que justifican la fuente de información. NCI-TSC/413-00 Archivo institucional Los entes públicos, sujetos pasivos de la LOTSC, deberán implantar y aplicar políticas y procedimientos de archivo apropiados para la preservación de los documentos e información que deban conservar cumpliendo con lo que dispone la Constitución y las leyes que versan en esta materia; en virtud de su utilidad o por requerimiento técnico, incluyendo los informes y registros contables, administrativos y de gestión con sus fuentes de sustento o soporte; y, permitir el acceso sin restricciones a los archivos al personal del TSC y de la Unidad de Auditoría Interna, en cualquier tiempo y lugar. La importancia del mantenimiento de archivos institucionales se pone de manifiesto en la necesidad de contar con material de referencia sobre la gestión y particularmente cuando se considera la eventual responsabilidad de los servidores públicos y, por ende, la obligación de contar con evidencia cuando ella se requiera. -- 88 of 153 -- PCI-TSC/420-00 Principio Comunicación Interna de la Información La comunicación interna facilita el funcionamiento del control interno compartiendo información a todos los niveles, en sentido ascendente, descendente y transversal en la organización. La MAI, la MAE y los directivos deben comunicar la información internamente para hacer posible que su personal pueda comprender los objetivos de la organización y la importancia de sus responsabilidades de control. La comunicación interna debe incluir la información generada en la implementación de los todos los componentes, principios y normas de control interno, más los métodos de supervisión continua, autoevaluación y evaluación independientes, así como los resultados que se obtengan de estas acciones. Las siguientes normas de control interno relacionadas con el principio Comunicación Interna de la Información, permiten su diseño e implementación: NCI-TSC/421-00 Comunicar la información a todos los niveles de la organización incluyendo líneas de comunicación independientes Las políticas, la estructura organizativa, los procesos y procedimientos de la entidad deben establecer la forma en que se comunicará la información interna. Además, todos los servidores de la institución, con la profundidad que cada puesto requiera, debe conocer el contenido del marco conceptual tratado en el Capítulo II de este MARCI y los procesos que deben seguirse para la implementación del control interno a través de todos sus componentes, principios y normas de control interno. Un buen momento para la comunicación de la información general de la institución es la fase de inducción de nuevos empleados, pudiendo también considerarse una fase de reinducción para empleados antiguos, a fin de facilitar su actualización. Las unidades de comunicación juegan un papel importante en este proceso de informar a todo el personal de manera ágil, completa, amigable y efectiva sobre la entidad en la que prestan sus servicios. La estructura orgánica, los procesos y otras normativas de la entidad, deben establecer mecanismos de comunicación formal entre la MAI y la MAE, así como de todos los niveles de la entidad, para asegurar la periodicidad y contenidos de la información y comunicación, sin descartar comunicaciones más ágiles y a veces informales, cuando las circunstancias lo ameriten. En todo caso, para todos los niveles de la organización se deben establecer procesos y procedimientos para la comunicación de la información institucional y medios de verificación de que en realidad esa información es conocida y entendida por los directivos y demás miembros de la organización. Las políticas de comunicación institucional deben contemplar la comunicación directa entre la MAI y todo el personal de forma independiente de la MAE y los directivos, para que éstos puedan presentar sugerencias que no han sido atendidas, inconformidades o denuncias. Se deben establecer mecanismos de confidencialidad y orientaciones para la -- 89 of 153 -- presentación de pruebas que faciliten las investigaciones, con la finalidad de evitar represalias para quienes presentan este tipo de información y desarrollar un grado razonable de responsabilidad. En todo caso, la MAI debe demostrar que tiene el compromiso de atender la información confidencial y la más efectiva demostración es tomar acciones correctivas oportunas de los hechos puestos en su conocimiento, con el grado de difusión que corresponda. NCI-TSC/422-00 Información interna mínima que se debe comunicar La siguiente es la información mínima que debe ser comunicada internamente, debidamente actualizada, con la profundidad que cada nivel de la organización requiera y utilizando los medios más eficientes, eficaces y económicos, tales como: reuniones de trabajo, conferencias, talleres, portales web, correos electrónicos, afiches, encuestas, videoconferencias, capacitaciones virtuales y otros que sean aplicables a cada entidad de acuerdo con su estructura y recursos: a. Base legal de creación y funcionamiento institucional, los reglamentos y otras normativas secundarias emitidas por la entidad o por otros organismos competentes; b. Estructura organizativa, mapas de procesos, manuales o reglamentos sobre autoridad y responsabilidad de los servidores; c. Normativas sobre la gestión del talento humano; d. Nombre, cargo, números de teléfono, direcciones electrónicas y otros datos oficiales del personal de la institución; e. Remuneraciones de acuerdo con la estructura de la organización, evitando la inclusión de datos que relacionen los cargos con los nombres de los servidores y las asignaciones salariales; f. Resultados de los procesos de selección del personal, así como las promociones y otros movimientos del personal; g. El marco conceptual del control interno institucional desarrollado en el Capítulo II de este MARCI; h. Políticas institucionales sobre ética, control interno, gestión del talento humano, tecnología de la información y comunicación, organización, rendición de cuentas, transparencia, entre otros; i. Plan estratégico; j. Planes operativos anuales; k. Presupuesto; l. Plan de compras y contrataciones; m. Planes de recursos humanos, de tecnología, de comunicación y otros, cuando sea aplicable; n. Declaración del compromiso de cumplimiento del Código de Conducta Ética del Servidor Público y Código o Políticas de Ética Institucional; o. Atribuciones y responsabilidad del Comité de Probidad y Ética Pública (CPEP) y procedimientos para su funcionamiento; p. Procedimientos para la presentación y tratamiento de sugerencias, quejas y denuncias; q. Procedimientos de seguridad, atención de emergencias, uso de los bienes institucionales, asignación de contraseñas, asistencia técnica y otros relacionados con las actividades institucionales; y, r. Otra información de acuerdo con las características de la institución. -- 90 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Comunicación Interna de la Información, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Las políticas, procesos o procedimientos en los que se establezca la forma en que se comunicará la información interna a todos los niveles de la institución de acuerdo con la competencia y naturaleza de las funciones; b. Procedimiento establecido para que el personal de la entidad presente sugerencias, quejas, o denuncias, y los resultados de las acciones realizadas por la MAI que ha tenido conocimiento de esa información; y, c. Evidencias de la comunicación de la información interna realizada al personal de la entidad, tanto de reciente ingreso como en funciones. PCI-TSC/430-00 Principio Comunicación Externa de la Información La comunicación externa permite que la entidad obtenga y comparta información entre la organización y partes externas, entre las que se destaca la comunicación a la ciudadanía y organismos públicos y privados relacionados. La comunicación externa de las entidades públicas está regulada por las disposiciones legales y otras normativas relacionadas con la transparencia y el acceso a la información pública, por otras normativas nacionales e internacionales aplicables y por las políticas institucionales sobre información y comunicación. La comunicación externa debe permitir que la MAI ponga a disposición de la ciudadanía, de sus autoridades nominadoras y de las organizaciones públicas y privadas, nacionales e internacionales, con competencias para conocer información relevante sobre el cumplimiento de sus atribuciones, el logro de los objetivos, el uso de los recursos y otros resultados de la gestión institucional. La información externa se debe comunicar a través de canales abiertos y sin más restricción que la establecida por la Ley, para que transmita un mensaje del compromiso con la transparencia de las autoridades y directivos. PCI-TSC/430-00 Principio Comunicación Externa de la Información La comunicación externa permite que la entidad obtenga y comparta información entre la organización y partes externas, entre las que se destaca la comunicación a la ciudadanía y organismos públicos y privados relacionados. La comunicación externa de las entidades públicas está regulada por las disposiciones legales y otras normativas relacionadas con la transparencia y el acceso a la información pública, por otras normativas nacionales e internacionales aplicables y por las políticas institucionales sobre información y comunicación. La comunicación externa debe permitir que la MAI ponga a disposición de la ciudadanía, de sus autoridades nominadoras y de las organizaciones públicas y privadas, nacionales e internacionales, con competencias para conocer información relevante sobre el cumplimiento de sus atribuciones, el logro de los objetivos, el uso de los recursos y otros resultados de la gestión institucional. La información externa se debe comunicar a través de canales abiertos y sin más restricción que la establecida por la Ley, para que transmita un mensaje del compromiso con la transparencia de las autoridades y directivos. Las siguientes Normas de Control Interno relacionadas con el Principio Comunicación Externa de la Información, permiten su diseño e implementación: NCI-TSC/431-00 Comunicación con la ciudadanía y otras instituciones -- 91 of 153 -- Los criterios de calidad desarrollados en la norma de control interno 412-00 Captar datos internos y externos y transformar en información de calidad, aplican totalmente para la comunicación de la información externa, que, para este MARCI, es considerada como información pública. Se debe destacar que el incumplimiento de las normativas para la comunicación de la información pública puede ocasionar sanciones, además de afectar la imagen institucional. Por esta razón y principalmente por la obligación que tiene todo servidor público de transparentar su gestión, la MAI, con la participación de la MAE y los directivos, deben establecer procedimientos para publicar la información externa relevante para conocimiento de la ciudadanía y de otros organismos públicos y privados, en la forma y periodicidad establecidas en sus requerimientos y las disposiciones aplicables. Las entidades reciben de la ciudadanía y de los organismos reguladores información útil que es necesario analizarla y adoptar las acciones que corresponda a cada caso. Los métodos y procedimientos que establezcan la MAE y los directivos deben permitir el conocimiento oportuno, análisis y respuesta a esa información. La siguiente información recibida de fuentes externas, debe generar respuestas oportunas y de acuerdo con los requerimientos y las normas correspondientes: a. Sugerencias, reclamos o denuncias presentadas por la ciudadanía o provenientes de otras fuentes; b. Disposiciones o instrucciones emitidas por organismos reguladores y de control que deben ser cumplidas por la entidad, en la forma y tiempo requerido, para que sea posible la consolidación de la información. Las disposiciones más generalizadas con las relativas a la planificación, el presupuesto, la contabilidad, la tesorería, el control de bienes, el uso de vehículos y otros medios de transporte, la transparencia en la contratación pública, la gestión del talento humano; c. Informes de auditorías realizadas por el TSC y los organismos reguladores que contienen observaciones y recomendaciones que deben ser atendidas en los tiempos y forma establecidos en dichos informes; y, d. Acceso a sistemas centralizados administrados por organismos reguladores, para que la entidad ingrese la información requerida en las fechas y con la calidad establecida. Respecto de los servicios que prestan las instituciones, es necesario que se informe a la ciudadanía sobre la forma de acceder, por los medios más fáciles de comunicación existentes y evitando trámites presenciales engorrosos, que generalmente son medios para la corrupción y ocasionan deterioro de la imagen de las instituciones públicas. Los servicios en línea, para obtener turnos, acceder a los servicios públicos, conocer valores a pagar, el estado de los procesos, entre otros, deben ser impulsados por las MAI. La frase repetida por muchos años de “crea dificultades para vender facilidades” se debe eliminar en los servicios públicos y el medio, es la simplificación de los procesos mediante la automatización de los servicios y la asesoría institucional oportuna a los usuarios. Los medios más utilizados para la comunicación de la información externa son: el portal web, el correo electrónico, tutoriales, redes sociales y otros medios que deben aplicarse -- 92 of 153 -- de acuerdo con las características de los usuarios, incluido la zona geográfica, el idioma, los medios de comunicación y otros aspectos sociales. NCI-TSC/432-00 Información externa mínima que se debe comunicar En consistencia con las disposiciones legales y mediante la utilización de los portales web institucionales y otros medios, las entidades deben poner a disposición de la ciudadanía y de otros usuarios externos, la información mínima actualizada que a continuación se detalla: a. Marco constitucional, legal y otras normativas que regulan el funcionamiento de la entidad, incluyendo las emitidas por las autoridades institucionales; b. Denominación de los cargos, remuneración, números de teléfono, direcciones electrónicas y otros datos oficiales del personal de la institución; c. Políticas institucionales; d. Plan estratégico actualizado, los informes sobre su ejecución y las acciones adoptadas por las autoridades; e. Planes operativos anuales actualizados y los informes de ejecución y las acciones adoptadas por los directivos; f. Presupuesto vigente con el nivel de detalle sobre su ejecución; g. Estructura orgánica, procesos, procedimientos; h. Servicios que presta la institución y la forma de acceder a éstos; i. Plan de compras y contrataciones e informes de su ejecución; j. Los procesos de contratación de bienes, servicios y construcción de obras, desde la elaboración de los términos de referencia, especificaciones técnicas, y otros documentos de acuerdo con la modalidad de contratación, pasando por la solicitud de ofertas, evaluación, adjudicación, entrega de anticipos, recepción de garantías, firma de los contratos, ejecución, recepción de lo contratado, pago, con los documentos de soporte correspondientes; k. Información relativa al proceso de selección de personal y los resultados de su ejecución, siempre y cuando se mantenga reserva sobre los datos personales considerados como confidenciales; l. Informes de rendición de cuentas de la MAI; m. Informes de auditoría interna y externa y de otras evaluaciones realizadas por organismos competentes, de conformidad con lo que disponga el TSC; n. Informes sobre la gestión de cada uno de los fideicomisos, exoneraciones, concesiones, señalando de manera individualizada los antecedentes, objetivos y la forma en que se cumplen, los beneficios o rendimientos recibidos y otros informes técnicos, administrativos y financieros; o. El estado de la deuda pública; y, p. Informes de rendición de cuentas. La MAI, la MAE y los directivos deben procurar que los sistemas de información de la entidad se integren con sistemas de otras instituciones con las que tiene vinculación por sus operaciones, para coordinar las actividades y facilitar las actividades de control en línea de los auditores externos y de los organismos reguladores. -- 93 of 153 -- p. Informes de rendición de cuentas. La MAI, la MAE y los directivos deben procurar que los sistemas de información de la entidad se integren con sistemas de otras instituciones con las que tiene vinculación por sus operaciones, para coordinar las actividades, y facilitar las actividades de control en línea de los auditores externos y de los organismos reguladores. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Comunicación Externa de la Información, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Procedimiento para la comunicación de la MAI y otros servidores de la entidad con la ciudadanía; detalle de las solicitudes de información que recibe la entidad de parte de la ciudadanía y evidencias de la atención brindada; y, b. Procedimiento para comunicar a la ciudadanía, a organismos públicos y privados, y a otros usuarios externos, la información institucional que disponen las leyes y otras normativas generales y específicas aplicables a la entidad. CAPÍTULO VII 500-00 COMPONENTE SUPERVISIÓN Los Principios y Normas de Control Interno de este componente son transversales a todas las actividades que se desarrollen para la implementación de los demás componentes, ya que se debe evaluar, de manera continua y permanente o con la periodicidad que cada proceso requiera y de acuerdo con las características y organización de cada entidad, el funcionamiento real del sistema de control interno y comunicar objetivamente cualquier deficiencia, para que adopten las acciones de mejora. En este sentido, la entidad debe contar con procedimientos definidos y aprobados para supervisar, autoevaluar o evaluar de manera independiente la implementación del sistema de control interno. La oportunidad y periodicidad de estas actividades responderán a las características y organización de cada entidad. La Supervisión debe incluir comunicar, en el momento y a las personas apropiadas, las observaciones y recomendaciones para mejorar la gestión y lograr que los servidores se involucren en el logro de los objetivos. El Componente Supervisión tiene los siguientes principios y normas de control interno: -- 94 of 153 -- La Supervisión debe incluir comunicar, en el momento y a las personas apropiadas, las observaciones y recomendaciones para mejorar la gestión, y lograr que los servidores se involucren en el logro de los objetivos. El Componente Supervisión tiene los siguientes principios y normas de control interno: PCI-TSC/510-00 Principio Evaluación Continua y Autoevaluación El sistema de control interno de una entidad puede cambiar en tiempos relativamente cortos, originados por muchos factores. Uno de los factores más frecuentes en el sector público, es el cambio frecuente de directivos y otros funcionarios, así como reformas a las normativas internas y externas, que pueden provocar que los controles pierdan eficacia. 