Marco Integrado de Cont Int Leyen

Marco Integrado de Control Interno
AUDITORÍA ESPECIAL DE TECNOLOGÍAS DE INFORMACIÓN,

COMUNICACIONES Y CONTROL
Marco
Integrado
de Control
Interno
NOTA: Este documento tomó como referencia, entre otras, las normas denominadas “Standards for Internal Control in the
Federal Government” (Green Book) actualizadas por la “United States Government Accountability Office” (GAO) en
septiembre de 2014, así como el informe COSO actualizado por el Committee of Sponsoring Organizations of the Treadway
Commission en mayo de 2013.
Índice
1. PRESENTACIÓN DE LA PROPUESTA DEL MARCO INTEGRADO DE CONTROL
INTERNO PARA EL SECTOR PÚBLICO............................................................ 4
2. DEFINICIONES.................................................................................. 5
3. MARCO INTEGRADO DE CONTROL INTERNO PARA EL SECTOR PÚBLICO................8

SECCIÓN 1 – CONCEPTOS FUNDAMENTALES DE CONTROL INTERNO.....................8
Definición de Control Interno.................................................................. 8
Características del Control Interno........................................................... 8
SECCIÓN 2 – ESTABLECIMIENTO DEL CONTROL INTERNO......................................... 9
Presentación del Marco Integrado de Control Interno para el Sector
Público.............................................................................................. 9
Componentes, Principios y Puntos de Interés del Control Interno............10
El Control Interno y la Institución................................................................. 13
Responsabilidades y Funciones en el Control Interno.............................. 14
Objetivos de la Institución.................................................................... 15
SECCIÓN 3 – EVALUACIÓN DEL CONTROL INTERNO...........................................17
Elementos de un Control Interno Apropiado........................................... 17
Aspectos de la Evaluación del Control Interno....................................... 17
SECCIÓN 4 – CONSIDERACIONES ADICIONALES................................................ 18
Servicios Tercerizados................................................................................. 18
Instituciones Grandes o Pequeñas......................................................... 19
Costos y Beneficios del Control Interno................................................. 19
Documentación del Control Interno...................................................... 20
Aplicación en las Instituciones.............................................................. 20
4. COMPONENTES DEL CONTROL INTERNO................................................... 21

AMBIENTE DE CONTROL.................................................................................... 21
Principio 1 – Mostrar Actitud de Respaldo y Compromiso........................ 21
Principio 2 – Ejercer la Responsabilidad de Vigilancia............................. 23
Principio 3 – Establecer la Estructura, Responsabilidad y Autoridad..........25
Principio 4 - Demostrar Compromiso con la Competencia Profesional 27
Principio 5 – Establecer la Estructura para el Reforzamiento de la
Rendición de Cuentas..................................................... 28
ADMINISTRACIÓN DE RIESGOS.............................................................................. 30
Principio 6 – Definir Objetivos y Tolerancias al Riesgo............................. 30
Principio 7 – Identificar, Analizar y Responder a los Riesgos....................32
Principio 8 – Considerar el Riesgo de Corrupción.................................... 33
Principio 9 – Identificar, Analizar y Responder al Cambio........................35
ACTIVIDADES DE CONTROL............................................................................... 36
Principio 10 – Diseñar Actividades de Control......................................... 36
Principio 11 – Diseñar Actividades para los Sistemas de Información.......40
Principio 12 – Implementar Actividades de Control................................. 43
INFORMACIÓN Y COMUNICACIÓN.............................................................. 44
Principio 13 – Usar Información de Calidad............................................ 44
Principio 14 – Comunicar Internamente................................................. 45
Principio 15 – Comunicar Externamente................................................ 46
SUPERVISIÓN.................................................................................................... 47
Principio 16 - Realizar Actividades de Supervisión................................... 48
Principio 17 – Evaluar los Problemas y Corregir las Deficiencias...............49
Marco Integrado de Control Interno ...........................................................................................................................................
1 Presentación de la Propuesta del

Marco Integrado de Control Interno
para el Sector Público
en 21 entidades federativas y el Distrito Federal, se
publicaron diversos ordenamientos en
El desarrollo nacional es el eje rector de las

políticas públicas en nuestro país, en donde la
producción de bienes y la prestación de servicios
públicos por parte del aparato de gobierno busca
generar condiciones de bienestar social.
Tal función gubernamental recae sobre los titulares y

el resto del personal de las instituciones del sector
público, cuya tarea ineludible consiste, entre otras
cosas, en ejecutar una adecuada programación,
seguimiento y control de los recursos que impulsen el
cumplimiento del mandato, la misión, visión y sus
objetivos; promuevan la rendición de cuentas, la
transparencia y el combate a la corrupción, y
garanticen el mejoramiento continuo del quehacer
gubernamental.
En este sentido, la implementación de un Sistema

de Control Interno efectivo representa una
herramienta fundamental que aporta elementos que,
promueven la consecución de los objetivos
institucionales; minimizan los riesgos; reducen la
probabilidad de ocurrencia de actos de corrupción y
fraudes, y consideran la integración de las
tecnologías de información a los procesos
institucionales; asimismo respaldan la integridad y
el comportamiento ético de los servidores públicos, y
consolidan los procesos de rendición de cuentas y
de transparencia gubernamentales.
Actualmente, en nuestro país se han desarrollado

diversos esfuerzos en materia de control interno
gubernamental:
• La Secretaría de la Función Pública (SFP)

publicó y actualizó, desde 2010 a la fecha, el
“ACUERDO por el que se emiten las
Disposiciones en Materia de Control Interno y
se expide el Manual Administrativo de
Aplicación General en Materia de Control
Interno” (el Acuerdo de Control Interno), que
tiene por objeto implementar y mejorar las
disposiciones jurídicas reguladoras en
materia de control interno para la
Administración Pública Federal (APF).
Asimismo, en un trabajo conjunto entre las
instancias estatales correspondientes y la SFP,
4
............................................................................................................................................... Marco Integrado de Control
necesidad de que las instituciones del sector

público establezcan, actualicen y mejoren
continuamente sus sistemas de control interno; 2) la
materia de control interno, mismas que actualización, en mayo de 2013,
retoman, en su mayoría, la estructura
y conceptos del Acuerdo de Control
Interno.
• La Auditoría Superior de la Federación

(ASF), para fortalecer las capacidades
en la materia, llevó a cabo el “Estudio
de la Situación que Guarda el Sistema
de Control Interno Institucional en el
Sector Público Federal” y el “Estudio
Técnico para la Promoción de la
Cultura de Integridad en el Sector
Público”, así como los trabajos de
análisis sobre los contenidos del
Acuerdo de Control Interno y de los
distintos ordenamientos emitidos a este
respecto por el Distrito Federal y los
21 estados que cuentan con tal
instrumento.
• El Sistema Nacional de Fiscalización

(SNF), integrado por la SFP, las
Entidades de Fiscalización Superior
Locales, las Contralorías Estatales del
país y la ASF, considera como uno de
sus objetivos impulsar adecuaciones
a las disposiciones jurídicas
tendentes a fortalecer la aplicación
de los recursos presupuestales y de
los fondos federales, así como cambios
estructurales en el ámbito jurídico que
permitan incorporar mejores prácticas
en la gestión gubernamental, para lo
cual se crearon grupos de trabajo,
entre los que se cuenta el Grupo de
Trabajo de Control Interno, que
continuará realizando actividades sobre
el tema.
Entre las responsabilidades de este