500-00 COMPONENTE SUPERVISIÓN PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/510-00 Evaluación Continua y Autoevaluación NCI-TSC/511-00 Supervisión continua NCI-TSC/512-00 Autoevaluaciones PCI-TSC/520-00 Evaluación Independiente NCI-TSC/521-00 Evaluación independiente realizada por las unidades de auditoría interna NCI-TSC/522-00 Evaluación independiente realizada por el TSC PCI-TSC/530-00 Comunicación Oportuna de los Resultados de las Evaluaciones NCI-TSC/531-00 Evaluar los resultados y comunicar las deficiencias NCI-TSC/532-00 Controlar las medidas correctivas PCI-TSC/510-00 Principio Evaluación Continua y Autoevaluación El sistema de control interno de una entidad puede cambiar en tiempos relativamente cortos, originados por muchos factores. Uno de los factores más frecuentes en el sector público, es el cambio frecuente de directivos y otros funcionarios, así como reformas a las normativas internas y externas, que pueden provocar que los controles pierdan eficacia. La entidad debe llevar a cabo actividades de supervisión continua y autoevaluaciones para determinar si las normas de control interno de cada compo¬nente están siendo implementadas o en su defecto emprender las acciones que correspondan. Las actividades de supervisión identifican brechas existentes entre los controles diseñados y la forma en que se están aplicando, e identificarán las causas de las diferencias con el propósito de sugerir acciones para solucionarlas. Las siguientes Normas de Control Interno relacionadas con el Principio Evaluación Continua y Autoevaluación, permiten su diseño e implementación: NCI-TSC/511-00 Supervisión continua Las entidades deben implementar supervisiones continuas, manuales o con el uso de tecnología, para verificar el funcionamiento del sistema de control interno y el cumplimiento de las normas en la ejecución de las actividades. -- 95 of 153 -- Las supervisiones continuas generalmente son ejecutadas por los superiores directos de quienes realizan las actividades. Estos servidores deben reunir las competencias necesarias para comprender lo que supervisan, aportar sugerencias y nuevos enfoques, en el caso de que los procesos y los controles requieran de cambios. Las entidades utilizan frecuentemente tecnología para la realización de supervisiones continuas, porque son más objetivas y abarcan grandes volúmenes de datos que se pueden revisar con oportunidad y con costos razonables. Estas técnicas, junto con una apropiada revisión y análisis de los resultados, pueden asegurar que los controles internos funcionan como fueron diseñados e implementados, para el logro de los objetivos. Los responsables de llevar a cabo las actividades de supervisión deben identificar las causas de incumplimientos o variaciones, analizar objetivamente con las personas involucradas y determinar las formas de solucionarlos de manera oportuna, considerando las alternativas disponibles y los costos. Cuando sea necesario, se escalará la toma de decisiones a los niveles jerárquicos apropiados, dejando en todo momento, evidencias de las acciones realizadas. Al diseñar los procesos y procedimientos de la entidad pública se deben establecer mecanismos de autocontrol por parte de quienes realizan las actividades, a fin de que aseguren su cumplimiento o identifiquen errores, inconsistencias y otros que dificulten su aplicación y reporten a las autoridades competentes cuando estos no estén funcionando adecuadamente. Para la supervisión continua y para cualquier otra forma de evaluación, deben existir al menos los siguientes requisitos: a. Los procesos, procedimientos, instrucciones y otras disposiciones deben haber sido formalmente establecidos por la autoridad competente; b. Ser conocidos, por cualquier medio, como capacitaciones, procesos de inducción, entre otros; por los servidores responsables de su aplicación y supervisión, puesto que deben ser los mismos criterios de verificación; c. Establecer la autoridad y responsabilidad por la supervisión, que deben ser conocidas por todas las partes involucradas; d. La supervisión debe ser vista como un aporte a la excelencia y con sentido constructivo, no como una persecución; e. Se debe dejar evidencia escrita de la supervisión realizada, ya sea esta manual o automatizada. El uso de firmas electrónicas o dejar constancia en el sistema de las revisiones y aprobaciones, es una forma de evidenciar las supervisiones; y, f. Los resultados de las supervisiones deben ser analizadas con las personas involucradas en los -- 96 of 153 -- procesos y comunicar a las instancias que corresponda de acuerdo con la estructura organizativa. Estos resultados deben ser comunicados a la unidad de auditoría interna. Cuando las instituciones lleven a cabo certificaciones de la calidad de los procesos, a fin de evitar duplicación de esfuerzos, los resultados de las supervisiones y de otras evaluaciones, deben ser compartidas de manera recíproca con los encargados de realizar las auditorías de la calidad, ya que los objetivos y los mecanismos de verificación, son similares. Estas disposiciones deben constar en los contratos o en las disposiciones relativas a las verificaciones de la calidad y de las supervisiones de los procesos y procedimientos de las instituciones. NCI-TSC/512-00 Autoevaluaciones Las autoevaluaciones del funcionamiento de los componentes del control interno deben ser realizadas por personal de la propia entidad, que deben contar con la designación, autorización y apoyo de la MAI, para que planifiquen, ejecuten e informen los resultados de esta actividad. Los objetivos, el alcance, la metodología y las responsabilidades del equipo de evaluación deben ser conocidos por todos los miembros de la entidad o por los responsables de los procesos y componentes del control interno sujetos a evaluación. Las autoevaluaciones del sistema de control interno deben ser realizadas utilizando criterios y metodología consistentes con los que utilizan los auditores internos cuando efectúan la evaluación independiente. Las personas que realizan la au- toevaluación del control interno, en su conjunto, deben tener suficientes conocimientos de esta materia y de los aspectos que se evalúan, sustentarse en evidencias para calificar la forma en que se están aplicando los controles, y ser suficien- temente objetivos. En el caso de utilizar cuestionarios para evaluar el control interno, estos deben ser elaborados con la asesoría de la unidad de auditoría interna. Estos cuestionarios, cuando corresponda, podrán ser utilizados por la auditoría interna para sus evaluaciones, aclarando que no debería repetirse este proceso, sino realizar validaciones de su aplicación y de las evidencias que respaldan los resultados. Debe existir un alto grado de compromiso de la MAI y el equipo designado para realizar la autoevaluación; asimismo, debe demostrar poseer conocimientos suficientes, integridad y alto grado de profesionalismo. -- 97 of 153 -- Debe existir un alto grado de compromiso de la MAI y el equipo designado para realizar la autoevaluación; asimismo, debe demostrar poseer conocimientos suficientes, integridad y alto grado de profesionalismo. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Evaluación Continua y Autoevaluación, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Asignación por escrito por parte de la MAE, de las atribuciones y responsabilidades para supervisar las actividades de los servidores encargados de cada una de las fases de los procesos; b. Procedimientos de supervisión y de comunicación de los resultados, ya sean estos manuales o con el uso de tecnología; c. Procedimientos para la autoevaluación del control interno, que contenga los requisitos del equipo de evaluación; los conocimientos, formación profesional e independencia para realizar estas actividades; las técnicas y medios para efectuar la autoevaluación; la forma de evidenciar los resultados y de comunicar los hallazgos; y, d. Disposiciones emitidas por la MAE sobre la complementariedad de las auditorías de la calidad, con las autoevaluaciones, y las supervisiones continuas. PCI-TSC/520-00 Principio Evaluación Independiente Al evaluar el diseño del control interno, se debe determinar si los controles, por sí mismos -- 98 of 153 -- PCI-TSC/520- 00 PRINCIPIO EVALUACIÓN INDEPENDIENTE Al evaluar el diseño del control interno, se debe determinar si los controles, por sí mismos y en conjunto con otros, permiten alcanzar los objetivos y responder a sus riesgos asociados. Para evaluar la implementación, es necesario determinar si el control existe, esto es, que se haya sido establecido formalmente por autoridad competente; que ha sido difundido para conocimiento de los responsables de su aplicación; y, si se ha puesto en operación, esto es que se haya implementado. Un control no puede ser efectivamente implementado si su diseño es deficiente. Una deficiencia en el diseño ocurre cuando: a. Falta un control necesario para mitigar los riesgos, que es el propósito esencial del establecimiento de un control; y, b. Un control existente está diseñado de modo que, incluso si opera de acuerdo con el diseño, no mitiga los riesgos y, por tanto, el objetivo de control no puede alcanzarse. Existe una deficiencia en la implementación cuando un control, adecuadamente diseñado, se aplica de manera incorrecta. Por lo expuesto, la evaluación del sistema de control interno debe realizarse al diseño y a la implementación efectiva, asociando los objetivos y los procesos, con los riesgos y los controles considerando la naturaleza y características de las instituciones. Al evaluar la eficacia operativa del control interno, se debe determinar si se aplicaron controles de manera oportuna, la consistencia con la que estos fueron aplicados, si el personal que los aplicó contaba con los conocimientos y capacidades necesarias y si los medios para implementar los controles fueron adecuados. La evaluación independiente del control interno corresponde realizarla a las unidades de auditoría interna, al TSC o a firmas de auditoría contratadas cumpliendo las disposiciones legales establecidas para este propósito. La independencia radica en que la evaluación es realizada por quienes no participan en la ejecución de los procesos que se evalúan. Para que sea de utilidad, esta evaluación debe ser realizada durante el año, con la periodicidad que se determine en función de resultados de evaluaciones anteriores, o de los niveles de riesgos de procesos específicos, que obliga su revisión permanente, como la contratación pública y la gestión del talento humano. Las siguientes Normas de Control Interno relacionadas con el Principio Evaluación Independiente, permiten su diseño e implementación: NCI-TSC/521-00 Evaluación independiente realizada por las unidades de auditoría interna Las evaluaciones que realicen las unidades de auditoría interna deben tomar como referencia los resultados de las -- 99 of 153 -- supervisiones continuas, las autoevaluaciones, las auditorías de la calidad y otros resultados similares, con el fin de evitar duplicación de esfuerzos y distraer la atención de los servidores en iguales actividades previamente realizadas. Las unidades de auditoría interna deben cumplir con los estándares internacionales adaptados y/o adoptados por el TSC para el ejercicio profesional de esta actividad de control independiente, con la oportunidad que corresponde, esto es, durante cada año, con la periodicidad que cada proceso requiera. La evaluación de los controles internos de los procesos misionales, conocidos también como agregadores de valor, así como de aquellos que utilizan mayores cantidades de recursos o están expuestos a riesgos de irregularidades, deben ser prioritarios al momento de elaborar los planes de auditoría interna, de acuerdo con las disposiciones del TSC. Se debe tomar en cuenta que los controles internos establecidos pueden cambiar la forma de su aplicación en tiempos relativamente cortos, por lo que su evaluación permanente o con intervalos cortos, es necesaria. Para efectos de complementariedad, las técnicas que los auditores internos utilicen en la evaluación independiente deben ser consistentes con los que se utilicen en la autoevaluación. Las dos evaluaciones deben sustentarse en evidencias para que tengan valor y permitan el uso de tiempos más cortos en siguientes evaluaciones. Los auditores internos generalmente utilizan cuestionarios, con la combinación de otras técnicas como la observación, revisión documental, las entrevistas, flujo de procesos, para la evaluación del control interno. Para elaborar cuestionarios, los auditores internos deben tomar como referencia los Puntos Mínimos para la Autoevaluación y la Evaluación Independiente que se desarrollan en este MARCI por cada principio. Para lograr resultados objetivos, los principios y normas de control interno deberán ser evaluados en dos instancias como se explicó en la sección 6 del Capítulo II: El diseño y la implementación, con los criterios que se citan a continuación, cuyos resultados deben promediarse: a. El diseño de los controles, esto es, la existencia, aprobación y difusión de los controles tales como planes, organigramas, manuales, reglamentos y otros similares, que tendrán una valoración; y, b. La implementación que implica la aplicación práctica de estos principios y normas de control interno. Para verificar su adecuada implementación se deberán realizar pruebas de cumplimiento con la extensión que corresponda, lo cual puede requerir de poca inversión de tiempo, si las evaluaciones se realizan con la regularidad necesaria. Cuando se evalúen los controles relativos a la gestión de los riesgos, por ejemplo, la evaluación del diseño consistirá en verificar que existe la metodología aprobada por la MAE y -- 100 of 153 -- que el personal que participó en el proceso de evaluación de los riesgos recibió la capacitación necesaria y fue dotado de los recursos para ejecutar esta actividad. Para verificar la implementación del control relativo a la gestión de los riesgos, se deberá contar con el listado o detalle de los objetivos y comprobar la forma en que fue aplicada la metodología en cada uno de ellos. En entidades muy grandes, estas evaluaciones pueden realizarse agrupando procesos prioritarios establecidos por la MAI y desarrollarlos durante un período de acuerdo con un plan, hasta cubrir la mayoría o todos los objetivos en un tiempo razonable. Los resultados de la evaluación del diseño tendrán una valoración, que deberá promediarse con los resultados de la evaluación de la implementación. Estos valores deben establecerse en la metodología de evaluación aplicable a cada entidad o grupo de entidades de características similares. Las autoevaluaciones que incluyan la evaluación del diseño y la implementación del control interno y que estén respaldadas por evidencias que demuestren su cumplimiento, pueden ser consideradas como antecedentes para las evaluaciones independientes de los auditores internos. Todas las evaluaciones realizadas deben ser documentadas. Los medios y herramientas utilizadas en la evaluación como con las evidencias que respaldan sus resultados deben mantenerse en archivos físicos o preferentemente electrónicos, para que estén disponibles para el control posterior externo, por el tiempo que disponga el TSC. NCI-TSC/522-00 Evaluación independiente realizada por el TSC Las evaluaciones que realiza el TSC y otras personas naturales o jurídicas autorizadas para realizar auditorías externas, tienen propósitos adicionales a las evaluaciones periódicas y recurrentes que realizan los auditores internos, puesto que, además de conocer la calidad del control interno, se utilizan para determinar el alcance, oportunidad y profundidad de las pruebas de auditoría. Para efectos de complementariedad, los auditores externos deben analizar el proceso seguido y los resultados de las evaluaciones del sistema de control interno realizado por los auditores internos; esto con el propósito de determinar el grado de confianza del trabajo que estos han realizado y decidir si reúne las condiciones para ser utilizado en las actividades de control posterior externo. Dada la formación profesional de los auditores internos como el entrenamiento y supervisión que reciben del TSC, es de esperarse que los procesos y los resultados de las evaluaciones del sistema de control interno, otras revisiones y exámenes realizados, tengan suficiente valor para la determinación del alcance de las pruebas de auditoría. Las técnicas de evaluación del sistema de control interno por parte de los auditores externos son similares a las que utilizan los auditores internos, por lo que se consideran complementarios dentro de un sistema integrado de control de los recursos públicos. -- 101 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Evaluación Independiente, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Metodología para las evaluaciones independientes del control interno realizadas por las unidades de auditoría interna, que considere la evaluación del diseño y de la implementación o aplicación práctica, y los demás procedimientos de evaluación y comunicación de resultados; y, b. Documento que establezca los mecanismos de coordinación de las unidades de auditoría interna con el TSC, para evitar duplicación de esfuerzos y lograr su complementariedad. PCI-TSC/530-00 Principio Comunicación Oportuna de los Resultados de las Evaluaciones Los responsables de llevar a cabo las actividades de supervisión, autoevaluación y evaluaciones independientes deben elaborar un informe de los resultados relevantes identificados y comunicarlos a los servidores que ejecutan los procesos, y a las autoridades que corresponda de acuerdo con la estructura de la organización. Las autoridades que conozcan los resultados de las supervisiones, autoevaluaciones y evaluaciones deben tomar las acciones que corresponda, de acuerdo con sus competencias, dejar evidencia de las decisiones adoptadas, y comunicar a las personas involucradas por los medios más eficaces. Estas comunicaciones deben incluir a la unidad de auditoría interna, cuando los informes se originaron en sus evaluaciones independientes del sistema de control interno, a fin de que registren el cumplimiento en los planes de implementación de las recomendaciones formuladas. Las siguientes normas de control interno relacionadas con el principio Comunicación Oportuna de Resultados de las Evaluaciones, permiten su diseño e implementación: PCI-TSC/530-00 Principio Comunicación Oportuna de los Resultados de las Evaluaciones Los responsables de llevar a cabo las actividades de supervisión, autoevaluación y evaluaciones independientes deben elaborar un informe de los resultados relevantes identificados y comunicarlos a los servidores que ejecutan los procesos y a las autoridades que corresponda de