grupo, se encuentran: generar
estrategias, en los tres órdenes de
gobierno, de acuerdo a su ámbito de
competencia, para homologar la
normativa en materia de control
interno; asegurar la fiscalización del
control interno de las instituciones
auditadas, en los programas de
auditoría e identificar los cambios
legales, estructurales y normativos que
permitan fortalecer a las instancias de
control.
En este contexto y aunado a: 1) la
5
del Marco Integrado de Control Interno emitido por para el cumplimiento de las categorías de objetivos
el Comité de Organizaciones Patrocinadoras de la institucionales (operación, información y cumplimiento).
Comisión Treadway (COSO por sus siglas en inglés), y
3) la reciente actualización, en septiembre de 2014, El presente Marco está diseñado como un modelo
de las Normas de Control Interno para el Gobierno de control interno que puede ser adoptado y
Federal publicadas por la Oficina de Rendición de adaptado por las instituciones en los ámbitos
Cuentas Gubernamental (GAO, por sus siglas en Federal, Estatal y Municipal, el cual gozaría de
inglés), se propone, en el seno del SNF, el presente mayor aceptación e impacto, si los distintos
trabajo, desarrollado por el Grupo de Trabajo de niveles de gobierno, en el ámbito de sus
Control Interno, el cual consiste en un Marco atribuciones expiden los decretos correspondientes
Integrado de Control Interno para el Sector Público para su aprobación.
(el Marco), aplicable a los tres órdenes de
gobierno, basado en los componentes, principios y Estamos convencidos que la implementación y, en
puntos de interés que las mejores prácticas su caso, la adaptación del Marco promoverá el
internacionales en la materia ponen de manifiesto. mejoramiento de las funciones del Estado Mexicano
y los resultados se traducirán en mejoras de la
El Marco, proporciona un modelo general para
gestión gubernamental, la prevención y erradicación
establecer, mantener y mejorar el Sistema de Control
de la corrupción y el desarrollo de un sistema
Interno Institucional, aportando distintos elementos
integral de rendición de cuentas.
2 Definiciones
Para los efectos del presente Marco Integrado de Control Interno para el Sector Público se entenderá por:
Administración.
Personal de mandos superiores y medios, diferente al Titular, directamente responsables de todas las
actividades en la institución, incluyendo el diseño, la implementación y la eficacia operativa del control
interno.
Atributos.
Información adicional que proporciona una explicación más detallada respecto de los principios y los requisitos
de documentación y formalización para el desarrollo de un Sistema de Control Interno efectivo.
Competencia profesional.
Cualificación para llevar a cabo las responsabilidades asignadas. Requiere habilidades y conocimientos, que
son adquiridos generalmente con la formación y experiencia profesional y certificaciones. Se expresa en la
actitud y el comportamiento de los individuos para llevar a cabo sus funciones y cumplir con sus
responsabilidades.
Controles a nivel institución.

Controles que tienen un efecto generalizado en el sistema de control interno institucional; los controles a nivel
institución pueden incluir controles relacionados con el proceso de evaluación de riesgos de la institución,
ambiente de control, organizaciones de servicios, elusión de controles y supervisión.
Controles generales.
Políticas y procedimientos que se aplican a todos o a un segmento amplio de los sistemas de información
institucionales; los controles generales incluyen la gestión de la seguridad, accesos lógicos y físicos,
6
configuraciones, segregación de funciones y planes de contingencia.
7
Elusión de controles.
Omisión del cumplimiento de las políticas y procedimientos establecidos con la intención de obtener
beneficios personales, simular el cumplimiento de ciertas condiciones o propiciar actividades comúnmente
ilícitas.
Estructura organizacional.
Unidades administrativas, procesos sustantivos y adjetivos y cualquier otra estructura utilizada por la Dirección
para lograr los objetivos institucionales.
Evaluación a los sistemas de Control Interno.

Proceso mediante el cual, servidores públicos independientes a los responsables de los procesos
susceptibles de evaluación o a través de externos, determinan la idoneidad, eficacia, eficiencia y en la
aplicación del control interno en la institución, las unidades administrativas, los procesos, funciones y
actividades, y definen e informan las debilidades del Sistema de Control Interno.
Indicadores de desempeño.
Medidas de evaluación del desempeño de la institución en el logro de los objetivos.
Información de calidad.
Información proveniente de fuentes confiables y que es adecuada, actual, completa, exacta, accesible y
proporcionada de manera oportuna.
Institución o instituciones.
Dependencias y entidades de la Administración Pública Federal, Estatal o Municipal, según corresponda,
así como los Órganos Constitucionales Autónomos, y los entes que conforman los Poderes Legislativo y
Judicial.
Importancia relativa.
Es la conclusión, respecto del análisis de la naturaleza e impacto de cierta información, en la que la
omisión o presentación incorrecta de ésta, no tiene efectos importantes en las decisiones que los diversos
usuarios adopten.
Líneas de reporte.
Líneas de comunicación, internas y externas, a todos los niveles en la institución que proporcionan métodos de
comunicación que pueden circular en todas las direcciones al interior de la estructura organizacional.
Mejora continua.
Proceso de optimización y perfeccionamiento del Sistema de Control Interno; de la eficacia, eficiencia y
economía de su gestión; y de la mitigación de riesgos, a través de indicadores de desempeño y su
evaluación periódica.
Objetivos cualitativos.
Objetivos que la Dirección puede necesitar para diseñar indicadores de desempeño que señalen el nivel o
grado de desempeño, tales como hitos.
Objetivos cuantitativos.
8
Las normas e indicadores de desempeño pueden ser un porcentaje específico o un valor numérico.
9
Políticas.
Declaraciones de responsabilidad respecto de los objetivos de los procesos, sus riesgos relacionados y el
diseño, implementación y eficacia operativa de las actividades de control.
Planes de contingencia.
Proceso definido para identificar y atender la necesidad institucional de responder a los cambios repentinos en
el personal y que pueden comprometer el Sistema de Control Interno.
Sector Público.
La Administración Pública Federal, Estatal o Municipal, según corresponda, así como los Órganos
Constitucionales Autónomos, en su caso.
Seguridad razonable.
Alto nivel de confianza, más no absoluto, de que los objetivos de la institución serán alcanzados.
Sistema de información.
Personal, procesos, datos y tecnología, organizados para obtener, comunicar o disponer de la información.
TIC.
Tecnologías de Información y Comunicaciones; procesos de información habilitados con la tecnología.
Titulares.
Secretarios, Directores Generales, Coordinadores, Delegados, Jefes, Procuradores o cualquier otro funcionario
de primer nivel de las instituciones del sector público, con independencia del término con el que se identifique
su cargo o puesto.
Unidades administrativas.
División administrativa, establecida en instrumento jurídico respectivo, de los ejecutores de gasto del
sector público y que para efectos de la programación, presupuesto, ejercicio, control y evaluación del
gasto público federal estén constituidas en unidades responsables.
1
3 Marco Integrado de Control Interno

para el Sector Público
Sección 1 – Conceptos
Fundamentales de Control Interno
Definición de Control Interno
El control interno es un proceso efectuado por el Éstas categorías son distintas, pero interactúan
Órgano de Gobierno, el Titular, la Administración y creando sinergias que favorecen el funcionamiento
los demás servidores públicos de una institución, con de una institución para lograr su misión y mandato
objeto de proporcionar una seguridad razonable legal. Un objetivo particular puede relacionarse con
sobre la consecución de los objetivos institucionales más de una categoría, resolver diferentes
y la salvaguarda de los recursos públicos, así como necesidades y ser responsabilidad directa de diversos
para prevenir la corrupción. Estos objetivos y sus servidores públicos.
riesgos relacionados pueden ser clasificados en una
o más de las siguientes categorías: El control interno incluye planes, métodos,
programas, políticas y procedimientos utilizados
• Operación. Se refiere a la eficacia, eficiencia y para alcanzar el mandato, la misión, el plan
economía de las operaciones.
estratégico, los objetivos y las metas institucionales.
Asimismo, constituye la primera línea de defensa en
• Información. Consiste en la confiabilidad de los
la salvaguarda de los recursos públicos y la
informes internos y externos.
prevención de actos de corrupción. En resumen, el
control interno ayuda al Titular de una institución a
• Cumplimiento. Se relaciona con el apego a
lograr los resultados programados a través de la
las disposiciones jurídicas y normativas.
administración eficaz de todos sus recursos, como
son los tecnológicos, materiales, humanos y
financieros.
Características del Control Administración y al resto de los servidores públicos a

alcanzar los objetivos institucionales de manera
Interno permanente en sus operaciones.
El control interno conforma un sistema integral y

continuo aplicable al entorno operativo de una
institución que, llevado a cabo por su personal,
provee una seguridad razonable, más no absoluta,
de que los objetivos de la institución serán
alcanzados.
El control interno no es un evento único y aislado,

sino una serie de acciones y procedimientos
desarrollados y concatenados que se realizan
durante el desempeño de las operaciones de una
institución. Es reconocido como una parte
intrínseca de la gestión de procesos operativos para
guiar las actividades de la institución y no como un
sistema separado dentro de ésta. En este sentido, el
control interno se establece al interior de la
institución como una parte de la estructura
organizacional para ayudar al Titular, a la
1
Los servidores públicos son los que propician que