acuerdo con la estructura de la organización. Las autoridades que conozcan los resultados de las supervisiones, autoevaluaciones y evaluaciones deben tomar las acciones que corresponda, de acuerdo con sus competencias, dejar evidencia de las decisiones adoptadas, y comunicar a las personas involucradas por los medios más eficaces. Estas comunicaciones deben incluir a la unidad de auditoría interna, cuando los informes se originaron en sus evaluaciones independientes del sistema de control interno, a fin de que registren el cumplimiento en los planes de implementación de las recomendaciones formuladas. Las siguientes normas de control interno relacionadas con el principio Comunicación Oportuna de Resultados de las Evaluaciones, permiten su diseño e implementación: NCI-TSC/531-00 Evaluar los resultados y comunicar las deficiencias -- 102 of 153 -- Las deficiencias en el sistema de control interno, presentadas en los informes de resultados de las supervisiones, autoevaluaciones y evaluaciones independientes, deben ser analizadas respecto de su importancia o relevancia. Ésta se refiere la forma en que cada deficiencia o un conjunto relacionado, afecta al cumplimiento de los objetivos institucionales. Para definir la relevancia de las deficiencias, se debe evaluar su efecto sobre la consecución de los objetivos, tanto a nivel institucional como de proceso o actividad. También se debe evaluar la relevancia de las deficiencias considerando la magnitud del impacto, la probabilidad de ocurrencia y la naturaleza de la deficiencia. Algunas deficiencias pueden ser fácilmente cuantificables en cuyo caso la magnitud o materialidad puede compararse con factores como la cantidad de recursos de la entidad para determinar la importancia. En otros casos, las deficiencias pueden no tener relación directa con los recursos, sino con la imagen institucional, la ética y el ambiente laboral. En estos casos se debe analizar el impacto que puede tener en la actitud de las personas que laboran en la institución, la ciudadanía y otras instituciones, para determinar su grado de importancia. Por norma general, las deficiencias relacionadas con la corrupción deben ser siempre consideradas de importancia. Los resultados de las evaluaciones independientes realizadas por los auditores internos deben ser analizados con los responsables de los procesos y otros servidores de mayor y menor jerarquía que tiene relación con la evaluación realizada. El propósito es identificar las causas de los errores y deficiencias del sistema de control interno, para en conjunto seleccionar las mejores soluciones, que serán sometidas a conocimiento de las autoridades que tengan competencia para decidir. Las reuniones para la comunicación de resultados de las evaluaciones deberán ser documentadas con firmas de responsabilidad, para evidenciar el cumplimiento del debido proceso. Los hallazgos que identifiquen acciones contrarias a la ética, las leyes o establezcan el uso indebido de los recursos públicos, se comunicarán de acuerdo con lo que dispone el TSC. Los informes de las evaluaciones del sistema de control interno realizadas por las unidades de auditoría interna contendrán la información y seguirán el trámite establecido por el TSC. -- 103 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) NCI-TSC/532-00 Controlar las medidas correctivas La máxima autoridad institucional debe elaborar el plan de acción para implementar las recomendaciones contenidas en los informes elaborados como resultado de las actividades de supervisión, autoevaluación y evaluación independiente, con la participación de los servidores responsables de su aplicación y supervisión. Estos planes deberán contener como mínimo el número, el contenido de la recomendación, la persona responsable de su implementación, la fecha estimada de cumplimento, y, de ser posible, los recursos necesarios para su cumplimiento, indicadores y medios de verificación. Los planes deben ser firmados por los responsables de su cumplimento. Este plan deberá ser evaluado periódicamente por la unidad de auditoría interna para determinar su grado de cumplimento y efectuar el seguimiento que corresponda. Los casos que ameriten serán comunicados a la MAI para que adopte las acciones que corresponda. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Comunicación Oportuna de los Resultados de las Evaluaciones, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Evidencias de la comunicación de los resultados de las evaluaciones del control interno con las personas que tienen relación con los objetivos y los procesos evaluados, así como con las autoridades que corresponda, cuando sea necesario; y, b. Planes de acción, con las firmas de las personas responsables del cumplimiento, y evidencias del seguimiento de su ejecución. NCI-TSC/532-00 Controlar las medidas correctivas La máxima autoridad institucional debe elaborar el plan de acción para implementar las recomendaciones contenidas en los informes elaborados como resultado de las actividades de supervisión, autoevaluación y evaluación independiente, con la participación de los servidores responsables de su aplicación y supervisión. Estos planes deberán contener como mínimo el número, el contenido de la recomendación, la persona responsable de su implementación, la fecha estimada de cumplimento, y, de ser posible, los recursos necesarios para su cumplimiento, indicadores y medios de verificación. Los planes deben ser firmados por los responsables de su cumplimento. Este plan deberá ser evaluado periódicamente por la unidad de auditoría interna para determinar su grado de cumplimento y efectuar el seguimiento que corresponda. Los casos que ameriten serán comunicados a la MAI para que adopte las acciones que corresponda. -- 104 of 153 -- CAPÍTULO VIII DOCUMENTACIÓN, ARCHIVO Y PUBLICACIÓN DEL DISEÑO E IMPLEMENTACIÓN DEL CONTROL INTERNO Los siguientes son los documentos mínimos que evidenciarán la implementación del control interno y que deben ser publicados para conocimiento interno y externo, según corresponda, salvo las limitaciones que las leyes impongan: a. Políticas institucionales, entre otras, relacionadas con la ética y la lucha contra la corrupción, el control interno, el talento humano, la organización y los procesos, la planificación y la rendición de cuentas, la calidad de los servicios, el uso de la tecnología y la innovación, la gestión de los riesgos, la transparencia, el cuidado del ambiente, la supervisión y el cumplimiento de los planes de mejora continua, entre otras; b. Declaración de compromiso de aplicar o cumplir el Código de Conducta Ética del Servidor Público y aplicar también el Código o Políticas Internas de Ética institucional; c. Documento de creación del Comité de Probidad y Ética Pública (CPEP) y evidencias de su funcionamiento; d. Documentación de los procesos de difusión y capacitación del Código de Ética; e. Instructivo y metodología para el tratamiento de denuncias y los resultados de las acciones realizadas, salvo las limitaciones que las leyes establecen y manteniendo procesos rigurosos de protección del denunciante; f. Planes estratégicos, operativos, de compras y otros planes; con objetivos, indicadores de gestión, informes de cumplimiento y otros requisitos establecidos en las normativas para su elaboración, así como su relación con la rendición de cuentas; g. Manuales de procesos con: Macroprocesos, procesos, procedimientos, tareas, organigramas, manuales o reglamentos de atribuciones y responsabilidades; h. Normativas y procesos para la gestión del talento humano, desde los planes de necesidades de personal, pasando por la convocatoria, selección, inducción, capacitación, promoción, desvinculación, así como la administración de información y expedientes; i. Metodología para la evaluación de los riesgos y evidencias de los procesos de capacitación para su uso. Esto incluye la evaluación de los riesgos al fraude y los cambios internos y externos; j. Documentos para evidenciar actividades relacionadas con el listado o detalle de objetivos, la identificación de eventos internos y externos, evaluación, análisis, respuesta a los riesgos y acciones para su mitigación. Esto incluye matrices y mapas de riesgo; k. Documentos que vinculan la evaluación de los riesgos con las actividades de control diseñadas y aplicadas para su mitigación; l. Disposiciones de la MAI y la MAE para que se apliquen y supervise la aplicación de los controles comunes establecidos en este MARCI para los riesgos más frecuentes en la administración de los recursos públicos, así como evidencias de su aplicación; m. Evidencias de la comunicación de la información interna al personal de la institución; n. Evidencias de la publicación de la información externa y la atención oportuna y completa de los -- 105 of 153 -- requerimientos de los organismos de regulación y control y de la ciudadanía, de acuerdo con los procedimientos establecidos para el acceso a la información; o. Metodología para la autoevaluación, las evaluaciones independientes, los informes de estas actividades, los planes de mejora continua y del seguimiento sobre el cumplimiento; y, p. Cualquier otro archivo físico o electrónico de la implementación del control interno. La implementación del control interno integra todas las actividades de las instituciones, por lo que es de singular importancia que la MAI, la MAE, los directivos y todos los servidores deben asumir con responsabilidad sus obligaciones de documentar la implementación del control interno, de acuerdo con su jerarquía. Las entidades deben conservar los documentos originales de las transacciones por el tiempo que las disposiciones legales lo establezcan; asimismo, puede considerarse la posibilidad de que estos documentos sean escaneados a fin de tener respaldos electrónicos de los documentos del sistema de control. Para fines de control interno, es necesario que los documentos que evidencian su implementación deban ser custodiados por servidores capacitados, a quienes la MAE asignará de manera formal esta responsabilidad con la consiguiente autoridad, de acuerdo con los procedimientos establecidos en cada entidad. Los documentos físicos originados en la implementación del control interno deben ser archivados aplicando las mismas normas establecidas para toda la documentación institucional. Serán custodiadas y administradas procurando su conservación, facilidades de localización y control de salida de los documentos; así como el acceso limitado a personal autorizado y deben estar disponibles para las revisiones que en cualquier momento efectúen las unidades de auditoría interna institucional y el TSC. GLOSARIO Autoevaluación: Evaluación de la efectividad de los controles internos realizado por la propia entidad, por convicción de la importancia y utilidad del control para el logro de los objetivos institucionales. Confiabilidad: Cualidad o característica que procura el control interno y que debe poseer la información financiera y operativa derivada de la gestión de los entes públicos. Consejo de Administración: Es el grupo directivo que se constituye en la máxima autoridad institucional, con responsabilidades de aprobar las normativas internas, de establecer las estrategias institucionales, aprobar los presupuestos, supervisar el funcionamiento del sistema de control interno y el cumplimiento de los objetivos a través de la rendición de cuentas de la máxima autoridad ejecutiva. Para cumplir con sus responsabilidades, el consejo puede contar con comités especializados como el Comité de Probidad y Ética Pública (CPEP), el Comité de Auditoría. Control Posterior Externo: Es la acción realizada por el TSC a los sujetos pasivos para verificar los aspectos: administrativos, legales, financieros o económicos, de gestión y de resultados. Esta acción puede ser realizada por firmas privadas de auditoría, luego de cumplir con las disposiciones establecidas para autorizar su participación. Corrupción: Uso indebido o ilegal de los recursos, información o del poder o autoridad públicos para obtener -- 106 of 153 -- un beneficio que redunde en provecho del servidor público u otras personas naturales o jurídicas, ya sea que se haya consumado o no un daño patrimonial o económico al Estado. Debido Proceso: Derecho de una persona a que se siga el procedimiento legalmente establecido en un juicio o trámite administrativo, que le proteja de la arbitrariedad y le dé seguridad de ejercer el derecho a la defensa. Disposiciones Legales: Normas que emanan de la Constitución, las leyes, reglamentos u otras normativas legalmente emitidas y de obligatorio cumplimiento. Economía: Austeridad y mesura en los gastos e inversiones públicas, en condiciones de calidad, cantidad y oportunidad requeridas. Ética: Actitud permanente de los servidores públicos para cumplir sus obligaciones con responsabilidad, esmero, rectitud y demás valores morales; constituye la base principal en que se fundamenta el control interno institucional de los recursos públicos. Eficiencia: Velar porque la entidad obtenga la máxima productividad de los recursos humanos, materiales, financieros, tecnológicos y del tiempo que le han sido confiados, para el logro de los objetivos institucionales. Eficacia: Cumplimiento de las metas y los objetivos previstos. Permite determinar si los resultados obtenidos tienen relación con los objetivos y con la satisfacción de las necesidades de la ciudadanía y otros grupos de interés, internos y externos. Gobierno Corporativo: Es un marco en el cual las atribuciones y responsabilidades de los diferentes participantes y grupos de interés de las entidades son distribuidos legal y técnicamente, para propiciar el logro de sus objetivos de manera eficiente y transparente, partiendo de la autoridad superior que generalmente es un cuerpo colegiado. Impacto: Es el resultado o el efecto de un riesgo. Puede existir un rango de posibles impactos asociados con un riesgo. Indicador: Es la expresión cuantitativa que relaciona dos o más variables, permitiendo evaluar el comportamiento o desempeño de una entidad o proceso, cuyo resultado es comparado con criterios previamente establecidos. Legalidad: El acatamiento o cumplimiento de las disposiciones constitucionales, legales y otras normativas que regulan los actos administrativos y la gestión de los recursos públicos. Mapa de Riesgo: Es la representación gráfica de los riesgos identificados y valorados en un plano cartesiano que combina probabilidad con impacto, permitiendo la ubicación de éstos y su visualización en las zonas de aceptación o rechazo definidas. Probabilidad: Es la posibilidad de que un evento determinado pueda ocurrir. Rendición de Cuentas: Es el acto administrativo mediante el cual los responsables de la gestión de los recursos públicos, de acuerdo con la estructura organizativa institucional, informan, justifican y se responsabilizan del uso de tales recursos para el logro de los objetivos. Riesgo: Es la posibilidad de que ocurra un evento adverso que afecte el logro de los objetivos. -- 107 of 153 -- Riesgo Aceptado: Es el nivel de riesgo fijado por la MAI y la MAE y que está dispuesto a aceptar a cambio de lograr los objetivos. Riesgo de Control: Es el riesgo de que las actividades de control no estén bien diseñadas o no se apliquen adecuadamente. Riesgo Inherente: Es el riesgo propio o consustancial con la naturaleza de la actividad u operaciones de la entidad o de un proceso, sin considerar la efectividad de los sistemas y actividades de control. Riesgo Residual: Es el riesgo remanente después de haber considerado los controles existentes y en funcionamiento. Servidor Público: Es la persona física que ha sido nombrada, contratada o elegida para realizar una función, de cualquier naturaleza y jerarquía, en una entidad calificada por las leyes como pública. Tolerancia al Riesgo: Son los límites de la variación aceptable en el desempeño relacionado con el logro de los objetivos, es decir los límites de la desviación con respecto del apetito al riesgo. Transparencia: Es el conjunto de medidas de información y comunicación, así como las facilidades para su acceso sobre la gestión pública; es uno de los fundamentos en que descansa un adecuado control interno institucional de los recursos públicos. ARTÍCULO SEGUNDO: Los sujetos pasivos de la LOTSC tendrán un plazo contado desde la fecha de la publicación del presente Acuerdo hasta el 31 de marzo de 2022, para establecer el proceso de control interno institucional de conformidad con el presente Marco Rector; en caso de ser necesario, este plazo puede prorrogarse por seis (6) más previa aprobación del pleno de magistrados. ARTÍCULO TERCERO: El Tribunal Superior de Cuentas y las unidades de auditoría interna, como parte de sus funciones, darán seguimiento y evaluarán el acatamiento y cumplimiento del presente Marco Rector del Control Interno. ARTICULO CUARTO: Se deroga el “Acuerdo Administrativo TSC Nº.001/2009” de fecha cinco (5) de febrero de dos mil nueve (2009), que contiene el Marco Rector del Control Interno de los Recursos Públicos. ARTÍCULO QUINTO: El presente Acuerdo entrará en vigencia al día siguiente de su publicación en el Diario Oficial “La Gaceta”. En la ciudad de Tegucigalpa municipio del Distrito Central a los diez (10) días del mes de septiembre de dos mil veintiuno (2021). Y para efectos de su Publicación en el Diario Oficial La Gaceta, Firma y Sello Abogado Ricardo Rodríguez, Magistrado Presidente.- Firma y Sello.- Abogado Roy Pineda Castro, Magistrado.- Firma y Sello.- Abogado José Juan Pineda Varela Magistrado.- Firmo y sello la presente CERTIFICACIÓN, en la Ciudad de Tegucigalpa, Municipio del Distrito Central, a los dos (02) días del mes de diciembre del año dos mil veintiuno 2021 DOY FE.- SANTIAGO ANTONIO REYES PAZ Secretario General T.S.C. -- 108 of 153 -- (E.N.A.G.) Colonia Miraflores Sur, Centro Cívico Gubernamental Tels.: 2230-1120, 2230-4957, 2230-1339 Suscripciones: Nombre:___________________________________________________________________________________________ Dirección: _________________________________________________________________________________________ Teléfono: _________________________________________________________________________________________ Empresa: __________________________________________________________________________________________ Dirección Oficina: __________________________________________________________________________________ Teléfono Oficina: ___________________________________________________________________________________ Avance El Diario Oficial La Gaceta circula de lunes a sábado Próxima Edición Remita sus datos a: precio unitario: Lps. 15.00 Suscripción Físico y Digital Lps. 2,000.00 anual, seis meses Lps. 1,000.00 La Gaceta está a la vanguardia de la tecnología, ahora ofreciendo a sus clientes el servicio en versión digital a nivel nacional e internacional en su página web www.lagaceta.hn Para mayor información llamar al Tel.: 2230-1339 o al correo: gacetadigitalhn@gmail.com Contamos con: • Servicio de consulta en línea. 1) ACUERDA: PRIMERO: REFORMAR los Artículos 1, 2, 3, 4, 5, 6, 8, 9, 14, 16, 19, 21, 28, 30, 32, 37, 39, 40, 42, 43, 45, 46, 47, 49, 55, 60, 61, 63, 64, 66, 67, 68, 69, 70, 71, 72, 87, 88, 89, 90, 92, 93, 94, 100, 103, 104, 105, 106, 107, 111, 114, 115, 121, 122, 123, 124, 125, 126, 128, 129, 131, 132 y 134 del Acuerdo ADUANAS-DE-NO.005-2020 TEGUCIGALPA Col. Miraflores Sur, Centro Cívico Gubernamental, contiguo al Poder Judicial. SAN PEDRO SULA Salida a Puerto Cortés, Centro Comercial, “Los Castaños”, Teléfono: 2552-2699. CENTROS DE DISTRIBUCIÓN: -- 109 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Sección “B” CERTIFICACIÓN La infrascrita, Secretaria General de la Comisión Nacional de Bancos y Seguros CERTIFICA la parte conducente del Acta de la Sesión Extraordinaria No.1580 celebrada en Tegucigalpa, Municipio del Distrito Central el veintiséis de noviembre de dos mil veintiuno, con la asistencia de los Comisionados ETHEL DERAS ENAMORADO, Presidenta; EVASIO A. ASENCIO, Comisionado Propietario; EVIN ANDRADE, Superintendente de Bancos y Otras Instituciones Financieras, designado por la Presidenta para integrar la Comisión en calidad de Comisionado Suplente por disposición del Artículo 2 de la Ley de la Comisión Nacional de Bancos y Seguros; MAURA JAQUELINE PORTILLO G., Secretaria General; que dice: “… 3. Asuntos de la Gerencia de Regulación, Investigación y Desarrollo: … literal b) …
Ver como documento individual

Resolución

Resolución No. GRD No.913/26-11-2021 — Reforma del Reglamento de Operación de Reaseguro y Registro de Reaseguradoras y Corredores de Reaseguro del Exterior

RESOLUCIÓN GRD No.913/26-11-2021.- La Comisión Nacional de Bancos y Seguros, CONSIDERANDO (1): Que la Ley de Instituciones de Seguros y Reaseguros en su Artículo 74 establece literalmente que: “Las instituciones de seguros deberán elaborar una política de distribución de riesgos, por las responsabilidades que asuman al realizar las operaciones de seguros, en la cual determinarán adecuadamente los porcentajes del patrimonio que sirvan de base para fijar, en cada operación o ramo, los límites de retención en un solo riesgo. Además, fijarán anualmente los límites máximos y mínimos de retención, tomando en cuenta el volumen de sus operaciones, el monto de sus recursos financieros, las sumas en riesgo y la experiencia obtenida respecto al comportamiento de la siniestralidad. Las instituciones de seguros deberán hacer del conocimiento de la Comisión, la política y límites definidos que aplicarán en cada ejercicio económico, a más tardar el primer mes del ejercicio correspondiente, pudiendo la Superintendencia de Seguros recomendar a las sociedades los cambios que crea procedentes”. CONSIDERANDO (2): Que la Ley de Instituciones de Seguros y Reaseguros en su Artículo 75 señala que las instituciones de seguros o reaseguros podrán libremente ceder riesgos a otras instituciones de seguros o de reaseguro establecidas en el país o a entidades reaseguradoras del exterior. Asimismo, la referida Ley, en su Artículo 77, párrafo primero, dispone que la Comisión organizará un registro de reaseguradores y corredores de reaseguro del exterior, que sirva de mecanismo informativo al mercado asegurador hondureño, a los tomadores o suscriptores de seguro y asegurados o beneficiarios y, en general, al público, conforme a la reglamentación que al efecto emita la Comisión. CONSIDERANDO (3): Que de conformidad a lo establecido en el Artículo 13, numerales 1, 2 y 9 de la Ley de la Comisión Comisión Nacional de Bancos y Seguros Tegucigalpa, M.D.C., Honduras -- 110 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Nacional de Bancos y Seguros (CNBS), corresponde a este Ente Supervisor, dictar las normas prudenciales que se requieran para la revisión, verificación, control, vigilancia y fiscalización de las instituciones supervisadas, para lo cual se basará en la legislación vigente y en los acuerdos y prácticas internacionales; así como, velar por el estricto cumplimiento de las normas a que están sometidas las reservas, inversiones y contratación de reaseguros por parte de las instituciones de seguros. CONSIDERANDO (4): Que mediante Resolución SS No.2006/16-12-2010, la Comisión Nacional de Bancos y Seguros (CNBS), aprobó el “Reglamento de Operación de Reaseguro y Registro de Reaseguradoras y Corredores de Reaseguro del Exterior”, cuyo objeto comprende establecer las normas aplicables a la supervisión de las operaciones de reaseguro y fronting realizadas por el sistema asegurador hondureño, así como todo lo relativo a la inscripción, renovación, suspensión y/o cancelación de instituciones reaseguradoras y corredores de reaseguros, nacionales y extranjeros, autorizadas por la Comisión Nacional de Bancos y Seguros para ser registradas en el registro que al efecto lleva la Comisión y a la vez establecer los requisitos, obligaciones y prohibiciones aplicables al ejercicio de la mediación en materia de reaseguros y fronting, a fin de garantizar la solidez de dichas operaciones. CONSIDERANDO (5): Que la Comisión Nacional de Bancos y Seguros (CNBS), considera procedente modificar el Reglamento referido en el Considerado (4) precedente, con la finalidad de adecuar y ajustar sus disposiciones a las condiciones actuales del mercado y del sistema asegurador en el país, así como, realizar la transición de un registro documental a uno electrónico, con relación a los procesos de inscripción, renovación, suspensión o cancelación de las instituciones reaseguradoras extranjeras y corredores de reaseguro nacionales y extranjeros del Registro que para tales efectos maneja el Ente Supervisor. CONSIDERANDO (6): Que en cumplimiento a lo dispuesto en el Artículo 39 de la Ley de la Comisión Nacional de Bancos y Seguros, el 20 de noviembre de 2020, este Ente Supervisor publicó en su página web, en la sección de “Proyectos de Normativa”, el “Proyecto de Reforma del Reglamento de Operación de Reaseguro y Registro de Reaseguradoras y Corredores de Reaseguro del Exterior”, con el propósito de recibir comentarios y observaciones del público en general, de las instituciones de seguros, las reaseguradoras y corredores de reaseguros, para lo cual se otorgó un plazo de quince (15) días hábiles, venciendo el 10 de diciembre de 2020. POR TANTO: Con fundamento en los Artículos, 245 numeral 31) de la Constitución de la República, 6, 13 numerales 1), 2) y 9) de la Ley de la Comisión Nacional de Bancos y Seguros; 1, 2, 3, 72,73, 74, 75, 76, 77, 78, 79, 80, 81 y 82 de la Ley de Instituciones de Seguros y Reaseguros; RESUELVE: 1. Reformar el “Reglamento de Operación de Reaseguro y Registro de Reaseguradoras y Corredores de -- 111 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Reaseguro del Exterior”, emitido por la Comisión Nacional de Bancos y Seguros mediante Resolución SS No.2006/16-12-2010 del 16 de diciembre de 2010, el cual íntegramente se leerá así: REGLAMENTO SOBRE OPERACIONES DE REASEGUROS, FRONTING Y DEL REGISTRO DE REASEGURADORAS Y CORREDORES DE REASEGURO DEL EXTERIOR CAPÍTULO I DE LAS DISPOSICIONES GENERALES ARTÍCULO 1.- OBJETO El presente Reglamento tiene por objeto establecer las disposiciones que deben observar las instituciones de seguros y reaseguros en sus operaciones de reaseguro y fronting, así como los lineamientos relacionados con los procesos de inscripción, renovación, suspensión y/o cancelación de las instituciones reaseguradoras y corredores de reaseguros, nacionales y extranjeros en el Registro que lleva la Comisión Nacional de Bancos y Seguros. Para efectos del presente Reglamento, cuando se refieran a las operaciones de reaseguro y fronting, se entenderán incluidas las actividades de reafianzamiento. ARTÍCULO 2.- ALCANCE Están sujetas al presente Reglamento las instituciones de seguros y reaseguros legalmente autorizadas y establecidas en el país, las sucursales u oficinas de representación de instituciones de seguros y reaseguros del exterior, legalmente autorizadas y establecidas para operar en el país, las instituciones de reaseguro, los corredores de reaseguro, nacionales y del exterior, y los suscriptores facultados (Coverholders) legalmente inscritos en el Registro que al efecto lleva la Comisión Nacional de Bancos y Seguros. ARTÍCULO 3.- DEFINICIONES Para efectos del presente Reglamento se entenderá por: 1. Actividades Significativas: Son aquellas actividades fundamentales en la operación de una institución de seguros o reaseguros, tales como las relacionadas con la gestión de las reservas técnicas, las inversiones, cobranza de primas y reaseguro; 2. Alta Gerencia: Grupo de personas responsables de la gestión diaria, sólida y prudente de la Institución Supervisada ante el Consejo de Administración, Junta Directiva, u órgano equivalente. Será responsabilidad de cada Institución identificar a ese grupo de personas; 3. Apetito de Riesgo: Nivel agregado y los tipos de riesgo que una Institución Supervisada está dispuesta a asumir dentro de su capacidad de riesgo para lograr sus objetivos estratégicos y plan de negocios. También puede entenderse, como la cantidad de riesgo que una Institución -- 112 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Supervisada decide tomar dentro de su capacidad de riesgo. 4. Binding Authority: Término en inglés que expresa la facultad de suscripción otorgada a un tercero, generalmente un corredor de reaseguro, por parte de una institución reaseguradora, para que en nombre de ésta acepte y/o suscriba cualquier tipo de negocio, con los límites establecidos en un acuerdo previo. La facultad de suscripción otorgada a un tercero, no implica el traslado de la responsabilidad de la institución de reaseguro sobre el riesgo asumido; 5. Borderó (Bordereau): Documento que confecciona la cedente para ser aceptado por la reaseguradora, en el que se describe el riesgo cedido y las circunstancias de cesión y aceptación; 6. Coaseguro: Operación mediante la cual, dos o más instituciones de seguros legalmente inscritas en el país, dan cobertura a un mismo riesgo, en donde existe una institución de seguros denominada responsable (póliza única) y un documento denominado “póliza”, el cual es firmado por todos los coaseguradores, fijándose en ella el porcentaje de participación de cada uno sobre el total del riesgo o de pólizas separadas si cada coasegurador emite su propia póliza, garantizando en ella su participación individual en el riesgo; 7. Comisión o CNBS: Comisión Nacional de Bancos y Seguros; 8. Compañía Fronting: Institución de seguros local que asume el riesgo mediante la emisión de la póliza y transfiere su cobertura íntegra a la compañía instructora; 9. Compañía Instructora: Institución de seguros nacional o reaseguradora extranjera que proporciona las instrucciones para la emisión de operaciones fronting, quien asumirá total o parcialmente el riesgo sobre los contratos suscritos; 10. Contrato de Reaseguro: Documento suscrito entre el asegurador y el reasegurador, que contiene los términos y condiciones bajo los cuales se aceptan los riesgos cedidos y la indemnización de siniestros conforme a los límites acordados entre las partes; 11. Contrato no Proporcional: Contrato de reaseguro, donde el reasegurador se compromete con la cedente a pagar los siniestros por encima de la prioridad, hasta el límite máximo de cobertura; 12. Contrato Proporcional: Contrato de reaseguro, con la característica primordial que el reasegurador participa tanto en las primas como en los siniestros, en la misma proporción en que participa sobre la suma asegurada; -- 113 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 13. Conversión: Transformación de tipo de sociedad, cuando se pase de ser una reaseguradora de daños a una que cubre riesgos de vida o viceversa o cuando originalmente operando en uno de los ramos mencionados se transforma a una que opere los dos ramos; 14. Coverholder: Empresa o sociedad autorizada por Lloyd’s of London u otras reaseguradoras para realizar operaciones de reaseguro bajo los acuerdos del contrato de suscripción (Binding Authority), denominado también suscriptor facultado o agencia de suscripción; 15. Escisión: Mecanismos a través del cual una institución reaseguradora, sin disolverse transfiere en bloque, una o varias partes de su patrimonio a una o más sociedades existentes, o se destina a la creación de una nueva; 16. Fusión: Mecanismo a través del cual una o más instituciones de reaseguro se disuelven sin liquidarse para integrar una nueva, o cuando una ya existente absorbe a otra u otras; 17. Ley: Ley de Instituciones de Seguros y Reaseguros; 18. Lloyd’s of London o Lloyd’s: Corporación inglesa de aseguradores individuales integrados en varios grupos independientes entre sí que se unen para formar sindicatos con el fin de suscribir o asegurar riesgos; 19. Nota de Cobertura: Documento en el que se establecen los términos y condiciones que regirán el reaseguro. Es también sinónimo de garantía provisional; 20. Oficina de Representación de Reaseguradores: Oficina con competencias limitadas que promueve negocios en nombre de un Reasegurador no domiciliado en Honduras; 21. Operaciones Fronting: Operación de aseguramiento o afianzamiento, instruida por una institución de seguros o reaseguradora extranjera a una institución de seguros nacional, para que esta emita un contrato de seguro o fianza sobre bienes localizados en el territorio hondureño o servicios prestados en el país y que sean contratados por personas naturales o jurídicas radicadas en el exterior; transfiriendo los riesgos totalmente a la compañía instructora, autorizada para ofrecer este tipo de contratos en su país de origen. Asimismo, las instituciones de seguros nacionales podrán instruir a instituciones de seguros extranjeras la realización de operaciones fronting sobre intereses nacionales localizados en el extranjero y que sean contratados por personas naturales o jurídicas domiciliadas en el país, siempre y cuando la legislación del país de destino permita dicha operación; 22. Órgano de Administración: Consejo de Administración o Junta Directiva, u Órgano que haga sus veces; -- 114 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 23. Pérdida Máxima Probable: Es el evento de más elevado importe que podría producirse una vez que se han ponderado tanto las características del riesgo como de todos aquellos factores que podrían influir en el mismo, de acuerdo al “Reglamento sobre Constitución de Reservas Técnicas”. La pérdida máxima probable representa un mínimo del 8% del monto total expuesto retenido en la zona de mayor exposición; 24. Portal de Registros Públicos (PDRP) o Portal: Plataforma digital que habilitará la CNBS, a través de su página de Internet, para realizar los procesos de inscripción, suspensión y cancelación del Registro de Instituciones Reaseguradoras y Corredores de Reaseguros, Nacionales y Extranjeros; 25. Prioridad o Deducible: Término utilizado en los contratos de reaseguro no proporcionales, que corresponde al importe o valor que en cada evento retiene por cuenta propia la institución de seguros; 26. Reasegurador: Institución nacional o extranjera que acepta riesgos cedidos por una institución de seguros o de reaseguros; 27. Reaseguro: Actividad mediante la cual, la institución de seguros se compromete a ceder y la reaseguradora se compromete a aceptar determinados riesgos con la finalidad de incrementar su capacidad de suscripción; siempre que se cumplan las condiciones preestablecidas en un contrato suscrito entre ambas partes denominado contrato de reaseguro; 28. Reaseguro Cedido: Se refiere a la parte de uno o más riesgos que la institución cedente (asegurador directo) transfiere al reasegurador; 29. Reaseguro Facultativo: Operación mediante la cual, la institución cedente no se compromete a ceder, ni la institución reaseguradora se compromete a aceptar determinada clase de riesgos, a menos que éstos sean comunicados individualmente, estableciéndose para cada caso concreto los términos y condiciones que han de regular la cesión y la aceptación; 30. Reaseguro Financiero: Operación de reaseguro, en virtud de la cual una institución de seguros realiza una transferencia acotada del riesgo de seguro, pactando como parte de la operación la posibilidad de recibir financiamiento de la reaseguradora; 31. Reaseguro Paramétrico: también conocido como seguro de índices, es el tipo de reaseguro que cubre la probabilidad de ocurrencia de un evento predefinido, es decir, que activa la indemnización en cuanto se cumple alguno de los parámetros (también conocidos como “triggers”, “disparadores” o “gatillos”) determinados desde un inicio en el contrato; -- 115 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 32. Reaseguro Tomado: Operación en la cual una institución de seguros actúa como reaseguradora, tomando los riesgos de otra institución de seguros, de acuerdo a la clasificación del grupo al que pertenezca conforme a lo establecido en la Ley, debiendo estar legalmente autorizada para operar en el país; siempre que esta actividad no constituya su principal fuente de ingresos y cuenten con los procedimientos necesarios para el control de estas operaciones; 33. Registro: Registro de Instituciones Reaseguradoras y Corredores de Reaseguros, Nacionales y Extranjeros; 34. Retención y/o Prioridad: Parte del riesgo por la que responde directamente la institución cedente, en caso de siniestro; 35. Retrocesión: Reaseguro que hace el reasegurador de una parte del riesgo que él previamente ha asumido, es decir, es la operación por la que el reasegurador cede su excedente a otra aseguradora o reasegurador; 36. Riesgo Inherente: Es la probabilidad de pérdidas materiales derivadas de la exposición e incertidumbre de eventos actuales y potenciales futuros, asociados a la propia actividad de la institución de seguros o reaseguros, sin considerar controles o factores mitigantes; 37. Riesgo: Posibilidad de generar una pérdida económica para la institución de seguros o reaseguradora por la ocurrencia de un evento adverso que afecta negativamente el logro de los objetivos de la institución; 38. Tolerancia al Riesgo: Variación que la institución de seguros o reaseguros está dispuesta a asumir en caso de desviación del nivel de apetito al riesgo que se ha definido como aceptable para alcanzar los objetivos institucionales; y, 39. Zona Cresta: Es la clasificación de zonas geográficas que se basa en la actividad de riesgos naturales que considera la distribución de valores asegurados dentro de una región o país para la evaluación de riesgos. Estas zonas son la base para el análisis de negociación y de la cartera de reaseguros, utilizándose además para la aplicación de tasas. CAPÍTULO II DE LOS CONTRATOS Y OPERACIONES DE REASEGURO ARTÍCULO 4.