el control interno funcione. El Titular es
responsable de asegurar, con el apoyo de
unidades especializadas y el establecimiento de
líneas de responsabilidad, que su institución
cuenta con un control interno apropiado, lo cual
significa que el control interno:
• Es acorde con el tamaño, estructura,

circunstancias
específicas y mandato legal de la
institución;
• Contribuye de manera eficaz, eficiente y

económica a alcanzar las tres categorías de
objetivos institucionales (operaciones,
información y cumplimiento); y
• Asegura, de manera razonable, la

salvaguarda de los recursos públicos, la
actuación honesta de todo el personal y la
prevención de actos de corrupción.
1
Como parte de esa responsabilidad, el Titular: periódicas realizadas por los revisores
internos y externos, entre otros elementos.
a) Establece los objetivos institucionales de control
interno. Si bien el Titular de la institución es el primer
responsable del control interno, todos los servidores
b) Asigna de manera clara a determinadas públicos de ésta desempeñan un papel importante en
unidades
la implementación y operación del control interno.
o áreas, la responsabilidad de:
De esta manera, todo el personal de la institución
• Implementar controles adecuados y
es responsable de que existan controles adecuados
suficientes
y suficientes para el desempeño de sus funciones
en toda la institución,
específicas, los cuales contribuyen al logro eficaz y
eficiente de sus objetivos, de acuerdo con el
• Supervisar y evaluar periódicamente el
modelo de control interno establecido y
control interno (por lo general, a cargo de las
supervisado por las unidades o áreas de control
unidades institucionales de auditoría interna),
designadas para tal efecto por el Titular de la
y
institución.
• Mejorar de manera continua el control
interno,
con base en los resultados de las evaluaciones
Sección 2 – Establecimiento del Control Interno

Presentación del Marco Integrado de Control Interno para el
Sector Público
El presente documento establece el Marco corruptos en los diversos procesos realizados por la
Integrado de Control Interno para el Sector Público institución. Ésta última debe tener un control
(el Marco), acordado en el seno del Sistema Nacional interno acorde con su mandato, naturaleza, tamaño
de Fiscalización (SNF), el cual es aplicable a toda y las disposiciones jurídicas para cumplir con los
institución del sector público, independientemente objetivos para los que fue creada.
del orden de gobierno en que se encuadre
(Federal, Estatal o Municipal) el Poder al que El Marco es aplicable a todas las categorías de
pertenezca (Ejecutivo, Legislativo, Judicial u Órganos objetivos. Sin embargo, su enfoque no es limitativo,
Constitucionales Autónomos) y en atención a las ni pretende interferir o contraponerse con las
disposiciones jurídicas aplicables. disposiciones jurídicas y normativas aplicables. En la
implementación de este Marco, los titulares de las
El Marco provee criterios para evaluar el diseño, la
unidades administrativas asumen la
implementación y la eficacia operativa del control
responsabilidad de diseñar las políticas y
interno en las instituciones del sector público y para
procedimientos que se ajusten a las disposiciones
determinar si el control interno es apropiado y
jurídicas y normativas y a las circunstancias
suficiente para cumplir con las tres categorías de
específicas de la institución, así como de incluirlos
objetivos: operación, información y cumplimiento,
como una parte inherente a sus operaciones.
incluyendo la protección de la integridad y la
prevención de actos
1
Componentes, Principios y Puntos de Interés del Control Interno
Cada institución cuenta con un mandato particular, El Titular, con el apoyo de la Administración, y con
del que derivan atribuciones y obligaciones la vigilancia del Órgano de Gobierno en los casos
concretas. De igual modo, se alinea a Programas y que proceda, debe establecer objetivos de control
Planes Nacionales, sectoriales o regionales interno a nivel institución, unidad, función y
específicos, así como a otros instrumentos actividades específicas. Todo el personal, en sus
vinculatorios en función de las disposiciones jurídicas respectivos ámbitos de acción, aplica el control
aplicables. interno para contribuir a la consecución de los
objetivos institucionales.
Dentro de esa estructura de facultades y obligaciones,
cada institución formula objetivos de control Aunque existen diferentes maneras de representar al
interno para asegurar, de manera razonable, que sus control interno, este Marco lo define como una
objetivos institucionales, contenidos en un plan estructura jerárquica de 5 componentes, 17 principios
estratégico, serán alcanzados de manera eficaz, y diversos puntos de interés relevantes.
eficiente y económica.
Fuente: Adaptado de las Normas de Control Interno en el Gobierno Federal, GAO.
Los componentes del control interno representan el evalúa los riesgos a los que se enfrenta la
nivel más alto en la jerarquía del Marco. Los cuales
deben ser diseñados e implementados
adecuadamente y deben operar en conjunto y de
manera sistémica, para que el control interno sea
apropiado. Los cinco componentes de control
interno son:
• Ambiente de Control. Es la base del control

interno. Proporciona disciplina y estructura
para apoyar al personal en la consecución de
los objetivos institucionales.
• Administración de Riesgos. Es el proceso que
1
institución en la procuración del

cumplimiento de sus objetivos. Esta
evaluación provee las bases para identificar
los riesgos, analizarlos, catalogarlos,
priorizarlos y desarrollar respuestas que
mitiguen su impacto en caso de
materialización, incluyendo los riesgos de
corrupción.
• Actividades de Control. Son

aquellas acciones establecidas, a
través de políticas y procedimientos, por
los responsables de las unidades
administrativas para alcanzar los objetivos
institucionales y responder a sus riesgos
asociados, incluidos los de corrupción y
los de sistemas de información.
1
• Información y Comunicación. Es la información y entenderlos, así como de ejercer su juicio

de calidad que la Administración y los demás profesional para el cumplimiento del Marco, en el
servidores públicos generan, obtienen, utilizan y
entendido de que ésta establece procesos generales
comunican para respaldar el sistema de control
para el diseño, la implementación y la operación del
interno y dar cumplimiento a su mandato legal.
control interno. A continuación se mencionan cada
uno de los 5 componentes de control interno y se
• Supervisión. Son las actividades establecidas
detallan sus 17 principios asociados.
y operadas por las unidades específicas que el
Titular ha designado, con la finalidad de mejorar
Ambiente de Control
de manera continua al control interno
mediante una vigilancia y evaluación
Principio 1. El Órgano de Gobierno, en su caso, el
periódicas a su eficacia, eficiencia y economía.
Titular y la Administración deben mostrar una actitud
La supervisión es responsabilidad de la
de respaldo y compromiso con la integridad, los
Administración en cada uno de los procesos valores éticos, las normas de conducta y la
que realiza, y se apoya, por lo general, en el prevención de irregularidades administrativas y la
área de auditoría interna o unidades corrupción.
específicas para llevarla a cabo. Las
Entidades Fiscalizadoras Superiores y otros Principio 2. El Titular y la Administración son
revisores externos proporcionan una supervisión responsables de supervisar el funcionamiento del
adicional cuando revisan el control interno de la control interno, a través de las unidades que
institución, ya sea a nivel institución, división, establezca para tal efecto.
unidad administrativa o función. La supervisión
contribuye a la optimización permanente del Principio 3. El Titular y la Administración deben
control interno y, por lo tanto, a la calidad en autorizar, conforme a las disposiciones jurídicas y
el desempeño de las operaciones, la normativas aplicables, la estructura organizacional,
salvaguarda de los recursos públicos, la asignar responsabilidades y delegar autoridad para
prevención de la corrupción, la oportuna alcanzar los objetivos institucionales, preservar la
resolución de los hallazgos de auditoría y de integridad, prevenir la corrupción y rendir cuentas de
otras revisiones, así como a la idoneidad y los resultados alcanzados.
suficiencia de los controles implementados.
Principio 4. El Titular y la Administración, son
Los 17 principios respaldan el diseño, implementación responsables de promover los medios necesarios para
y operación de los componentes asociados de contratar, capacitar y retener profesionales
control interno y representan los requerimientos competentes.
necesarios para establecer un control interno
apropiado, es decir, eficaz, eficiente, económico y Principio 5. La Administración, debe evaluar el
suficiente conforme a la naturaleza, tamaño, desempeño del control interno en la institución y
disposiciones jurídicas y mandato de la institución. hacer responsables a todos los servidores públicos
por sus obligaciones específicas en materia de
Adicionalmente, el Marco contiene información control interno.
específica presentada como puntos de interés, los
cuales tienen como propósito proporcionar al Administración de Riesgos
Titular y a la Administración, material de
orientación para el diseño, implementación y Principio 6. El Titular, debe formular un plan estratégico
operación de los principios a los que se encuentran que de manera coherente y ordenada oriente los
asociados. Los puntos de interés dan mayores esfuerzos institucionales hacia la consecución de los
detalles sobre el principio asociado al que atienden objetivos relativos a su mandato y las disposiciones
y explican de manera más precisa los jurídicas y normativas aplicables, asegurando
requerimientos para su implementación y además que dicha planeación estratégica
documentación, por lo que orientan sobre la contempla la alineación institucional a los Planes
temática que debe ser abordada. Los puntos de nacionales, regionales, sectoriales y todos los demás
interés también proporcionan antecedentes sobre instrumentos y normativas vinculatorias que
cuestiones planteadas en el Marco. correspondan.
Los puntos de interés se consideran relevantes Al elaborar el plan estratégico de la institución,

para la implementación del Marco. Por su parte, la armonizado con su mandato y con todos los
Administración tiene la responsabilidad de conocerlos
1
documentos pertinentes, de acuerdo con las

disposiciones legales aplicables, el Titular, deberá
asegurarse de que los objetivos y metas específicas
contenidas en el mismo
1
son claras y que permiten la identificación de documentadas y formalmente establecidas sus

riesgos y la definición de la tolerancia a éstos en los actividades de control, las cuales deben ser
diversos procesos que se realizan en la institución. apropiadas, suficientes e idóneas para enfrentar los
riesgos a los que están expuestos sus procesos.
Principio 7. La Administración, debe identificar,
analizar y responder a los riesgos asociados al Información y Comunicación
cumplimiento de los objetivos institucionales, así
como de los procesos por los que se obtienen los
Principio 13. La Administración, debe implementar los
ingresos y se ejerce el gasto, entre otros.
medios que permitan a cada unidad administrativa
elaborar información pertinente y de calidad para
Principio 8. La Administración, debe considerar la
la consecución de los objetivos institucionales y el
posibilidad de ocurrencia de actos de corrupción,
cumplimiento de las disposiciones aplicables a la
fraude, abuso, desperdicio y otras irregularidades gestión financiera.
relacionadas con la adecuada salvaguarda de los
recursos públicos, al identificar, analizar y
Principio 14. La Administración, es responsable de
responder a los riesgos, en los diversos procesos
que cada unidad administrativa comunique
que realiza la institución.
internamente, por los canales apropiados y de
conformidad con las disposiciones aplicables, la
Principio 9. La Administración, debe identificar,
información de calidad necesaria para contribuir a
analizar y responder a los cambios significativos que la consecución de los objetivos institucionales y la
puedan impactar al control interno. gestión financiera.
Actividades de Control
que cada unidad administrativa comunique
Principio 10. La Administración, debe diseñar, externamente, por los canales apropiados y de
actualizar y garantizar la suficiencia e idoneidad de conformidad con las disposiciones aplicables, la
las actividades de control establecidas para lograr información de calidad necesaria para contribuir a
los objetivos institucionales y responder a los riesgos. la consecución de los objetivos institucionales y la
En este sentido, la Administración es responsable gestión financiera.
de que existan controles apropiados para hacer
frente a los riesgos que se encuentran presentes en
Supervisión
cada uno de los procesos que realizan, incluyendo
los riesgos de corrupción.
Principio 16. La Administración, debe establecer
actividades para la adecuada supervisión del
Principio 11. La Administración, debe diseñar los
control interno y la evaluación de sus resultados, en
sistemas de información institucional y las actividades todas las unidades administrativas de la institución.
de control relacionadas con dicho sistema, a fin de Conforme a las mejores prácticas en la materia, en
alcanzar los objetivos y responder a los riesgos. dichas actividades de supervisión contribuye
generalmente el área de auditoría interna, la que
Principio 12. La Administración, debe implementar reporta sus resultados directamente al Titular o,
las actividades de control a través de políticas, en su caso, el Órgano de Gobierno.
procedimientos y otros medios de similar
naturaleza. En este sentido, la Administración es
responsable de que en sus unidades
que se corrijan oportunamente las deficiencias de
administrativas se encuentren
control interno detectadas.
1
El Control Interno y la Institución

Existe una relación directa entre los objetivos de institución para alcanzar sus objetivos institucionales.
la institución, los cinco componentes de control La estructura organizacional abarca a todas las
interno (con sus principios y puntos de interés) y unidades administrativas, los procesos, atribuciones,
la estructura organizacional. Los objetivos son los funciones y todas las estructuras que la institución
fines que debe alcanzar la institución, con base establece para alcanzar sus objetivos.
en su propósito, mandato y disposiciones jurídicas
aplicables. Los cinco componentes de control El Marco presenta dicha relación en la forma de un
interno son los requisitos necesarios que debe cubo.
cumplir una
Fuente: Adaptado del Informe COSO 2013.
Las tres categorías en las que se pueden clasificar entre sí desde la etapa de diseño, implementación
los objetivos de la institución son representadas por y operación. Dos instituciones no pueden tener un
las columnas en la parte superior del cubo. Los control interno idéntico, debido a distintos factores
cinco componentes de control interno son como son, entre otros, la misión, las disposiciones
representados por las filas. La estructura jurídicas y normativo aplicables, el plan estratégico,
organizacional es representada por la tercera el tamaño de la institución, la tolerancia al riesgo y las
dimensión del cubo. tecnologías de información con que cuentan, así
como el juicio profesional empleado por los
Cada componente de control interno aplica a las
responsables para responder a las circunstancias
tres categorías de objetivos y a la estructura
específicas.
organizacional.
El control interno es un proceso dinámico,

integrado y continuo en el que los componentes
interactúan
1
Responsabilidades y Funciones en el Control Interno

El control interno es parte de las responsabilidades De igual modo, la Administración, por lo
del Titular de la institución, quien cumple con éstas a general, cuenta con el apoyo adicional de
través del apoyo de la Administración (mandos unidades especializadas para diseñar,
superiores y medios) y del resto de los servidores implementar y operar el control interno en los
públicos. Por ello, los cinco componentes del Marco procesos de los cuales son responsables (comité
se presentan en el contexto del Titular u Órgano / unidad de administración de riesgos, comité /
de Gobierno y de la Administración de la institución. unidad de cumplimiento legal, comité / unidad
No obstante, todos los servidores públicos son de control interno, comité
responsables del control interno. En general, las / unidad de ética, etc.), por lo que en dichos
funciones y responsabilidades del control interno en casos se trata de una responsabilidad que
una institución se pueden categorizar de la siguiente comparten la Administración y las unidades
manera: especializadas. En estos casos de co-
responsabilidad, deben existir en la institución
• Órgano de Gobierno y/o Titular. Es responsable
líneas claras de autoridad que delimiten la
de vigilar la dirección estratégica de la
responsabilidad de cada servidor público, a fin
institución y el cumplimiento de las
de permitir una adecuada rendición de cuentas
obligaciones relacionadas con la rendición de
y la oportuna corrección de debilidades
cuentas, lo cual incluye supervisar, en
detectadas en el control interno.
general, que la Administración diseñe,
implemente y opere un control interno • Servidores públicos. Todos los servidores públicos
apropiado, con el apoyo, en su caso, de de la institución, distintos al Titular y a la
unidades especializadas y establecidas para Administración, que apoyan en el diseño,
tal efecto. Por lo general, las unidades de implementación y operación del control interno,
auditoría interna apoyan la supervisión del y son responsables de informar sobre
control interno e informan de sus hallazgos y cuestiones o deficiencias relevantes que
áreas de oportunidad directamente al Órgano de hayan identificado en relación con los
Gobierno o al Titular. Para efecto del Marco, la objetivos institucionales de operación,
vigilancia por parte del Órgano de Gobierno, en información, cumplimiento legal, salvaguarda
su caso, o del Titular está implícita en cada de los recursos y prevención de la corrupción.
componente y principio.
• Instancia de Supervisión. Es la unidad
• Administración. Es directamente responsable independiente de los responsables directos de
de todas las actividades de la institución. Lo los procesos, que evalúa el adecuado diseño,
anterior incluye el diseño, la implementación y implementación y operación del control
la eficacia operativa del control interno. La interno.
responsabilidad de la Administración en materia
de control interno varía de acuerdo con las La siguiente Figura ilustra de manera general las
atribuciones y funciones que tiene asignadas en responsabilidades institucionales en relación con el
la estructura organizacional. control interno.
2
RESPONSABLES DE LA IMPLEMENTACIÓN Y MEJORA CONTINUA DEL CONTROL INTERNO
* Unidades especializadas: Comité de Riesgos, Comité de Cumplimiento, Unidad de Control Interno, Comité de Ética, etc.
Las Entidades Fiscalizadoras Superiores y otros funcionamiento, realizan contribuciones favorables y