- UTILIZACIÓN DE RE- ASEGURADORAS Y CORREDORES DE REASEGURO Las instituciones de seguros y las sucursales de instituciones extranjeras, debidamente autorizadas para operar en el país, están obligadas a utilizar los servicios de reaseguradoras, corredores de reaseguro, sucursales u oficinas de representación de reaseguradores del exterior y coverholders, que estén inscritos en el Registro que al efecto lleva la Comisión. -- 116 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Asimismo, serán responsables de elegir con la debida diligencia, las reaseguradoras, sucursales u oficinas de representación de reaseguradores del exterior y corredores de reaseguro nacionales o extranjeros, verificando su capacidad técnica, financiera y calidad de los servicios otorgados. Asimismo, analizarán la experiencia, credibilidad y prestigio de la entidad, con relación a las diferentes operaciones de reaseguro que deseen contratar con las instituciones de reaseguros, de modo que respalde sus operaciones en todo momento. No obstante a lo anterior, se podrán emplear otros reaseguradores y corredores de reaseguro del exterior no inscritos en el Registro, a condición de su inscripción posterior dentro de los dos (2) meses siguientes contados a partir de la suscripción del contrato respectivo, siempre que éstos cumplan con los requisitos para su inscripción en dicho Registro. Caso contrario, a partir del vencimiento de dicho plazo se debe provisionar una reserva del cien (100%) por todos aquellos saldos a cargo de los reaseguradores y corredores de reaseguro del exterior, hasta su inscripción o sustitución. ARTÍCULO 5.- EVALUACIÓN DE LA DEBIDA DILIGENCIA Para efecto de lo dispuesto en el Artículo 4 del presente Reglamento, respecto a la evaluación de la debida diligencia, las instituciones de seguros deben mantener sistemas de evaluación de los diferentes riesgos asociados a sus reaseguradoras, sucursales u oficinas de representación de reaseguradores del exterior actuales o futuros, según sea el caso, la naturaleza y extensión de esta evaluación puede variar dependiendo de la exposición a los riesgos cedidos. Dicha evaluación puede apoyarse en terceros, tales como corredores de reaseguros, agencias clasificadoras de riesgo y prensa especializada, pero no debe descansar únicamente en éstos; la información que estas entidades proporcionan no reemplaza el análisis que la institución de seguros debe efectuar por sí misma, evitando una dependencia respecto a la información que estas entidades proporcionan, debiendo en una medida proporcional a la importancia de cada contraparte, realizar su propia evaluación. La Junta Directiva o Consejo de Administración de la institución de seguros será responsable de mantener un adecuado sistema de evaluación de la calidad de sus reaseguradoras, sucursales u oficinas de representación de reaseguradores del exterior, sean estos relacionados o no con la institución. Asimismo, deben velar porque se evalúe la habilidad de las actuales y futuras contrapartes de reaseguros para cumplir con sus pasivos bajo escenarios de eventos adversos excepcionales pero plausibles. El nivel de la evaluación de cualquier contraparte de reaseguro debe estar relacionada al nivel de exposición que la institución tenga con cada contraparte. Para evaluar, a sus reaseguradoras, sucursales u oficinas de representación de reaseguradores del -- 117 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 exterior, las instituciones de seguros deben considerar lo siguiente: 1. Estructura legal y regulatoria, considerando entre otros aspectos, existencia legal, principales aspectos de regulación y supervisión en su país de origen, régimen de resolución de controversias en los contratos suscritos; 2. Estructura de propiedad, apertura a bolsas de valores (sociedades abiertas o cerradas), pertenencia a grupos o conglomerados financieros; 3. Información financiera proveniente de diferentes fuentes, referente a aspectos como: primaje bruto y neto, siniestralidad, resultados, reservas técnicas y solvencia e inversiones; 4. El registro de pago de siniestros; 5. Obligaciones por siniestros futuros esperados; 6. Fuentes de fondeo, incluyendo el nivel y acceso a capitales, forma y montos de liquidez; 7. Los arreglos de retrocesión e impacto directo e indirecto que pueden éstos tener sobre los propios arreglos de la institución; y, 8. Otros aspectos que la institución de seguros considere relevantes de acuerdo a su perfil de riesgo, tamaño y complejidad. ARTÍCULO 6.- CONTRATACIÓN DE REASEGURO Las instituciones de seguros podrán contratar su reaseguro de acuerdo a los esquemas existentes en el mercado de reaseguro, enmarcados en la siguiente c
Ver como documento individual

Resolución

Resolución — Reglamento sobre Operaciones de Reaseguro de Instituciones de Seguros

lasificación: a) Reaseguro Proporcional; b) Reaseguro No Proporcional (considerando los diferentes tipos de contratos que presenta el mercado reasegurador internacional, incluyendo el Reaseguro Paramétrico); c) Reaseguro Facultativo; d) Reaseguro Fronting; y, e) Reaseguro Financiero, bajo los criterios establecidos en los Artículos 9, 10, 11 y 12 del presente Reglamento. Asimismo, deberán remitir a la Comisión dentro de los quince (15) días hábiles posteriores al cierre de cada semestre, a través de los canales electrónicos que se habiliten para estos efectos, un resumen de los contratos de reaseguros suscritos, de conformidad a lo dispuesto en el Anexo No.1 del presente Reglamento; en caso de no recibir notificación, la Comisión entenderá que no se realizaron cambios; no obstante, Auditoría Interna debe comunicar a la Comisión cualquier cambio que la Institución no hubiese notificado a ésta, en un plazo máximo de quince (15) días hábiles una vez identificados, procediendo con el proceso sancionatorio correspondiente. Las instituciones de seguros nacionales, así como las sucursales de instituciones extranjeras que operen legalmente en el país, podrán contratar operaciones de reaseguro con las siguientes instituciones: a) Instituciones de seguros nacionales y sucursales de instituciones extranjeras legalmente -- 118 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 establecidas para operar en el país de acuerdo a la clasificación del grupo al que pertenecen, conforme con lo establecido en el Artículo 8 de la Ley; en ningún caso, la institución de seguros podrá realizar operaciones de “reaseguro tomado” con compañías aseguradoras o reaseguradoras extranjeras, con domicilio en el extranjero; b) Instituciones nacionales o extranjeras domiciliadas en el país que realicen operaciones de reaseguro y que, de conformidad con lo dispuesto en la Ley, quedan sujetas a la forma de organización y autorización, la constitución de reservas e inversiones y demás disposiciones relativas a las instituciones que operan el seguro directo señaladas en la Ley; y, c) Instituciones extranjeras de reaseguro domiciliadas en el exterior, que cuenten con una calificación de riesgo internacional igual o superior a BBB- o su equivalente, de acuerdo a lo establecido en el Artículo 35 del presente Reglamento, las cuales se podrán hacer a través de contratación directa o mediante corredores de reaseguro, sucursales u oficinas de representación de reaseguradores del exterior y coverholders. Esta calificación debe realizarse por una Agencia Calificadora Internacional de Riesgos y estar disponible para la Comisión en el momento que esta la requiera. ARTÍCULO 7.- CONDICIONES DE LOS CONTRATOS Los contratos de reaseguro deberán adoptar las cláusulas, pactos, condiciones y formas generalmente utilizadas y aceptadas en la práctica nacional e internacional; éstos deberán suscribirse con instituciones de reaseguro, corredores de reaseguro, sucursales u oficinas de representación de reaseguradores del exterior y coverholders debidamente inscritos en el registro que lleva la Comisión, siempre y cuando exista riesgo de seguro de por medio. Estos contratos, así como las notas de cobertura, deben estar traducidos al español, idioma oficial de la República de Honduras. Todos los contratos de reaseguro automáticos deben estar suscritos, después de aceptadas las condiciones del mismo, legalizados con la firma de la Alta Gerencia de la institución de seguros o por aquella persona en quien el Órgano de Administración haya delegado tal autorización y el funcionario responsable de la institución reaseguradora. Dicha suscripción tendrá una gradualidad de acuerdo con la siguiente tabla: En aquellos casos que los contratos han sido negociados por corredores de reaseguro, sucursales u oficinas de representación del exterior y coverholders, deberán incluir el sello y la firma de las reaseguradoras; esta última podrá ser manuscrita o electrónica, sujetándose a lo dispuesto en el Artículo 31 del presente Reglamento. Año Periodicidad 2022 Suscrito a más tardar dentro de los seis (6) meses 2023 Suscrito a más tardar dentro de los cinco (5) meses 2024 Suscrito a más tardar dentro de los cuatro (4) meses -- 119 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Los contratos originales de reaseguro, además de las firmas suscriptoras deberán contener el domicilio social del responsable ante la institución de seguros, debiendo verificarse a su vez, que la denominación social de la reaseguradora sea igual a la que aparece en el Registro que lleva la Comisión, de tal forma, que este Ente Supervisor, tenga plena certeza del nombre y domicilio del reasegurador con el cual fue colocado el riesgo por parte de la institución de seguros. Las instituciones de seguros deberán remitir a la Comisión, antes del 31 de enero de cada año, un resumen de los contratos de reaseguro automáticos vigentes, que hayan sido suscritos dentro del período anterior al que se está reportando. Asimismo, deberán informar las prórrogas pactadas, renovaciones, modificaciones y adendas convenidas dentro del mismo período. La remisión de estos contratos se realizará a través de los medios electrónicos que habilite la Comisión para tales efectos, cuando ésta así lo requiera. Cuando derivado de modificaciones o adendas a los contratos de reaseguro se afecte la devolución de reservas matemáticas, la institución de seguros debe notificar a la Comisión el estudio técnico-actuarial y el detalle de su cálculo debidamente validado por un actuario registrado ante la Comisión. En caso de incumplimiento a esta disposición, la Comisión procederá a aplicar la sanción que corresponda de conformidad al marco legal y normativo vigente. Para la fecha de inicio de la vigencia de sus contratos de reaseguro automático, las instituciones de seguros deben contar con las confirmaciones de aceptación de todos los reaseguradores participantes en las colocaciones directas. En caso de colocaciones realizadas mediante la intermediación de corredores de reaseguros, éstas deben contar con la confirmación de aceptación del corredor de reaseguro con respecto del cien por ciento (100%) del reaseguro. Las notas de cobertura suscritas por los corredores de reaseguros pueden temporalmente ser consideradas sustento de contratos de reaseguros, si éstas contienen las cláusulas más importantes del contrato, incluyendo cláusulas de insolvencia y de resolución de conflictos, y están suscritas, por lo menos, por el reasegurador líder. Respecto a los demás reaseguradores participantes, las Instituciones de Seguros deben contar con el documento que acredite la confirmación de su aceptación en cada caso, efectuada a través de algún medio sujeto de ser impreso. La nota de cobertura no sustituye la obligatoriedad de contar con los contratos suscritos. ARTÍCULO 8.- MERCADO DE LLOYD´S OF LONDON Las instituciones de seguros podrán ceder sus riesgos mediante operaciones de reaseguro con el mercado de Lloyd`s of London, utilizando para tales efectos los servicios de corredores de reaseguro que se encuentren inscritos en el Registro que lleva la Comisión. Los sindicatos de aseguradores de Lloyd’s of London no requerirán inscripción individual en el Registro -- 120 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 que lleva la Comisión, siempre y cuando estén en el listado que pública Lloyd´s. Cuando el reaseguro se efectúe a través de una agencia de suscripción (Coverholder), autorizada por Lloyd´s of London, se considerará que la reaseguradora será el sindicato que patrocine dicha agencia, según se estipula en el contrato suscrito (Binding Authority) con Lloyd´s of London. En todo caso, será la agencia de suscripción la que deberá estar inscrita en el Registro que lleva la Comisión, según lo dispuesto en el presente Reglamento. ARTÍCULO 9.- CONTRATOS DE REASEGURO SOBRE RIESGOS CATASTRÓFICOS Los contratos de reaseguros no proporcionales sobre riesgos catastróficos que suscriban las instituciones de seguros, deberán incluir al menos una reinstalación al cien por ciento (100%) del límite del contrato, con un intérvalo de setenta y dos (72) horas, de un evento a otro en caso de terremotos, huracanes, lluvias y vientos tempestuosos, inundaciones y erupciones volcánicas, tifón, tormenta de granizo y/o tornado, maremoto, tsunami o marejada, motín, disturbios, conmoción civil y daño malicioso, y cualquier otro evento de pérdida. Las instituciones de seguros deben elaborar el cálculo de la reserva catastrófica, incluyendo el detalle de las pólizas que forman el cúmulo por zona cresta. ARTÍCULO 10.- REASEGURO FACULTATIVO Las instituciones de seguros cuando realicen operaciones por medio del reaseguro facultativo, deben contar con el respaldo de las instituciones reaseguradoras, antes de emitir la póliza o fianza, debiendo suscribir una nota de cobertura (slip de reaseguro) y/o un contrato si el riesgo es colocado directamente con la institución reaseguradora a través de un corredor de reaseguro, con sus respectivas firmas y sellos, de forma manuscrita o electrónica, incluyendo el correspondiente a las reaseguradoras. En el caso de la firma electrónica, debe observarse lo dispuesto en el Artículo 31 del presente Reglamento. Estos contratos o notas de cobertura, así como el resto de la documentación que respalde la formalización de cada una de estas operaciones, debe mantenerse en archivos físicos y/o electrónicos por parte de la institución de seguros, los cuales deben estar disponibles para la Comisión en el momento que ésta los requiera. Asimismo, la institución de seguros deberá remitir a la Comisión, a más tardar quince (15) hábiles posteriores al cierre de cada semestre, un resumen de todos los negocios facultativos colocados por ésta, así como los totales de primas cedidas por operación y por ramo, de conformidad al Anexo No. 2 del presente Reglamento. ARTÍCULO 11.- TÉRMINOS Y CONDICIONES DE CONTRATO O NOTA DE COBERTURA DEL REASEGURO FACULTATIVO El contrato o la nota de cobertura del reaseguro facultativo suscrito por la institución de seguros debe ser traducido al idioma español, debiendo contener los siguientes términos y condiciones: a) Naturaleza de los riesgos objeto del contrato, -- 121 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 indicando que se trata de una operación facultativa; b) Nombre completo de la institución de seguros e instituciones reaseguradoras; c) Clasificación de riesgo de las reaseguradoras y nombre de la agencia clasificadora; d) Ramo del riesgo; e) Detalle de Riesgos cubiertos; f) Período de vigencia de la póliza; g) Suma asegurada y prima neta total del riesgo; h) Suma asegurada por la responsabilidad de las instituciones reaseguradoras; i) Tipo de moneda en que se realiza la operación facultativa; j) Valor de la prima cedida y el porcentaje de comisión a percibir por la institución de seguros (en caso que aplique); k) Detalle de las instituciones reaseguradoras que respaldan el riesgo facultativo, indicando su país de origen y domicilio; l) Cláusula de exclusiones; m) Cláusula de coaseguro (en caso que aplique); n) Deducibles; o) Sub-límites (en caso que aplique); p) Sede para dirimir conflictos derivados del contrato; q) Fecha y firma del contrato; r) Subjetividades (en caso que aplique); y, s) Cualquier otra cláusula de términos y condiciones importantes que la institución de seguros considere suscribir. Los contratos de reaseguro facultativos o las notas de cobertura deben estar suscritos a más tardar dentro de los cuarenta y cinco (45) días calendario después de aceptadas las condiciones del mismo, legalizados con la firma de la Alta Gerencia de la institución de seguros o por aquella persona en quien el Órgano de Administración haya delegado tal autorización y el funcionario responsable de la institución reaseguradora. En aquellos casos que los contratos hayan sido negociados por corredores de reaseguro, sucursales u oficinas de representación del exterior y coverholders, deben incluir la firma de éstos y el sello y la firma de las reaseguradoras. La firma podrá ser manuscrita o electrónica y en este último caso, la misma debe sujetarse a lo dispuesto en el Artículo 31 del presente Reglamento. La nota de cobertura hará constar la aceptación adecuada del riesgo por parte de las reaseguradoras de forma directa, así como el pago o liquidación de saldos que realice la institución de seguros. De igual manera, los contratos de reaseguros que hubiesen sido colocados a través de corredores de reaseguros, formalizarán la aceptación adecuada del riesgo, así como el soporte de los pagos de primas o liquidación de saldos que realicen los intermediarios de reaseguros, de conformidad con los plazos establecidos en los contratos de reaseguros. ARTÍCULO 12.- REASEGURO FINANCIERO Las instituciones de seguros, previa autorización de -- 122 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 la Comisión, podrán suscribir contratos de reaseguro financiero, con un financiamiento que no exceda del 20% de la totalidad de las primas cedidas. No podrán celebrar contratos de reaseguro financiero, las instituciones de seguros que presenten insuficiencia de inversiones igual o mayor al diez por ciento (10%) respecto a los recursos de inversión, en cualquiera de los últimos treinta y seis (36) meses. ARTÍCULO 13.- LIMITACIONES En los contratos de reaseguro, que intervengan corredores de reaseguro, sucursales u oficinas de representación de reaseguradores del exterior y coverholders no podrá incluirse ninguna cláusula que limite o restrinja la relación directa entre las instituciones de seguros y las reaseguradoras. Lo estipulado en el presente Artículo tendrá efecto para todos los contratos de reaseguro (Automáticos, Facultativos, Fronting, Paramétricos y Financieros). ARTÍCULO 14.- CONTROVERSIAS E INSOLVENCIA Las controversias o conflictos que se susciten con motivo de los contratos de reaseguro, serán resueltos de conformidad a lo contemplado en los mismos contratos, atendiendo las normas establecidas en los tratados o convenios internacionales y en lo aplicable a las leyes nacionales. Los contratos de reaseguro deberán incluir una cláusula adecuada de insolvencia que estipule que los montos adeudados serán pagados al liquidador o a su sucesor sin disminución por la condición de insolvencia de la cedente. ARTÍCULO 15.- EXPEDIENTES DE OPERA- CIONES DE REASEGURO La institución de seguros deberá mantener por cada una de las operaciones de reaseguro facultativo y/o fronting, un expediente físico o electrónico con toda la documentación que formalice cada una de dichas operaciones y que acredite su correcta y oportuna colocación. La información contenida en estos expedientes deberá estar disponible para la Comisión en el momento que esta lo requiera. Lo anterior, sin perjuicio de la facultad que tiene la Comisión, de requerir cualquier tipo de información a la institución de seguros de cada una de las modalidades de reaseguro adicionales a las señaladas en el presente Artículo. CAPÍTULO III PROGRAMA DE REASEGURO ARTÍCULO 16.- PROGRAMA DE RE- ASEGURO De conformidad con lo dispuesto en la Ley, las instituciones de seguros deben elaborar un programa de reaseguro, por las responsabilidades que asuman al realizar operaciones de seguros, la cual debe ser aprobada por su Órgano de Administración y remitida a la Comisión a más tardar el primer mes del -- 123 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 ejercicio contable correspondiente, acompañándola de la Certificación del Punto de Acta de la sesión en donde fue aprobada, con excepción de lo establecido en la Ley. Si el programa de reaseguro es modificado durante el período de vigencia de los contratos, los cambios realizados deberán notificarse a la Comisión dentro de los diez (10) días hábiles siguientes, contados a partir de la fecha en que se lleva a cabo la reunión del Órgano de Administración, en donde se aprueben esas modificaciones, debiendo acompañar la precitada notificación con la Certificación del Punto de Acta correspondiente, en donde conste la aprobación de las modificaciones objeto de notificación. Este programa estará sujeto a evaluación por parte de la Comisión, a través de la Superintendencia, en los procesos de supervisión o en cualquier momento que se considere necesario. La Comisión a través de la Superintendencia verificará que las operaciones fronting estén contempladas dentro del programa de reaseguro aprobado por la institución de seguros. ARTÍCULO 17.- CONCENTRACIÓN DEL RIESGO CEDIDO Las instituciones de seguros deben diversificar sus riesgos evitando la formación de cúmulos, concentraciones de riesgos o conflictos, con el fin de minimizar la exposición que podría causar pérdidas en detrimento de la solvencia financiera o capacidad de mantener sus operaciones. En todo caso, la pérdida máxima probable deberá estar cubierta con los contratos de reaseguro. Asimismo, deberán remitir a la Comisión, a más tardar quince (15) días hábiles posteriores al cierre de cada semestre, un resumen del control de cúmulos, de conformidad a los Anexos Nos. 3 y 4 del presente Reglamento. En caso que la Comisión determine que existe concentración de riesgo, podrá requerir a la institución de seguros la constitución de capital adicional, de acuerdo con la normativa emitida para tales efectos. ARTÍCULO 18.- CAPACIDAD ECONÓMICA Las instituciones de seguros o reaseguros legalmente constituidas o domiciliadas en el país, en la elaboración de su programa de reaseguro y con el fin de guardar estrecha relación con su capacidad económica para un adecuado equilibrio técnico y financiero, deben considerar y contemplar criterios que sirvan de base para fijar los límites de retención en cada ramo, considerando entre ellos, los siguientes: a) Patrimonio Neto; b) Factores estadísticos de primas, siniestros y sumas aseguradas, retenidas y cedidas; c) Límites máximos y mínimos de retención; d) Criterios de selección de la reaseguradora; e) Naturaleza y nivel de protección deseado; f) Estadísticas de cúmulos de riesgos catastróficos con sus zonas de mayor exposición; y, g) Otros factores que sean determinantes para la adecuada gestión de riesgos. ARTÍCULO 19.- RETENCIÓN Y/O PRIORIDAD Las instituciones de seguros deben establecer -- 124 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 anualmente límites máximos y mínimos de retención por cada operación o ramo que tengan autorizados, los cuales deben ser aprobados por su Órgano de Administración, teniendo como base criterios técnicos de valoración de riesgos, entre ellos: a) el volumen y composición de la cartera de negocios, ramo o tipo de seguro que corresponda; b) la calidad y el monto de sus recursos; c) el monto de las sumas aseguradas en riesgo; d) las características de los riesgos que asuma; e) la experiencia obtenida respecto al comportamiento de la siniestralidad; y, f) las políticas de reaseguro. Los límites máximos y mínimos de retención y/o prioridad podrán ser ajustados por la institución de seguros durante el transcurso del año, siempre y cuando existan cambios significativos en su cartera de riesgos, los cuales deberán ser autorizados previamente por su Órgano de Administración. Las modificaciones a estos límites deben ser incorporadas el Programa de Reaseguro y notificados a la Comisión, dentro del plazo establecido en el Artículo 16 del presente Reglamento. La metodología utilizada para el establecimiento de los límites de retención debe brindar a la institución de seguros un alto grado de confiabilidad de tal forma que, frente a escenarios adversos probables de ocurrencia de siniestros, el límite de retención y/o prioridad adoptado, no ponga en riesgo su solvencia. Para estos efectos se entenderá por escenarios adversos probables, aquellos en los que se considere la ocurrencia simultánea de siniestros de las pólizas con las mayores sumas aseguradas contenidas en el portafolio de pólizas en vigor de la institución. La fijación del pleno de retención y/o prioridad debe realizarse con la información de pólizas en vigor de la institución, pudiendo incorporar al cálculo las estimaciones de su cartera de pólizas que correspondan a los planes de negocio del año de que se trate o negocios en donde la institución conozca su futura realización. CAPÍTULO IV DE LAS OPERACIONES FRONTING ARTÍCULO 20.- OPERACIONES FRONTING En las operaciones fronting, la Institución de Seguros autorizada y domiciliada en Honduras, denominada compañía fronting, emitirá la póliza o fianza a cambio de una comisión. Los reaseguradores participantes en las operaciones fronting deberán estar inscritos en el Registro que al efecto lleva la Comisión. Las compañías fronting serán responsables totalmente ante los asegurados por los riesgos ocurridos de acuerdo a las condiciones pactadas. ARTÍCULO 21.- ACREDITACIÓN DE LAS COMPAÑÍAS INSTRUCTORAS Previo a la realización de la negociación, la compañía instructora debe acreditar la siguiente documentación ante la compañía fronting: -- 125 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 a) Certificación o documentación de la autoridad supervisora o reguladora del país de origen, que haga constar que se encuentra legalmente constituida en el país; b) Detalle de los ramos que puede asegurar y que no existen inconvenientes legales para el pago de indemnizaciones en moneda de libre convertibilidad; c) Estados financieros auditados de sus últimos tres (3) ejercicios económicos o en su defecto la proyección de éstos cuando se trate de una nueva compañía, evidenciando que su patrimonio respalda los riesgos asumidos; y, d) Otros aspectos técnicos, financieros o económicos que demuestren la solvencia financiera. ARTÍCULO 22.- CONDICIONES DEL CON- TRATO Antes de emitir la póliza o fianza, la compañía fronting debe suscribir un contrato con la compañía instructora, el cual debe redactarse en idioma español, cuando este sea el idioma oficial de la compañía instructora o traducirse cuando el idioma del país de origen de esta, sea distinto al español, y contener como mínimo los términos y condiciones siguientes: 1. Naturaleza de los riesgos objeto del contrato; 2. Naturaleza del contrato, indicando expresamente que se trata de una operación fronting; 3. Nombre de la compañía instructora y compañía fronting; 4. Número de la póliza fronting; 5. Nombre del asegurado y/o afianzado (persona natural o jurídica), en aquellos casos que las instituciones de seguros suscriban contratos por pólizas; 6. Residencia y nacionalidad de la persona natural o jurídica asegurada y/o afianzada, en aquellos casos que las instituciones de seguros suscriban contratos por pólizas; 7. Período de vigencia del contrato; 8. Lugar y fecha de la firma del contrato; 9. Suma asegurada de responsabilidad de la compañía instructora; 10. Tipo de moneda en que se realiza la operación; 11. Valor de la prima del contrato póliza y/o fianza y el porcentaje de comisión a percibir por la compañía fronting; 12. Detalle de las instituciones reaseguradoras utilizadas por la compañía instructora y su respectivo porcentaje de participación, incluyendo el nombre, país y domicilio; 13. Cláusula donde se garantice que la compañía fronting queda libre de indemnizar cualquier contingencia que se origine de la póliza y/o fianza, objeto del contrato ante la compañía instructora; 14. Forma de cancelación o pago de los siniestros, en caso de ocurrir éstos, lo que deberá estar en concordancia con la Ley; 15. Cláusula de garantía de pago por parte de la compañía instructora; 16. Sede para dirimir conflictos derivados del contrato; 17. Firma y sello del consentimiento de los contratantes del fronting; y, -- 126 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 El contrato de reaseguro fronting (slips) hará constar la aceptación adecuada del riesgo por parte de las compañías instructoras o reaseguradoras de forma directa, así como el pago o liquidación de saldos que realice la institución de seguros. Cuando estos contratos sean colocados a través de corredores de reaseguro, se formalizarán la aceptación adecuada del riesgo y el soporte de los pagos de primas o liquidación de saldos que realicen estas compañías, de conformidad con los plazos establecidos en los contratos de reaseguro. Los contratos de reaseguro fronting (slips) deben estar suscritos a más tardar dentro de los cuarenta y cinco (45) días calendario después de aceptadas las condiciones del mismo, legalizados con la firma de la Alta Gerencia de la institución de seguros o por aquella persona en quien el Órgano de Administración haya delegado tal autorización y el funcionario responsable de la institución reaseguradora. En aquellos casos que los contratos hayan sido negociados por corredores de reaseguro, sucursales u oficinas de representación del exterior y coverholders, deberán incluir la firma y el sello de las reaseguradoras. La firma podrá ser manuscrita o electrónica. En caso de firma electrónica, esta debe sujetarse a lo dispuesto en el Artículo 31 del presente Reglamento. ARTÍCULO 23.- CONTRATO FRONTING La institución de seguros que realice más de una operación fronting con una misma compañía instructora durante el ejercicio económico, podrá elaborar un solo contrato; sin embargo, por cada una de las operaciones fronting que realice en el transcurso de dicho ejercicio, deberá elaborar y/o preparar un borderó que contenga la información detallada en el Artículo anterior por cada operación, con excepción de los numerales 2, 3, 6, 7, 12, 13, 14, 15 y 16. ARTÍCULO 24.- INFORMACIÓN DEL EXPE- DIENTE La compañía fronting deberá mantener por cada una de las operaciones a que se refiere el Artículo anterior, un expediente físico o electrónico que contenga como mínimo lo siguiente: a) Copia de la documentación de la instrucción, refiriendo las condiciones negociadas de acuerdo al riesgo asumido; b) Copia de la póliza y/o fianza; c) Copia del borderó al que se refiere el Artículo 23 del presente Reglamento; y, d) Documentación soporte entre la compañía fronting y la instructora. Asimismo, la institución de seguros a requerimiento de la Comisión debe proporcionar un resumen de todos los negocios fronting colocados por ésta, así como los negocios realizados como compañía instructora con el detalle de las sumas aseguradas y primas cedidas por operación y por ramo. Dicha información deberá ser presentada ante la Comisión, por los medios electrónicos que ésta habilite para estos efectos, a más tardar quince (15) hábiles posteriores al cierre de cada semestre, de conformidad al Anexo No.5 -- 127 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 del presente Reglamento. Lo anterior, sin perjuicio de entregar copia en magnético a la Comisión al momento de la supervisión in-situ o cuando ésta lo requiera, de los contratos de estas operaciones. ARTÍCULO 25.- OPERACIONES NO CONSI- DERADAS FRONTING No formarán parte de las operaciones descritas en este capítulo, aquellos aseguramientos que se deriven de transacciones realizadas a través de las instituciones financieras supervisadas por esta Comisión, entre otras, pero no limitadas a estas, las relacionadas con la cartera crediticia y productos comercializados por medio del sistema banca-seguros. CAPÍTULO V DEL CONTROL INTERNO DE LAS OPERACIONES DE REASEGURO ARTÍCULO 26.- CONTROL INTERNO La institución de seguros debe elaborar y conciliar los estados de cuenta de los contratos proporcionales y no proporcionales en una cuenta corriente, que contenga el registro de antigüedad de saldos por el reaseguro cedido, elaborada por lo menos trimestralmente, la que servirá de base para determinar el deterioro de tales cuentas, ésta deberá contener la siguiente información: a) Saldos por siniestros, primas, comisiones, intereses, remesas y otros. b) Nombre de la institución reaseguradora; c) Ramo y tipo de contrato de reaseguro; d) Fecha inicial de la operación; e) Fecha de vencimiento; f) Antigüedad de saldos; g) Monto cedido; h) Concepto del saldo; y, i) Otras condiciones relevantes, para efectos de las labores de control interno que las instituciones de seguros consideren pertinentes en función de su tamaño, perfil y apetito de riesgo. Este registro deberá coincidir con los saldos de contabilidad, debiendo estar suscrito por la persona que lo elaboró y autorizado por el Gerente o Encargado de Reaseguro de la institución de seguros. ARTÍCULO 27.- CONCILIACIONES Y ESTA- DOS DE CUENTA La institución de seguros, como mínimo debe conciliar y emitir los estados de cuenta a más tardar un mes después del cierre de cada trimestre, los que en ningún caso deben ser elaborados por reaseguradores, por corredores de reaseguro, sucursales u oficinas de representación de reaseguradores del exterior y coverholders. La referida conciliación y emisión de los estados de cuenta, deberá realizarse bajo el esquema que a continuación se describe: A. Conciliaciones de saldos y/o balance de reaseguro: Estas conciliaciones deben de elaborarse para todas las cuentas de reaseguro del activo y pasivo, como ser: cuenta corriente, cuenta de reserva de primas y siniestros pendientes a cargo de reaseguradoras, debiendo contener como mínimo los siguientes datos: -- 128 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 a) Nombre de la institución reaseguradora; b) Tipo de contrato de reaseguro y ramo de seguros; c) Fecha de cierre del trimestre informado; d) Vigencia del contrato de reaseguro; e) Moneda de suscripción del riesgo; f) Saldo anterior, movimientos del trimestre y saldo final; y, g) Firma de autorizado. B. Estados de cuenta: Los estados de cuenta deben estar conciliados con el balance de reaseguro y con la cuenta mayor contable, debiendo contener como mínimo los siguientes datos: a) Nombre de la institución reaseguradora; b) Tipo de contrato de reaseguro y ramo de seguros; c) Primas cedidas; d) Comisiones; e) Reservas retenidas de primas; f) Siniestros a cargo de la institución reaseguradora; g) Pagos recibidos y/o efectuados; h) Entradas y salidas de cartera; i) Saldo inicial, movimientos del trimestre y saldo final; y, j) Firma de autorizado. Los saldos de estados de cuenta de los contratos automáticos acreedores de las reaseguradoras, debe conciliarse con los saldos deudores, en ningún caso debe pagarse primero los saldos acreedores de las reaseguradoras, y posteriormente solicitar que las reaseguradoras paguen sus saldos deudores. Las instituciones de seguros deberán remitir a la Comisión la información relacionada a los contratos proporcionales y no proporcionales asociadas a sus operaciones de reaseguro a más tardar quince (15) hábiles posteriores al cierre de cada semestre, de conformidad con lo establecido en los Anexos Nos. 6 y 7 del presente Reglamento. C. Perfil de primas, siniestros y sumas aseguradas Las instituciones de seguros a requerimiento de la Comisión deben proporcionar la información cualitativa y cuantitativa que utilizan en las negociaciones de sus contratos de reaseguros y que se refieran a las primas totales emitidas, primas cedidas, siniestros totales y recuperados y sumas aseguradas, por rango y ramo, entre otros aspectos que ésta considere. ARTÍCULO 28.- BORDERÓ DE PRIMAS Y SINIESTROS Todos los registros contables por operaciones de reaseguro proporcional, deben estar debidamente respaldados con el borderó (reporte) de primas y siniestros, en el cual se refleje su distribución, conteniendo como mínimo de los siguientes datos: I. Borderó de primas: a) Nombre de la institución reaseguradora, ramo y tipo de contrato; b) Fecha de la emisión; c) Número de las pólizas de seguros; d) Nombre del contratante de la póliza; e) Vigencia de la póliza; f) Sumas aseguradas cedidas y retenidas; g) Primas cedidas, retenidas y comisión; y, h) Porcentajes de participación. -- 129 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 II. Borderó de siniestros: a) Nombre de la institución reaseguradora, ramo y tipo de contrato; b) Fecha del siniestro; c) Número del siniestro; d) Nombre de los asegurados; e) Vigencia de la póliza; f) Sumas aseguradas cedidas y retenidas; g) Siniestros cedidos y retenidos; y, h) Participación del siniestro recuperado. ARTÍCULO 29.- LIQUIDACIÓN DE LOS CONTRATOS DE EXCESO DE PÉRDIDA Las instituciones de seguros deben incluir en el cierre del ejercicio, las liquidaciones de reaseguro de los contratos de exceso de pérdida al 31 de diciembre de cada año o al vencimiento según lo estipule cada contrato, para ser evaluadas y establecer su importe en libros, según el ejercicio al que corresponda el contrato, es decir, el contrato que está siendo sujeto de liquidación. Sí de esta liquidación resulta un saldo a favor de la reaseguradora se debe realizar el ajuste contable en el ejercicio que corresponda y no en el siguiente ejercicio, caso contrario debe crearse una reserva por no contabilizarlo en el mes al que pertenezca. ARTÍCULO 30.