órganos revisores externos no son responsables promueven su fortalecimiento y mejora continua. La
directos de la implementación, suficiencia e responsabilidad sobre el control interno recae sobre el
idoneidad del control interno en la institución. No Titular de la institución y la Administración.
obstante, derivado de las revisiones que
practican para conocer su
Objetivos de la Institución
permitan identificar, analizar, evaluar su avance y
El Titular, con la participación de la Administración,
responder a sus riesgos asociados.
y bajo la supervisión del Órgano de Gobierno,
cuando proceda, debe establecer objetivos para
Categorías de Objetivos
alcanzar el mandato, la misión y visión institucionales;
los objetivos del Plan Nacional de Desarrollo, el Plan
Los objetivos se pueden agrupar en una o más de las
Estatal de Desarrollo, los Programas Sectoriales,
siguientes categorías:
Especiales y demás planes y programas, de acuerdo
con los requerimientos y expectativas de la
• Operación. Eficacia en el logro de los
planeación estratégica y el cumplimiento de las objetivos institucionales, eficiencia en el uso y
disposiciones jurídicas y normativas. Se debe incluir el aplicación de los recursos y economía en las
establecimiento de objetivos como parte del entradas necesarias para las operaciones y
proceso de planeación estratégica. demás actividades.
La Administración, como parte del diseño del • Información. Confiabilidad de los informes
control interno, debe definir objetivos medibles y internos y externos.
claros, así como normas e indicadores de
desempeño que
2
• Cumplimiento. Apego a las disposiciones • Objetivos de Informes Internos Financieros y

jurídicas y normativas aplicables, lo que No Financieros. Relativos a la recopilación y
incluye la salvaguarda de la legalidad,
comunicación de la información necesaria
honradez, lealtad, imparcialidad, eficiencia y
para evaluar el desempeño de la institución en
prevención de la corrupción en el desempeño
el logro de sus objetivos y programas, los
institucional.
cuales son la base para la toma de decisiones
al respecto.
Objetivos de Operación
Objetivos de Cumplimiento
Se relacionan con las actividades que permiten
alcanzar el mandato legal, la misión y visión En el sector público, estos objetivos son muy
institucional. El mandato legal está definido por una significativos. Las disposiciones jurídicas y
serie de documentos jurídicos obligatorios que debe normativas prescriben los objetivos, la estructura y
observar la institución, como pueden ser la los mecanismos para la consecución de los objetivos
Constitución Política de los Estados Unidos institucionales y el reporte del desempeño de la
Mexicanos, la ley orgánica de la institución, su institución. La Administración debe considerar de
reglamento interior, estatuto orgánico, decreto de manera integral los objetivos de cumplimiento legal
creación o documento análogo. En los planes y normativo, así como determinar qué controles
estratégicos se deben precisar los objetivos y metas diseñar, implementar y operar para que la institución
institucionales. Las operaciones eficaces producen los alcance dichos objetivos eficazmente.
resultados esperados de los procesos operativos,
mientras que las operaciones eficientes se generan al Como parte de la especificación de los objetivos de
utilizar adecuadamente los recursos asignados para cumplimiento, la institución tiene determinadas leyes
ello, y la economía se refleja en la minimización de y regulaciones que le aplican.
los costos, la reducción en el desperdicio de
recursos y la maximización de los resultados. Salvaguarda de los Recursos Públicos y Prevención de
Actos de Corrupción
A partir de los objetivos estratégicos, el Titular, con el
apoyo de la Administración, debe establecer Un subconjunto de las tres categorías de objetivos es
objetivos y metas específicos para las diferentes la salvaguarda de los recursos públicos y la
unidades de la estructura organizacional. Al prevención de actos de corrupción. La Administración
vincular los objetivos con el mandato legal, misión es responsable de establecer y mantener un control
y visión institucionales, se mejora la eficacia, la interno que:
eficiencia y la economía de los programas
operativos para alcanzar su mandato y se previene • Proporcione una seguridad razonable sobre el
la posible ocurrencia de actos corruptos en la adecuado ejercicio, utilización o disposición de
institución. los recursos públicos;
Objetivos de Información • Prevenga actos corruptos;
Se relacionan con la preparación de informes para • Detecte y corrija oportunamente las irregularidades,
uso de la institución, sus partes interesadas y diversas en caso de que se materialicen; y
instancias externas. Se pueden agrupar en tres
subcategorías: • Permita determinar, de manera clara, las
responsabilidades específicas del personal que
• Objetivos de Informes Financieros Externos. posibilitó o participó en la ocurrencia de las
Relacionados con la publicación de irregularidades.
información sobre el desempeño financiero de
la institución según las disposiciones jurídicas
Establecimiento de Objetivos Específicos
y normativas aplicables, así como las
expectativas de las partes interesadas.
A partir de los objetivos estratégicos, el Titular
debe desarrollar, con la participación de la
• Objetivos de Informes No Financieros Externos.
Administración, los objetivos específicos para toda
Asociados con la publicación de información
la estructura organizacional. El Titular define
no financiera, según las disposiciones jurídicas y
objetivos específicos, con normas e indicadores de
normativas aplicables, así como las
desempeño, que deben ser comunicados al
expectativas de las partes interesadas.
2
personal responsable de su consecución. El

Titular, la Administración y los demás
2
servidores públicos requieren comprender los de cuentas como parte inherente del funcionamiento
objetivos estratégicos, sus objetivos específicos y las del control interno.
normas e indicadores de desempeño que aseguren la
rendición
Sección 3 – Evaluación del Control Interno

El propósito de esta sección es proporcionar al para evaluar si el control interno de la institución es
Órgano de Gobierno, al Titular, a la Administración apropiado (véase la sección 1, sexto párrafo de
y a las instancias de supervisión, los elementos a este Marco).
considerar
Elementos de un Control Interno Apropiado

Un control interno apropiado proporciona una • Los cinco componentes y los 17 principios operen
seguridad razonable sobre la consecución de los en conjunto y de manera sistémica.
objetivos institucionales. Para ello es necesario que:
Si un principio o un componente no cumple con
• Cada uno de los 5 componentes y los 17
estos requisitos o si los componentes no operan en
principios del control interno sea diseñado,
conjunto de manera sistémica, el control interno no
implementado y operado adecuadamente,
es apropiado.
conforme al mandato y circunstancias
específicas de la institución.
Aspectos de la Evaluación del Control Interno

Diseño e Implementación Al evaluar la eficacia operativa del control
interno, la Administración debe determinar si se
Al evaluar el diseño del control interno, se debe aplicaron controles de manera oportuna durante
determinar si los controles, por sí mismos y en el periodo
conjunto con otros, permiten alcanzar los objetivos y
responder a sus riesgos asociados. Para evaluar la
implementación, la Administración debe determinar si
el control existe y si se ha puesto en operación. Un
control no puede ser efectivamente implementado si
su diseño es deficiente.
Una deficiencia en el diseño ocurre cuando:
• Falta un control necesario para lograr un

objetivo
de control.
• Un control existente está diseñado de modo

que, incluso si opera de acuerdo al diseño, el
objetivo de control no puede alcanzarse.
Existe una deficiencia en la implementación cuando

un control, adecuadamente diseñado, se establece
de manera incorrecta.
Eficacia Operativa
2
bajo revisión, la consistencia con la que éstos fueron

aplicados, así como el personal que los aplicó y los
medios utilizados para ello. Si se utilizaron controles
sustancialmente diferentes en distintas etapas del
periodo bajo revisión, la Administración debe evaluar la
eficacia operativa de manera separada por cada
procedimiento individual de control aplicado. Un control
carece de eficacia operativa si no fue diseñado e
implementado eficazmente.
Una deficiencia en la operación se presenta cuando un

control diseñado adecuadamente, se ejecuta de manera
distinta a como fue diseñado, o cuando el servidor
público que ejecuta el control no posee la autoridad o
la competencia profesional necesaria para aplicarlo
eficazmente.
Efecto de las Deficiencias en el Control Interno
La Administración debe evaluar las deficiencias en los