- CRITERIOS PARA LA ESTIMACIÓN POR DETERIORO DE LAS OPERACIONES DE REASEGUROS Las cuentas derivadas de los contratos de reaseguro cedido deben evaluarse por parte de la institución de seguros, como mínimo trimestralmente, para establecer su deterioro, reduciendo su importe en libros y constituyendo la reserva que afectará el resultado del ejercicio. Un activo derivado de contratos de reaseguro se habrá deteriorado en su valor sí, y sólo si, se presentan de forma conjunta los indicadores descritos a continuación: A. Indicadores de deterioro a) Existe la evidencia objetiva, que a consecuencia de un evento que haya ocurrido después del reconocimiento inicial del activo por reaseguro, de que la institución de seguros no recibirá todos los importes que se le adeuden en función de los términos del contrato; b) Ese evento tenga un efecto que se puede valorar con certeza sobre los importes que la institución de seguros vaya a recibir de la institución reaseguradora; y, c) Los valores por cobrar a las reaseguradoras presenten mora en los valores a recuperar. B. Pérdida por deterioro Las pérdidas por deterioro de las cuentas de activos derivadas del reaseguro cedido, se aplicarán tomando en cuenta la morosidad de los saldos pendientes de cobro a las reaseguradoras, esta morosidad se determinará noventa (90) días después de vencidos los plazos establecidos en el contrato del cierre de cada trimestre, según la siguiente tabla: Intervalo Categoría Porcentajes Mora a más de 90 días y hasta 180 días I 20% Mora a más de 181 días y hasta 270 días II 40% Mora a más de 271 días y hasta 360 días III 80% Mora a más de 360 días IV 100% -- 130 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Los porcentajes serán aplicados sobre el importe de saldos pendientes de cobro por cada categoría. La aplicación del deterioro de las cuentas de activos derivadas de los contratos de reaseguro, debe registrarse como un gasto y su contrapartida será una cuenta complementaria de activo. En el caso de que la institución no cuente con el análisis de antigüedad de saldos pendientes de cobro a las reaseguradoras, y que esta situación sea identificada y posteriormente notificada por parte de la auditoría interna de la institución de seguros, la auditoría externa o la Comisión, la Institución deberá aplicar un porcentaje del 100% de deterioro sobre el saldo de las cuentas de activo dentro de los quince (15) días hábiles posteriores a la notificación. La institución deberá elaborar un auxiliar de deterioro acumulado para deudas a cargos de reaseguradores y reafianzadores, según el Anexo 8 del presente Reglamento. ARTÍCULO 31.- FIRMAS ELECTRÓNICAS Cuando una institución de seguros realice negociaciones con las instituciones de seguros o reaseguros, legalmente autorizadas y establecidas en el país, las instituciones de reaseguro, los corredores de reaseguro nacionales y del exterior, las sucursales u oficinas de representación de reaseguradores del exterior, los suscriptores facultados (Coverholders) y compañías instructoras, a través de medios electrónicos estarán sujetos a las disposiciones contenidas en las leyes y normativas que para tal fin hayan sido emitidas en el país. CAPÍTULO VI DE LAS OBLIGACIONES APLICABLES A CORREDORES EXTRANJEROS EN EL EJERCICIO DE LA INTERMEDIACIÓN EN MATERIA DE REASEGUROS ARTÍCULO 32.- OBLIGACIONES Los corredores de reaseguro en el ejercicio de su actividad de intermediación reaseguradora, con relación a las instituciones de seguros y reaseguradoras autorizadas para operar en el país, están obligados a: a) Colocar los riesgos con debida diligencia y con reaseguradoras que cuenten con calificación de riesgo internacional igual o superior a BBB- o su equivalente, de acuerdo a lo establecido en el Artículo 35 del presente Reglamento; b) Prestar asesoría técnica a sus clientes, obteniendo coberturas convenientes a sus necesidades e intereses; c) Actuar dentro de las normas legales y reglamentarias que regulan el reaseguro, así como dentro de las normas y prácticas internacionales prevalecientes en la materia; d) Actuar con la debida diligencia en la elección de las reaseguradoras, verificando su capacidad técnica, financiera y calidad de los servicios otorgados. Asimismo, analizará la experiencia, credibilidad y prestigio de la reaseguradora, con relación a las diferentes operaciones de reaseguro con las instituciones de seguros; e) Proporcionar a la institución de seguros toda la información disponible sobre las reaseguradoras, a quienes se les cederán los riesgos. Especialmente, -- 131 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 deberán tomar en consideración que las reaseguradoras con que se contraten los riesgos cumplan con el requisito de calificación y de registro, señalados en el presente Reglamento; y, f) Remitir a la institución de seguros los contratos de reaseguro y las notas de cobertura originales que certifican la colocación y distribución del riesgo objeto del reaseguro; dicha nota de cobertura debe contener su domicilio, estar firmada y sellada por el representante nombrado por la reaseguradora. Además, el corredor de reaseguro no podrá hacer retenciones por su propia cuenta, la información debe ser enviada a las partes, a más tardar en el mes siguiente a la fecha de negociación y/o colocación. ARTÍCULO 33.- RESPONSABILIDADES Los corredores serán responsables de las colocaciones que efectúen, la cedente debe asegurarse de que quienes acepten la colocación del reaseguro estén plenamente autorizados para hacerlo y que cuentan con la capacidad y respaldo necesario para garantizar las operaciones, para lo cual el corredor deberá proporcionar a la institución de seguros cedente las evidencias documentales que acrediten tales condiciones, de conformidad con lo establecido en el contrato de prestación de servicios entre la cedente y el corredor de reaseguros debidamente inscrito en el Registro. En caso contrario a las disposiciones estipuladas, la Comisión estará facultada a realizar la cancelación de su inscripción en los registros correspondientes, sin perjuicio de las sanciones que le puedan ser aplicadas. ARTÍCULO 34. MONITOREO DE LAS OPERACIONES REALIZADAS A TRAVÉS DE CORREDORES DE REASEGUROS La institución de seguros debe establecer criterios para la selección, evaluación y eventual reemplazo de corredores de reaseguro, considerando entre otros aspectos los siguientes: a) experiencia en la línea de negocios que se desea reasegurar; b) historial de comportamiento en negocios con la institución u otras instituciones del sector; c) posición de solvencia; d) exposición neta por corredores de reaseguros; y, e) garantías exigidas a éstos. De igual manera, deben establecer procedimientos que garanticen la certeza de las coberturas de reaseguros contratadas a través del corredor, de acuerdo al mandato otorgado por la institución a éste, estableciendo sistemas de control que garanticen la adecuada gestión de las tareas encomendadas al corredor de reaseguros, en particular, cuando involucren pagos o transferencias de fondos desde y hacia los reaseguradores, las sucursales u oficinas de representación de reaseguradores del exterior. Cuando los contratos de reaseguro sean suscritos a través de un corredor de reaseguros, la institución de seguros debe evaluar el riesgo de crédito y operativo involucrado en este tipo de operaciones. -- 132 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 CAPÍTULO VII DEL REGISTRO DE INSTITUCIONES REASEGURADORAS Y CORREDORES DE REASEGURO, NACIONALES Y EXTRANJEROS SECCIÓN I DE LA INSCRIPCIÓN EN EL REGISTRO ARTÍCULO 35.- CALIFICACIÓN MÍNIMA APLICABLE A LAS INSTITUCIONES DE REASEGUROS Para efectos del presente Reglamento, las calificaciones mínimas exigidas a las instituciones reaseguradoras del exterior, interesados en ser inscritas en el Registro de esta Comisión, serán las siguientes: Cuando la institución de reaseguros cuente con más de una calificación internacional otorgada por más de una agencia calificadora internacional de las arriba señaladas, se considerará la menor de ellas para efecto de evaluar la solicitud respectiva. Las calificaciones mínimas exigidas señaladas en el presente Artículo, serán actualizadas por la Comisión mediante Resolución, cuando esta así lo estime conveniente. El cumplimiento de las nuevas calificaciones por parte del reasegurador será verificado por la Comisión al momento de su inscripción, en caso de las nuevas solicitudes o en la actualización anual cuando se trate de renovaciones en el Registro. ARTÍCULO 36.- REQUISITOS PARA INSCRIPCIÓN DE INSTITUCIONES REASEGURADORAS Las instituciones de reaseguro, sucursales u oficina de representación de reaseguros del exterior interesadas en inscribirse en el Registro de esta Comisión, deben cumplir con los siguientes requisitos mínimos: a) Documento legal que acredite el poder o la representación del solicitante, según corresponda; b) Escritura pública de Constitución de la sociedad; c) Informe de la agencia calificadora de riesgos internacional respectiva, emitido con una antigüedad no mayor a un (1) año a la fecha de la solicitud de inscripción; d) Certificado vigente de la autoridad supervisora o reguladora del país de origen, que haga constar que la institución reaseguradora se encuentra constituida legalmente en ese país y que posee autorización para operar reaseguros en el extranjero; indicando a su vez, que no existen inconvenientes legales para el pago de indemnizaciones en monedas de libre convertibilidad, derivada de sus contratos u operaciones de reaseguro; e) Listado de los corredores de reaseguro con los que normalmente realiza operaciones de reaseguro, cuando corresponda; y, f) En el caso de que un reasegurador actué también como agencia de representación de Lloyd´s (Coverholder), además de cumplir con los requisitos descritos en los literales antes señalados deberá presentar copia autenticada Calificadora Calificación Internacional Mínima Aceptada Standard & Poor’s BBB- Fitch Rating BBB- Moody’s Baa3 A-M-Best B+ -- 133 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 del contrato (Binding Authority) suscrito por Lloyd´s; ARTÍCULO 37.- REQUISITOS PARA LA INSCRIPCIÓN DE CORREDORES DE REASEGURO Los corredores de reaseguro, nacionales o del exterior interesados en inscribirse en el Registro de esta Comisión, deben cumplir con los siguientes requisitos mínimos: I. Corredores de Reaseguro Constituidos en el Exterior a) Documento legal que acredite el poder o la representación, del solicitante según corresponda; b) Poder de representación de los representantes legales, que indique las facultades suficientes para la suscripción de contratos y de representación de la sociedad; c) Escritura pública de constitución de la sociedad y de sus estatutos, expedido por la autoridad competente de su país de origen; debidamente autenticada. d) Certificado vigente de la autoridad supervisora o reguladora del país de origen, en donde se haga constar que la sociedad corredora de reaseguros se encuentra constituida legalmente en el país de origen y que posee autorización para operar en el corretaje de reaseguro en el exterior; y, e) Estados Financieros auditados por una firma de auditores independientes, correspondientes al último año del ejercicio económico. f) Listado de sus accionistas y miembros del Consejo de Administración o su órgano equivalente; g) En el caso de que un corredor de reaseguros actué también como agencia de representación de Lloyd´s (Coverholder), además de cumplir con los requisitos descritos en los literales antes señalados deberá presentar copia autenticada del contrato (Binding Authority) suscrito por Lloyd´s; y, h) Listado de las reaseguradoras con las que normalmente realiza operaciones de reaseguro. II. Corredores de Reaseguro Constituidos en el País a) Documento legal que acredite el poder o la representación, del solicitante según corresponda; b) Escritura pública de constitución de la sociedad y de sus estatutos, expedido por la autoridad competente, debidamente autenticados; c) Certificación extendida por el representante legal de la sociedad de contar con los libros contables y sociales que requiere el Artículo 430 del Código de Comercio; d) Estados Financieros auditados por una firma de auditores independientes, correspondientes al último año del ejercicio económico. e) Listado de sus accionistas y miembros del Consejo de Administración; f) Listado de las reaseguradoras con las que normalmente realiza operaciones de reaseguro, cuando corresponda; g) Hoja de vida del representante legal de la sociedad, Gerente General o de quien desempeñe tales funciones; -- 134 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 h) Poder de representación de los representantes legales, que indique las facultades suficientes para la suscripción de contratos y de representación de la sociedad; y, i) Declaración Jurada, emitida por el representante legal de la sociedad mercantil, de no tener juicios pendientes. Para efectos de evaluar adecuadamente las solicitudes de inscripción en el Registro, cuando así lo estime conveniente, la Comisión podrá requerir cualquier otra documentación a la antes descrita en el presente Artículo. ARTÍCULO 38.- SOLICITUD DE INSCRIPCIÓN EN EL REGISTRO Las instituciones de reaseguro, las sucursales u oficina de representación de reaseguradores del exterior y corredores de reaseguro nacionales o extranjeros, que cumplan con los requisitos deben someterse al proceso de inscripción en línea en el Registro habilitado por la Comisión en el PDRP, a través de su representante o apoderado legal, o bien a través del apoderado legal de la institución de seguros, realizando las siguientes actividades: a) Creación de Usuario: El interesado en la inscripción en el Registro debe completar la información requerida en el formulario disponible en el PDRP que para tal efecto mantenga la Comisión, completando como mínimo la siguiente información: • Razón o denominación social del reasegurador, corredor de reaseguro o la institución de seguros; • Nombre completo del solicitante (Gerente, Representante Legal o Apoderado Legal); • Tipo y número de documento de identificación del solicitante; y, • Correo electrónico del solicitante. b) Inscripción en el Registro: Las instituciones de reaseguro, sucursales u oficina de representación de reaseguradores del exterior y corredores de reaseguro nacionales o extranjeros procederán con la “Solicitud de Inscripción en el Registro” a través del usuario proporcionado por la Comisión, adjuntando la documentación señalada en los Artículos 36 y 37 del presente Reglamento, según corresponda. ARTÍCULO 39.- CERTIFICACIÓN DE INSCRIPCIÓN EN EL REGISTRO La Comisión emitirá una Certificación por medio de la cual hará constar la inscripción en el Registro, dentro de un plazo que no exceda de treinta (30) días hábiles, contados a partir de la fecha en que se haya recibido a satisfacción de ésta, toda la documentación requerida en los Artículos 36 y 37 del presente Reglamento, según corresponda. La Certificación de inscripción será enviada a la institución de reaseguros o corredor de reaseguros mediante correo electrónico proporcionado por el usuario. La inscripción en el Registro por parte de la reaseguradora, sucursales, oficina de representación -- 135 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 de reaseguradores del exterior o corredor de reaseguro es exclusiva e intransferible, por lo que no le estará permitido modificar, adaptar, transferir, o alterar ninguna parte de ella. Lo anterior, sin perjuicio del proceso de actualización, establecido en el Artículo 41 del presente Reglamento. ARTÍCULO 40.- DE LA VIGENCIA DE LA INSCRIPCIÓN EN EL REGISTRO La Certificación de inscripción emitida por la Comisión a la reaseguradora, sucursales, oficinas de representación de reaseguradores del exterior, corredor de reaseguro constituido en el país o del exterior, tendrá una duración indefinida, salvo que éstas incumplan las disposiciones establecidas en el presente Reglamento, procediendo esta Comisión a la suspensión o cancelación de la inscripción, de conformidad a lo establecido en los Artículos 47, 48 y 49 del presente Reglamento, previo el debido proceso de defensa. La Comisión publicará mensualmente en el PDRP la lista de las reaseguradoras, sucursales, oficinas de representación de reaseguradores del exterior, corredor de reaseguro inscritas con el estatus vigente para operar en el país. SECCIÓN II DE LA ACTUALIZACIÓN EN EL REGISTRO ARTÍCULO 41.- DE LA ACTUALIZACIÓN ANUAL DE LA INSCRIPCIÓN Sin perjuicio de lo establecido en el Artículo 40 del presente Reglamento, el reasegurador, sucursales, oficina de representación de reaseguradores del exterior, y corredor de reaseguro debe actualizar anualmente su inscripción, dentro de los treinta (30) días calendarios previos a su vencimiento. La solicitud para la actualización de la inscripción debe presentarse a través del PDRP que para tal efecto disponga la Comisión, utilizando el usuario previamente creado. ARTÍCULO 42.- REQUISITOS PARA EL PROCESO DE LA ACTUALIZACIÓN ANUAL DE LA INSCRIPCIÓN EN EL REGISTRO Las reaseguradoras y los corredores de reaseguros, sucursales u oficinas de representación nacionales o del exterior inscritos en el Registro, deben adjuntar a su solicitud de actualización, la siguiente documentación: I. Reaseguradoras, Sucursales u Oficinas de Representación a) Documento legal que acredite el poder o la representación del solicitante, según corresponda; b) Informe de la agencia calificadora de riesgos internacional respectiva, emitido con una antigüedad no mayor a un (1) año a la fecha de la solicitud de actualización; y, c) Listado de los corredores de reaseguro con los que normalmente realiza operaciones de reaseguro. II. Corredores de Reaseguros a) Documento legal que acredite el poder o la representación, del solicitante según corresponda; -- 136 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 b) Estados Financieros auditados por una firma de auditores independientes, correspondientes al último año del ejercicio económico; y, c) Listado de las reaseguradoras con las que normalmente realiza operaciones de reaseguro, cuando corresponda. Para efectos de evaluar adecuadamente las solicitudes de actualización en el Registro, cuando así lo estime conveniente, la Comisión podrá requerir cualquier otra documentación a la antes descrita en el presente Artículo. Una vez actualizada su inscripción en el registro, la Comisión extenderá a la reaseguradora, corredores de reaseguradores, sucursales u oficina de representación de reaseguradores del exterior, la Certificación correspondiente, de acuerdo con lo establecido en el Artículo 39 del presente Reglamento. SECCIÓN III DE OTROS TRÁMITES DEL REGISTRO ARTÍCULO 43.- FUSIÓN, CONVERSIÓN O ESCISIÓN Cuando se trate de una fusión, conversión o escisión la institución absorbente que no esté inscrita en el Registro de la Comisión, debe solicitar su inscripción de acuerdo con lo establecido en el presente Reglamento. ARTÍCULO 44.- MODIFICACIÓN DE LA DENOMINACIÓN SOCIAL O DOMICILIO DE LAS INSTITUCIONES DE REASEGUROS O CORREDORES DE REASEGURO Cuando exista modificación en la denominación social o domicilio de la reaseguradora o corredor de reaseguros, sucursales u oficina de representación nacional o del exterior, debidamente inscrita en el Registro de esta Comisión, debe ser informado a la Comisión, dentro del trimestre siguiente a la fecha en que se originó el referido cambio de denominación. ARTÍCULO 45.- REQUISITOS POR CAMBIO DE DENOMINACIÓN SOCIAL Las instituciones de reaseguro o corredores de reaseguro, las sucursales u oficina de representación del exterior, debidamente inscritas en el Registro de esta Comisión, interesadas en realizar el cambio de denominación social, en atención a las causales establecidas en el Artículo 43 y 44 del presente Reglamento, deben presentar la solicitud a través del PDRP que para tal efecto disponga la Comisión, utilizando el usuario previamente creado, y adjuntando la siguiente documentación: a) Documento legal que acredite el poder o la representación, del solicitante según corresponda; b) Certificado vigente de la autoridad supervisora o reguladora del país de origen, que haga constar que la institución reaseguradora o corredor de reaseguros se encuentra constituida legalmente en ese país y que posee autorización para operar en reaseguros en el extranjero; y, c) Escritura de modificación de la institución reaseguradora o corredor de reaseguros del exterior; ARTÍCULO 46.- IDIOMA DE LA DOCUMENTACIÓN -- 137 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Los documentos presentados por las instituciones de reaseguro, las sucursales u oficina de representación del exterior y corredores de reaseguro extranjeros, para efectos de cualquier trámite en el Registro de la Comisión, deben contener su respectiva apostilla y cuando se presenten en idioma distinto al español, acompañados con la correspondiente traducción al idioma español, autenticado ante la Secretaría de Estado en el Despacho de Relaciones Exteriores en la República de Honduras o en el Consulado de Honduras acreditado en el país de donde procede el documento. SECCIÓN IV DE LA SUSPENSIÓN Y CANCELACIÓN DE LA INSCRIPCIÓN EN EL REGISTRO ARTÍCULO 47.- SUSPENSIÓN TEMPORAL EN EL REGISTRO La Comisión suspenderá temporalmente y cuando proceda de oficio la inscripción en el Registro a la reaseguradora o corredor de reaseguros, sucursales u oficina de representación del exterior por cualquiera de las siguientes causas: a) Cuando su calificación sea inferior a las mínimas establecidas en el Artículo 35 del presente Reglamento; b) El incumplimiento de la obligación de remitir periódicamente la información de acuerdo con los requisitos y dentro de los plazos indicados en el Artículo 42 del presente Reglamento; y, c) Cuando a juicio de la entidad reguladora del país de origen del reasegurador o corredor de reaseguros, sucursales u oficina de representación se tengan indicios racionales sobre la falta de capacidad técnica y/o financiera; Previo a hacer efectiva la suspensión temporal señalada en el presente Artículo, la Comisión a través de la Superintendencia de Seguros verificará y comprobará que se haya presentado una o más de las causales descritas en el presente Artículo, otorgándole a su vez el derecho de defensa a la reaseguradora o corredor de reaseguros, sucursales u oficina de representación del exterior; excepto en el literal b), procediendo de Oficio a la suspensión correspondiente por parte de la Gerencia de Protección del Usuario Financiero. La Comisión podrá suspender temporalmente la autorización e inscripción de una reaseguradora o corredor de reaseguros, sucursales u oficina de representación del exterior, por un período de hasta seis (6) meses, contados a partir de la fecha en que se encuentre firme el acto administrativo correspondiente, correspondiéndole a la Comisión establecer el plazo antes señalado en función de la gravedad del incumplimiento que ocasionó la suspensión. Una vez cumplido dicho período, verificará si la condición o acto que originó la suspensión fue corregida para proceder nuevamente a otorgar la autorización e inscripción, caso contrario procederá de Oficio a su cancelación. Las instituciones reaseguradoras o corredores de reaseguros, sucursales u oficina de representación, mantendrán sus obligaciones y responsabilidades -- 138 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 con las Instituciones de Seguros cedentes por los contratos y operaciones que hubieren suscrito. Durante este tiempo de suspensión se creará una reserva del 100% de los valores por cobrar, quedando obligada la cedente a cancelar los contratos que se encuentren vigentes durante la suspensión. La Comisión informará de estas circunstancias a las Instituciones de Seguros autorizadas para operar en el país. ARTÍCULO 48.- CANCELACIÓN EN EL REGISTRO DE INSTITUCIONES REASEGURADORAS La Comisión cancelará la inscripción en el Registro de una reaseguradora en cualquiera de los siguientes casos: a) Cuando no se subsanen o corrijan las circunstancias que motivaron la suspensión del Registro por parte de la Comisión, dentro de los seis (6) meses siguientes a la fecha en que se encuentre en firme el acto administrativo correspondiente; b) Cuando una institución de seguros cedente, reaseguradora o corredor de reaseguros presente una denuncia debidamente sustentada en contra de la institución reaseguradora, por haber incurrido en mora superior a tres (3) meses en el pago de sus obligaciones. La denuncia deberá ser validada por la Comisión; c) Cuando se presente cualquier situación que, conforme a las revisiones efectuadas por la Comisión, indique que la reaseguradora incumple o retarda el cumplimiento de sus obligaciones; d) Cuando la institución inscrita se encuentre en cualquiera de las siguientes situaciones: aviso de cesación o suspensión de pagos, declaratoria de quiebra, intervención judicial o administrativa, causal de disolución, acuerdo de acreedores, insolvencia, proceso concursal de cualquier naturaleza o figuras equivalentes, de conformidad con la legislación del país de origen o de sede principal; y, e) A petición de la reaseguradora. Previo a hacer efectiva la cancelación señalada en el presente Artículo, la Comisión a través de la Superintendencia de Seguros verificará y comprobará que se haya presentado una o más de las causales descritas en el presente Artículo, otorgándole a su vez el derecho de defensa a la reaseguradora; excepto en el literal e), procediendo de Oficio a la cancelación correspondiente por parte de la Gerencia de Protección del Usuario Financiero. Las instituciones reaseguradoras del exterior cuya inscripción en el Registro haya sido cancelada por cualquiera de las causales señaladas en el presente Artículo, no podrán someterse a un nuevo proceso de inscripción por un período de hasta dos (2) años en función de la gravedad del incumplimiento que ocasionó la cancelación, sin perjuicio que la Comisión determine la cancelación indefinida del reasegurador. Asimismo, mantendrán sus obligaciones y responsabilidades con las instituciones de seguros cedentes por los contratos y operaciones que ya -- 139 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 hubieren realizado, hasta su liquidación total. Para todos aquellos saldos por cobrar a las reaseguradoras canceladas se creará una reserva del 100%. La Comisión informará de estas circunstancias a las instituciones de seguros autorizadas para operar en el país. ARTÍCULO 49.- CANCELACIÓN EN EL REGISTRO DE CORREDORES DE REASEGURO La Comisión cancelará la inscripción de un corredor de reaseguro u oficina de representación por cualquiera de los siguientes casos: a) Cuando no se subsanen o corrijan las circunstancias que motivaron la suspensión del registro por parte de la Comisión, dentro de los seis (6) meses siguientes a la fecha en que se encuentre en firme el correspondiente acto administrativo; b) Cuando no se subsanen o corrijan las circunstancias que motivaron la suspensión del Oficio, señalado en el Artículo 46 literal b) del presente Reglamento; c) Cuando una institución de seguros, reaseguros u oficina de representación presente una denuncia sustentada sobre el corredor de reaseguros por haber incurrido en retención de fondos relacionados con el desarrollo de su actividad; d) Cuando una institución de seguros, reaseguros u oficina de representación presente una denuncia sustentada sobre el corredor de reaseguros por haber confirmado la colocación de reaseguro sin haber obtenido el respaldo completo a la fecha en que la institución de seguros asuma el riesgo o sin indicación de los reaseguradores que respalden la colocación; e) Cuando una institución de seguros, reaseguros u oficina de representación presente una denuncia sustentada contra el corredor de reaseguros por haber incurrido en mora superior a tres (3) meses en el cumplimiento de sus obligaciones; f) Cuando el corredor de reaseguros u oficina de representación haya colocado en una institución de reaseguros no registrada en el Registro que lleva la Comisión o en una institución de reaseguros no calificada de conformidad a los criterios establecidos en el presente Reglamento; g) Cuando se presente cualquier situación sustentada técnica y legalmente, conforme a las revisiones efectuadas por la Comisión que indique que el corredor de reaseguros pueda incumplir o retardar el cumplimiento de sus obligaciones; h) Cuando se encuentre en cualquiera de las siguientes situaciones: aviso de cesación o suspensión de pagos, declaratoria de quiebra, intervención judicial o administrativa, causal de disolución, acuerdo de acreedores, insolvencia, proceso concursal de cualquier naturaleza o figuras equivalentes, de conformidad con la legislación nacional o la del país de origen o de sede principal; y, -- 140 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 i) A petición de la entidad corredora de reaseguros, sucursales y oficina de representación del exterior. Previo a hacer efectiva la cancelación señalada en el presente Artículo, la Comisión a través de la Superintendencia de Seguros verificará y comprobará que se haya presentado una o más de las causales descritas en el presente Artículo, otorgándole a su vez el derecho de defensa a los corredores de reaseguro, sucursales y oficinas de representación de reaseguradores del exterior; excepto en los literal b), h) y i), procediendo de Oficio a la cancelación correspondiente por parte de la Gerencia de Protección del Usuario Financiero. Los corredores de reaseguro, sucursales y oficinas de representación de reaseguradores del exterior cuya inscripción en el Registro haya sido cancelada por cualquiera de las causales señaladas en el presente Artículo, no podrán someterse a un nuevo proceso de inscripción por un período que establezca la Comisión en función de la gravedad del incumplimiento que ocasionó la cancelación. Asimismo, mantendrán sus obligaciones y responsabilidades con las instituciones de seguros cedentes por los contratos y operaciones que ya hubieren realizado, hasta su liquidación total. Para todos aquellos saldos por cobrar a los corredores de reaseguro, sucursales y oficinas de representación canceladas se creará una reserva del 100%. La Comisión informará de estas circunstancias a las instituciones de seguros autorizadas para operar en el país. CAPITULO VIII DE LAS DISPOSICIONES FINALES ARTÍCULO 50.- REPORTES DE INFORMACIÓN Las instituciones de seguros deben remitir a la Comisión dentro de los quince (15) días hábiles posteriores al cierre de cada semestre, a través de los canales electrónicos que habilite para estos efectos, la participación de cobertura de reaseguradores, el detalle de saldos por cobrar y pagar a instituciones de reaseguros, el detalle de sumas aseguradas totales en vigor por reasegurador y los responsables de atender los requerimientos de información en las instituciones de seguros, reaseguradoras y corredores de reaseguros del exterior, de conformidad a lo dispuesto en los Anexos Nos. 9, 10 y 11 del presente Reglamento. ARTÍCULO 51 SISTEMA DE INFORMA- CIÓN AUTOMATIZADOS Las instituciones de seguros deben contar con sistemas de información que faciliten la identificación del riesgo total para la contratación adecuada y la gestión de reaseguros. Dichos sistemas de información deben permitir verificar la información reportada a la Comisión. ARTÍCULO 52.- DE LAS SANCIONES Los incumplimientos a las disposiciones contenidas en el presente Reglamento, serán sancionadas por -- 141 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 la Comisión de conformidad a lo establecido en el marco legal y normativo aplicable vigente en materia de sanciones. ARTÍCULO 53.- REQUERIMIENTOS DE INFORMACIÓN ADICIONAL La Comisión cuando así lo estime conveniente y con el propósito de aclarar, ampliar y complementar su análisis para los procesos de inscripción en el Registro, podrá requerir información adicional a la establecida en el presente Reglamento. ARTÍCULO 54.- INSCRIPCIÓN EN EL PDRP Las instituciones de reaseguro, las sucursales u oficina de representación del exterior y corredores de reaseguro nacionales o extranjeros que, a la fecha de entrada en vigencia del presente Reglamento, se encuentren debidamente inscritos en el Registro, deben realizar su inscripción en el PDRP en la fecha prevista para su próxima actualización. ARTÍCULO 55.- HABILITACIÓN DEL PDRP La Comisión mediante la publicación de un aviso a través de los medios que estime convenientes, informará al público en general sobre la habilitación del PDRP, a fin de dar inicio con el proceso de registrarse mediante el PDRP. ARTÍCULO 56.- CASOS NO PREVISTOS La Comisión mediante Resolución, resolverá los casos no previstos, conforme a lo establecido en la legislación aplicable, mejores prácticas, principios y estándares internacionales. ARTÍCULO 57.- DEROGATORIA La presente Resolución deja sin valor y efecto la Resolución SS No.2006/16-12-2010 emitida el 16 de diciembre de 2010, así como cualquier otra disposición que se le oponga. 2. Comunicar la presente Resolución a las Instituciones de Seguros, para los efectos legales correspondientes. 3. La presente Resolución entrará en vigencia a partir de su publicación en el Diario Oficial La Gaceta. … Queda aprobado por unanimidad. … F) ETHEL DERAS ENAMORADO, Presidenta; EVASIO A. ASENCIO, Comisionado Propietario; EVIN ANDRADE, Comisionado Suplente; MAURA JAQUELINE PORTILLO G., Secretaria General”. Y para los fines correspondientes, se extiende la presente en la ciudad de Tegucigalpa, Municipio del Distrito Central, a un día del mes de diciembre de dos mil veintiuno. MAURA JAQUELINE PORTILLO G. Secretaria General 11 D. 2021 -- 142 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Comisión Nacional de Bancos y Seguros Superintendencia de Seguros Contratos Proporcionales Desde Hasta Incendio y Líneas Cuota Parte Dólares 1/4/2021 31/3/2022 900,000 600,000 N/A 36,750,000 Incendio y Líneas Excedente Dólares 1/4/2021 31/3/2022 700,000 N/A 10,500,000 47,250,000 Total Contratos No Proporcionales Desde Hasta Incendio y Líneas Aliadas Exceso de Pérdida (WCXL) Dólares 1/7/2020 30/6/2021 250,000.00 100,000.00 4,000,000 300,000,000 pago de prima adicional al 100%, calculada a prorrata temporis……………… 700,000.00 350,000.00 2,100,000.00 1,050,000.00 ……. Totales En el presente anexo se deben incluir todos los contratos vigentes y que se renovarán según la Política de Distribución de Riesgos Ramo: Conjunto de modalidades de seguro relativas a riesgos de características o naturaleza semejantes (vida, incendio..). Tipo: Se refiere a la modalidad o estructura del contrato suscrito (cuota parte, excedente, exceso de pérdida, ...). Moneda: Se refiere a la moneda en la cual se suscribió el contrato, los montos deben ser reportados en lempiras indicando el tipo de cambio. Retención: Es la parte del riesgo que la Institución de Seguros retiene bajo su responsabilidad. Cesión: Es la parte del riesgo que la Institución de Seguros cede al Reasegurador. Líneas del Contrato: En un contrato de excedente corresponde al número máximo de plenos que la cedente podrá canalizar en dicho contrato. Límite por Evento: Es el monto máximo del que es responsable el Reasegurador por cada evento afectado. Límite de Responsabilidad Máxima del Contrato: Es el límite máximo de cobertura de un contrato de reaseguro proporcional. Capa (Layer): Monto total de la protección de reaseguro de exceso de pérdida que una Institución necesita proteger frente determinado exposiciones de riesgo. Límite: Pérdida total indemnizable durante un período de tiempo acordado en contrato. Prioridad: Monto que retiene por cuenta propia la Cedente en cada evento. PMD: Prima Mínima en Depósito: Es que debe pagar la Cedente con carácter de anticipo. Límite Agregado Anual: Es la máxima responsabilidad a cargo de un reasegurador por varios siniestros. Reinstalaciones: Número de Veces que la cobertura es Otorgada, es denominada "Reposición de Cobertura" Nota: Deben reportarse sub totales por cada contrato suscrito. Incluir concepto de lineas de contrato Columna adicional columna de lineas catastroficas En ves de siniestro evento No. de Reinstalaciones Cobro de Prima Adicional (En caso que aplique) OBSERVACIONES Y DESCRIPCIONES Capa (Layer) Anexo No. 1 Resumen de los Contratos de Reaseguro Límite de Responsabilidad Máximo del Contrato Líneas del Contrato No. Ramo Tipo Moneda Retención Vigencia PMD No. Prioridad Cesión Límite Agregado Anual Límite por Evento Ramo Tipo Moneda Vigencia Límite YURY ALLAN TURCIOS EUCEDA -- 143 of 153 -- La G aceta Sección B Avisos Legales REPÚBLICA DE H ONDURAS - TEGUCIGALPA, M. D. C., 11 DE DICIE MBRE DEL 2021 No. 35,795 Comisión Nacional de Bancos y Seguros Superintendencia de Seguros Desde Hasta Swiss Re R-0016 25% AA+ Suiza 2,500,000.00 20% Reaseguradora Patria R-0017 20% AA- México 2,000,000.00 15% Chubb R-0018 15% BBB- Panamá 1,500,000.00 10% …………. Detallar el reporte de pólizas facultativas vigentes. En cada negocio, si hay varios reaseguradores deberá detallar la participación de cada uno. Cuando existe mas de un reasegurador debe realizar el vaciado de información incluyendo todos los reaseguradores que participan en el contrato, asimismo, cuando la póliza haya sido colocada a través de un corredor de reaseguros, debe reportarse los reaseguradores que dan soporte a la misma (security). Ramo: Conjunto de modalidades de seguro relativas a riesgos de características o naturaleza semejantes. Suma Asegurada Facultada: Corresponde al Total de Suma Asegurada facultada, (En caso de reportar más de una vez la misma póliza, solo deberá reportarla en la primer línea de mención de la póliza, sólo reporta una vez la suma asegurada). Suma Participación: Corresponde a la Suma Reasegurada Facultativa. Suma Retención: Corresponde a la Suma Retenida de la póliza reportada. (En caso de reportar más de una vez la misma póliza, sólo deberá reportarla en la primer línea de mención de la póliza, sólo reporta una vez la suma retenida). Suma Contrato Automático: Corresponde a la Suma Cedida a Contratos de la póliza reportada. (En caso de reportar más de una vez la misma póliza, sólo deberá reportar en la primer línea en mención de la póliza, sola reporta una suma contrato). Comisión Facultativa: Retribución económica pagada por el reasegurador a la Cedente. 10,000,000.00 1,000,000.00 3,000,000.00 Inversiones Halcón Incendio y Líneas Aliadas N/A N/A 1/1/2020 1/1/2021 % Comisión Facultativo No. Póliza Asegurado Ramo Nombre del
Ver como documento individual