controles que fueron detectadas por medio de las
evaluaciones continuas (autoevaluaciones) o mediante
evaluaciones independientes, efectuadas por revisores
internos y externos, generalmente, los auditores internos y
las Entidades de Fiscalización Superior, respectivamente.
Una deficiencia de control interno existe cuando el
diseño, la implementación o la operación de un control
imposibilitan a la Administración o a los demás servidores
2
públicos, en el desarrollo normal de sus funciones, relevancia de las deficiencias, se debe considerar la
la consecución de los objetivos de control y la correlación existente entre diferentes deficiencias o
respuesta a los riesgos asociados. grupos de éstas. La evaluación de deficiencias varía
en cada institución debido a las diferencias entre
La Administración debe evaluar la relevancia de las
deficiencias identificadas. Ésta se refiere a la
importancia relativa de una deficiencia en el La Administración debe determinar si cada uno de
cumplimiento de los objetivos institucionales. Para los 17 principios se ha diseñado, implementado y
definir la relevancia de las deficiencias, se debe operado apropiadamente, así como elaborar un
evaluar su efecto sobre la consecución de los informe ejecutivo al respecto. Como parte de este
objetivos, tanto a nivel institución como de informe, la Administración debe considerar el impacto
transacción. También se debe evaluar la que las deficiencias identificadas tienen sobre los
relevancia de las deficiencias considerando la requisitos de documentación. Para mayores detalles
magnitud del impacto, la probabilidad de ocurrencia sobre la documentación del control interno, véase
y la naturaleza de la deficiencia. la sección 4, párrafos noveno y décimo de este
Marco. La Administración puede considerar los
La magnitud del impacto hace referencia al efecto
puntos de interés asociados con los principios como
probable que la deficiencia tendría en el
parte del informe ejecutivo.
cumplimiento de los objetivos, y en ella inciden
factores como el tamaño, la recurrencia y la Si un principio no se encuentra diseñado,
duración del impacto de la deficiencia. Una implementado y operando eficazmente, el
deficiencia puede ser más significativa para un componente respectivo es ineficaz e inapropiado.
objetivo que para otro.
Con base en los resultados del informe ejecutivo
La probabilidad de ocurrencia se refiere a la de cada principio, la Administración concluye si el
posibilidad de que la deficiencia efectivamente se diseño, la implementación y la eficacia operativa
materialice e impacte la capacidad institucional de cada uno de los cinco componentes de control
para cumplir con sus objetivos. interno es apropiada. La Administración también
debe considerar si los cinco componentes operan
La naturaleza de la deficiencia involucra factores
eficaz y apropiadamente en conjunto. Si uno o más
como el grado de subjetividad de la deficiencia y si
de los cinco componentes no es apropiadamente
ésta surge por corrupción, fraude o transgresiones
diseñado, implementado y operado, o si no se
legales o a la integridad.
desarrolla de manera integral y sistémica, entonces el
control interno no es efectivo. Tales
El Órgano de Gobierno, en su caso, o el Titular
determinaciones dependen del juicio profesional,
debe supervisar, generalmente con apoyo de
por lo que se debe ejercer con sumo cuidado y
auditoría interna, la adecuada evaluación que al
diligencia profesionales, y sobre la base de
efecto haya realizado la Administración respecto de
conocimientos, competencias y aptitudes técnicas y
las deficiencias identificadas.
profesionales adecuadas y suficientes.
Las deficiencias deben ser evaluadas tanto
individualmente como en conjunto. Al evaluar la
Sección 4 – Consideraciones Adicionales

Servicios Tercerizados
La Administración puede contratar a terceros
autorizados para desempeñar algunos procesos responsabilidad sobre el desempeño de las
operativos para la institución, tales como servicios actividades realizadas por los servicios tercerizados.
de tecnologías de información y comunicaciones,
En consecuencia, la Administración debe entender
servicios de mantenimiento, servicios de seguridad
los controles que cada servicio tercerizado ha
o servicios de limpieza, entre otros. Para efectos
diseñado, implementado y operado para realizar los
del Marco, estos actores externos son referidos
procesos operativos contratados, así como el modo en
como “servicios tercerizados”. No obstante, la
que el control interno de dichos terceros impacta en el
Administración conserva la
2
control interno.
2
La Administración debe determinar si los controles • Las normas de conducta de los servicios
internos establecidos por los servicios tercerizados tercerizados.
son apropiados para asegurar que la institución
alcance sus objetivos y responda a los riesgos • La calidad y la frecuencia de los esfuerzos de
asociados, o si se deben establecer controles los servicios tercerizados por mantener las
complementarios en el control interno de la normas de conducta en su personal.
institución.
• La magnitud y complejidad de las operaciones
La Administración debe considerar, entre otros, los de los servicios tercerizados y su estructura
siguientes criterios al determinar el grado de organizacional.
supervisión que requerirán las actividades realizadas
por los servicios tercerizados: • El alcance, suficiencia e idoneidad de los
controles de los servicios tercerizados para la
• La naturaleza de los servicios contratados y los consecución de los objetivos para los que
riesgos que representan. fueron contratados, y para responder a los
riesgos asociados con las actividades
contratadas.
Instituciones Grandes o Pequeñas
Los 17 principios aplican tanto a instituciones grandes
como pequeñas. Sin embargo, las instituciones No obstante, una institución pequeña enfrenta
pequeñas pueden tener diferentes enfoques de mayores retos en la segregación de funciones
implementación. Éstas, generalmente tienen ventajas debido a la concentración de responsabilidades y
particulares, que pueden contribuir a que su control autoridades en su estructura organizacional. Sin
interno sea apropiado. Asimismo, pueden incluir un embargo, la Administración debe responder a este
mayor nivel de participación de la Administración riesgo mediante el diseño apropiado del control
en los procesos operativos y una interacción directa interno, por ejemplo añadiendo niveles adicionales
de ésta con el personal. de revisión para procesos operativos clave; efectuando
revisiones aleatorias a las transacciones y su
documentación soporte; practicando conteos
periódicos a los activos o supervisando las
conciliaciones.
Costos y Beneficios del Control Interno

El Control Interno provee amplios beneficios a la La Administración debe decidir cómo evaluar el
institución. Proporciona a los responsables de los costo- beneficio del establecimiento de un control
procesos operativos una mayor confianza respecto interno apropiado mediante distintos enfoques. Sin
del cumplimiento de sus objetivos, brinda embargo, el costo por sí mismo no es una razón
retroalimentación sobre qué tan eficaz es su operación suficiente para evitar la implementación de
y ayuda a reducir los riesgos asociados con el controles internos. Las consideraciones del costo-
cumplimiento de los objetivos institucionales. Se deben beneficio respaldan la capacidad de la institución
considerar diversos factores de costos relacionados para diseñar, implementar y operar apropiadamente
con los beneficios esperados al diseñar e un control interno que equilibre la asignación de
implementar controles internos. La complejidad de la recursos en relación con las áreas de mayor riesgo,
determinación del costo-beneficio depende de la la complejidad u otros factores relevantes.
interrelación de los controles con los procesos
operativos. Cuando los controles están integrados
con los procesos operativos, es difícil aislar tanto sus
costos como sus beneficios.
2
Documentación del Control Interno

La documentación y formalización son una parte debilidades o áreas de oportunidad en el
importante y necesaria del control interno. El grado control interno.
y naturaleza de la documentación y formalización
varían según el tamaño y complejidad de los procesos • Evaluar, documentar, formalizar y completar,
operativos de la institución. La Administración utiliza oportunamente, las acciones correctivas
el juicio profesional, la debida diligencia y las correspondientes para la resolución de las
disposiciones jurídicas y normativas aplicables para deficiencias identificadas.
determinar el grado de documentación y
formalización requerido para el control interno, éstas • Documentar y formalizar, de manera oportuna,
últimas son necesarias para lograr que el control las acciones correctivas impuestas para la
interno sea eficaz y apropiadamente diseñado, resolución de las deficiencias identificadas.
implementado y operado. La Administración debe
cumplir, como mínimo, con los siguientes requisitos de Es necesario ejercer el juicio profesional y observar
documentación y formalización del control interno: las disposiciones jurídicas y normativas aplicables con
el propósito de determinar qué documentación
• Documentar, formalizar y actualizar
adicional puede ser necesaria para lograr un control
oportunamente
interno apropiado. Si la Administración identifica
su control interno.
deficiencias en el cumplimiento de estos requisitos
de documentación y formalización, el efecto de las
• Documentar y formalizar, mediante políticas y
deficiencias debe ser considerado en el resumen
procedimientos, las responsabilidades de todo
elaborado relativo al diseño, implementación y
el personal respecto del control interno.
eficacia operativa de los principios asociados.
• Documentar y formalizar los resultados de
las autoevaluaciones y las evaluaciones
independientes para identificar problemas,
Aplicación en las Instituciones
El Marco está diseñado para aplicarse como un

modelo de control interno para todas las instituciones
del Sector Público Federal, Estatal y Municipal. Cada
institución puede adaptar dicho modelo general a
su realidad operativa y circunstancias específicas, y
acatar los componentes, principios y puntos de
interés del Marco.
2
4 Componentes de Control Interno

Ambiente de Control
Es la base del control interno. Proporciona la disciplina y estructura que impactan a la calidad de todo el control interno. Influy
Principios
1. El Órgano de Gobierno, en su caso, el Titular organizacional, asignar responsabilidades y

y la Administración deben mostrar una actitud delegar autoridad para alcanzar los objetivos
de respaldo y compromiso con la integridad, institucionales, preservar la integridad, prevenir
los valores éticos, las normas de conducta, así la corrupción y rendir cuentas de los resultados
como la prevención de irregularidades alcanzados.
administrativas y la corrupción.
4. La Administración, es responsable de establecer
2. El Órgano de Gobierno, en su caso, o el los medios necesarios para contratar,
Titular es responsable de vigilar el capacitar y retener profesionales
funcionamiento del control interno, a través de competentes.
la Administración y las instancias que
establezca para tal efecto. 5. La Administración, debe evaluar el
desempeño del control interno en la
3. El Titular debe autorizar, con apoyo de la institución y hacer responsables a todos los
Administración y conforme a las disposiciones servidores públicos por sus obligaciones
jurídicas y normativas aplicables, la estructura específicas en la materia.
Principio 1 – Mostrar Actitud de Respaldo y Compromiso

1.01 El Órgano de Gobierno, en su caso, el Titular y la
Administración deben mostrar una actitud de respaldo • Programa de Promoción de la Integridad y
y compromiso con la integridad, los valores éticos, Prevención de la Corrupción
las normas de conducta, así como la prevención de
irregularidades administrativas y la corrupción. • Apego, Supervisión y Actualización Continua
del Programa de Promoción de la Integridad y
Puntos de Interés
Prevención de la Corrupción
Los siguientes puntos de interés contribuyen al
diseño, implementación y eficacia operativa de este
principio:
• Actitud de Respaldo del Titular y la

Administración
• Normas de Conducta
• Apego a las Normas de Conducta
3
Actitud de Respaldo del Titular y la Administración
1.02 El Órgano de Gobierno, en su caso, el Titular y en la institución. De igual manera, deben reforzar el
la Administración deben demostrar la importancia compromiso de hacer lo correcto y no sólo de
de la integridad, los valores éticos y las normas de
mantener un nivel mínimo de desempeño para
conducta en sus directrices, actitudes y
cumplir con las disposiciones jurídicas y normativas
comportamiento.
aplicables, a fin de que estas prioridades sean
comprendidas por todas las partes interesadas, tales
1.03 El Órgano de Gobierno, en su caso, el Titular y
como reguladores, empleados y el público en general.
la Administración deben guiar a través del ejemplo
sobre los valores, la filosofía y el estilo operativo de la
1.05 La actitud de respaldo de los titulares y la
institución. Asimismo, deben establecer la actitud de
Administración puede ser un impulsor, como se
respaldo en toda la institución a través de su
muestra en los párrafos anteriores, o un obstáculo
actuación y ejemplo, lo cual es fundamental para
para el control interno. Sin una sólida actitud de
lograr un control interno apropiado y eficaz. En las
respaldo de éstos para el control interno, la
instituciones más grandes, los distintos niveles
identificación de riesgos puede quedar incompleta,
administrativos en la estructura organizacional
la respuesta a los riesgos puede ser inapropiada,
también pueden establecer la “actitud de respaldo de
las actividades de control pueden no ser diseñadas
la Administración”.
o implementadas apropiadamente, la información y
la comunicación pueden debilitarse; asimismo, los
1.04 Las directrices, actitudes y conductas del Órgano
resultados de la supervisión pueden no ser
de Gobierno, en su caso, y del Titular deben reflejar
comprendidos o pueden no servir de base para
la integridad, los valores éticos y las normas de
corregir las deficiencias detectadas.
conducta que se esperan por parte de los
servidores públicos
Normas de Conducta
1.06La Administración debe establecer directrices 1.07 La Administración, con la supervisión del Órgano
para comunicar las expectativas en materia de de Gobierno o Titular, debe definir las expectativas
integridad, valores éticos y normas de conducta. que guarda la institución respecto de los valores éticos
Todo el personal de la institución debe utilizar los en las normas de conducta. La Administración debe
valores éticos y las normas de conducta para considerar la utilización de políticas, principios de
equilibrar las necesidades y preocupaciones de los operación o directrices para comunicar las normas
diferentes grupos de interés, tales como de conducta de la institución.
reguladores, empleados y el público en general. Las
normas de conducta deben guiar las directrices,
actitudes y conductas del personal hacia el logro de
sus objetivos.
Apego a las Normas de Conducta asuntos relevantes a través de líneas de comunicación,

tales como reuniones periódicas del
1.08 La Administración debe establecer procesos
para evaluar el desempeño del personal frente a las
normas de conducta de la institución y atender
oportunamente cualquier desviación identificada.
1.09 La Administración debe utilizar las normas de

conducta como base para evaluar el apego a la
integridad, los valores éticos y las normas de
conducta en toda la institución. Para asegurar que
las normas de conducta se aplican eficazmente,
también debe evaluar las directrices, actitudes y
conductas de los servidores públicos y los equipos.
Las evaluaciones pueden consistir en
autoevaluaciones y evaluaciones independientes.
Los servidores públicos deben informar sobre
3
personal, procesos de retroalimentación, un

programa o línea ética de denuncia, entre
otros. El Titular debe evaluar el apego de la
Administración a las normas de conducta,
así como el cumplimiento general en la
institución.
1.10 La Administración debe determinar el

nivel de tolerancia para las desviaciones.
Para tal efecto, puede establecerse un nivel
de tolerancia cero para el incumplimiento
de ciertas normas de conducta, mientras
que el incumplimiento de otras puede
atenderse mediante advertencias a los
servidores públicos. Asimismo, debe
establecer un proceso para la evaluación del
apego a las normas de conducta por parte
de los servidores públicos o de los equipos,
proceso que permite corregir las
desviaciones.
3
La Administración debe atender el incumplimiento a también debe tomar las acciones apropiadas y en su
las normas de conducta de manera oportuna y caso aplicar las leyes y reglamentos correspondientes.
consistente. Dependiendo de la gravedad de la Las normas de conducta que rigen al personal deben
desviación, determinada a través del proceso de mantenerse consistentes en toda la institución.
evaluación,
Programa de Promoción de la Integridad y Prevención

de la Corrupción
1.11 La Administración debe articular un programa, difusión y operación de la línea ética (o mecanismo)
política o lineamiento institucional de promoción de de denuncia anónima y confidencial de hechos
la integridad y prevención de la corrupción (programa
contrarios a la integridad; así como una función
de promoción de la integridad) que considere como
específica de gestión de riesgos de corrupción en la
mínimo la capacitación continua en la materia de
institución, como parte del componente de
todo el personal; la difusión adecuada de los
administración de riesgos (con todos los elementos
códigos de ética y conducta implementados; el
incluidos en dicho componente).
establecimiento,
Apego, Supervisión y Actualización Continua del Programa de Promoción de la

Integridad y Prevención de la Corrupción
1.12 La Administración debe asegurar una supervisión suficiente y eficaz, y corregir sus deficiencias con base
continua sobre la aplicación efectiva y apropiada del en los resultados de las evaluaciones internas y
programa de promoción de la integridad, medir si es
externas a que esté sujeta.
Principio 2 – Ejercer la Responsabilidad de Vigilancia

2.01 El Órgano de Gobierno, en su caso, o el Titular Titular debe vigilar las operaciones de la
es responsable de supervisar el funcionamiento del institución, ofrecer
control interno, a través de la Administración y las
instancias que establezca para tal efecto.
Puntos de Interés
principio:
Estructura de Vigilancia
2.02 El Órgano de Gobierno, en su caso, o el

Titular es responsable de establecer una estructura
de vigilancia adecuada en función de las
disposiciones jurídicas aplicables y la estructura y
características de la institución. Los informes y
hallazgos reportados por la instancia especializada
de vigilancia son la base para la corrección de las
deficiencias detectadas.
Responsabilidades del Órgano de Gobierno o del

Titular
2.03 El Órgano de Gobierno, en su caso, o el
3
• Estructura de Vigilancia
• Vigilancia General del Control Interno
• Corrección de Deficiencias
orientación constructiva a la Administración y, cuando

proceda, tomar decisiones de vigilancia para asegurar
que la institución logre sus objetivos en línea con el
programa de promoción de la integridad, los valores
éticos y las normas de conducta.
Requisitos de un Órgano de Gobierno
2.04 En la selección de los miembros de un Órgano de

Gobierno, en su caso, o del Titular se debe considerar el
conocimiento necesario respecto de la institución, los
conocimientos especializados pertinentes, el número de
3
miembros con que contará el Órgano y su los enfoques para identificar y responder a los
neutralidad, independencia y objetividad técnica riesgos, y evaluación de la eficacia del control
requeridos para cumplir con las responsabilidades interno).
de vigilancia en la institución.
• Experiencia en planeación estratégica,
2.05Los miembros del Órgano de Gobierno, en su incluyendo el conocimiento de la misión y visión
caso, o el Titular debe comprender los objetivos de la institucional, los programas clave y los
institución, sus riesgos asociados y las expectativas de procesos operativos relevantes.
sus grupos de interés. De igual modo, deben
demostrar experiencia, conocimientos especializados • Pericia financiera, incluyendo el proceso
y capacidades técnicas y profesionales apropiadas para la preparación de informes financieros
para realizar su función de vigilancia, particularmente (por ejemplo, la Ley General de Contabilidad
en materia de control interno, administración de Gubernamental y los requisitos para la emisión
riesgos y prevención de la corrupción. Los criterios de información financiera, contable y
para la designación, remoción y destitución del cargo programática presupuestaria).
como miembro del Órgano de Gobierno o el Titular
deben estar claramente establecidos, a fin de • Sistemas y tecnología relevantes (por ejemplo,
fortalecer la independencia de juicio y la objetividad la comprensión de riesgos y oportunidades de
en el desempeño de las funciones de vigilancia. los sistemas críticos).
2.06 Los miembros del Órgano de Gobierno, en su • Pericia legal y normativa (por ejemplo,
caso, o del Titular deben demostrar además la entendimiento de las disposiciones jurídicas y
pericia requerida para vigilar, deliberar y evaluar el normativas aplicables).
control interno de la institución. Las capacidades
que se esperan de todos los miembros de este • Pericia en programas y estrategias para la
Órgano o del Titular deben incluir la integridad, los salvaguarda de los recursos; la prevención,
valores éticos, las normas de conducta, el liderazgo, disuasión y detección de hechos de
el pensamiento crítico, la resolución de problemas y corrupción, y la promoción de ambientes de
competencias especializadas en prevención, integridad.
disuasión y detección de faltas a la integridad y
corrupción. 2.08Si lo autorizan las disposiciones jurídicas y
normativas aplicables, la institución también debe
2.07 Además, al determinar el número de
considerar la inclusión de miembros independientes
miembros que componen al Órgano de Gobierno,
en el Órgano de Gobierno. Sus miembros deben
se debe considerar la necesidad de incluir personal
revisar a detalle y cuestionar las actividades
con otras habilidades especializadas, que permitan
realizadas por el Titular y la Administración, deben
la discusión, ofrezcan orientación constructiva al
presentar puntos de vista alternativos, así como
Titular y favorezcan la toma de decisiones
tomar acción ante irregularidades, probables o reales.
adecuadas. Algunas habilidades especializadas
Los miembros independientes que cuentan con la
pueden incluir:
pericia pertinente deben proporcionar valor a través
de su evaluación imparcial de la institución y de sus
• Dominio de temas de control interno (por ejemplo,
operaciones.
el escepticismo profesional, perspectivas sobre
Vigilancia General del Control Interno
2.09El Órgano de Gobierno, en su caso, o el Titular de conducta, así como la estructura de vigilancia,
debe vigilar, de manera general, el diseño,
implementación y operación del control interno
realizado por la Administración. Las
responsabilidades del Órgano de Gobierno o del
Titular respecto del control interno son, entre otras,
las siguientes:
• Ambiente de Control. Establecer y promover

la integridad, los valores éticos y las normas
3
desarrollar expectativas de competencia

profesional y mantener la rendición de
cuentas ante todos los miembros del
Órgano de Gobierno, en su caso, o del
Titular y de las principales partes
interesadas.
• Administración de Riesgos. Vigilar la

evaluación de los riesgos que amenazan
el logro de objetivos, incluyendo el
impacto potencial de los cambios
significativos, la corrupción, el fraude
3
y la elusión de controles por parte de • Supervisión. Examinar la naturaleza y alcance

cualquier servidor público. de las actividades de supervisión de la
Administración, así como las evaluaciones
• Actividades de Control. Vigilar a la Administración realizadas por ésta y las acciones correctivas
en el desarrollo y ejecución de las actividades de implementadas para remediar las deficiencias
control. identificadas.
• Información y Comunicación. Analizar y discutir

la información relativa al logro de los objetivos
institucionales.
Corrección de Deficiencias
2.10 El Órgano de Gobierno, en su caso, o el organizacionales, o cuando los intereses de los

Titular debe proporcionar información a la miembros de la Administración pueden entrar en
Administración para dar seguimiento a la corrección
conflicto con los esfuerzos de corrección. En los
de las deficiencias detectadas en el control interno.
momentos que sea apropiado y autorizado, el
Órgano de Gobierno o el Titular, puede ordenar la
2.11 La Administración debe informar al Órgano
creación de grupos de trabajo para hacer frente o
de Gobierno, en su caso, o al Titular sobre aquellas
vigilar asuntos específicos, críticos para el logro de
deficiencias en el control interno identificadas; quien a
los objetivos de la institución.
su vez, evalúa y proporciona orientación a la
Administración para la corrección de tales
2.12 El Órgano de Gobierno, en su caso, o el Titular
deficiencias. El Órgano de Gobierno o el Titular,
es responsable de monitorear la corrección de las
también debe proporcionar orientación cuando una
deficiencias y de proporcionar orientación a la
deficiencia atraviesa los límites
Administración sobre los plazos para corregirlas.
Principio 3 – Establecer la Estructura, Responsabilidad y Autoridad

3.01 El Titular debe autorizar, con apoyo de la institucionales que le permitan lograr sus
Administración y conforme a las disposiciones objetivos y responder a sus riesgos asociados.
jurídicas y normativas aplicables, la estructura
organizacional, asignar responsabilidades y delegar
autoridad para alcanzar los objetivos
institucionales, preservar la integridad, prevenir la
corrupción y rendir cuentas de los resultados
alcanzados.
Puntos de Interés
principio:
Estructura Organizacional
3.02 El Titular debe instruir a la Administración y, en su

caso, a las unidades especializadas, el
establecimiento de la estructura organizacional
necesaria para permitir la planeación, ejecución,
control y evaluación de la institución en la
consecución de sus objetivos. La Administración,
para cumplir con este objetivo, debe desarrollar
responsabilidades generales a partir de los objetivos
3
• Estructura Organizacional
• Asignación de Responsabilidad y Delegación de

Autoridad
• Documentación y Formalización del Control Interno
3.03 La Administración debe desarrollar y actualizar la

estructura organizacional con entendimiento de las
responsabilidades generales, y debe asignar estas
responsabilidades a las distintas unidades para fomentar
que la institución alcance sus objetivos de manera
eficiente, eficaz y económica; brinde información
confiable y de calidad; cumpla con las disposiciones
jurídicas y normativas aplicables, y prevenga, disuada y
detecte actos de corrupción. Con base en la naturaleza
3
de la responsabilidad asignada, la Administración deben proporcionar métodos de comunicación que

debe seleccionar el tipo y el número de unidades, pueden circular en todas las direcciones al interior de
así como las direcciones, divisiones, oficinas y demás la estructura organizacional. La Administración
instancias dependientes. también debe considerar las responsabilidades
generales que tiene frente a terceros interesados, y
3.04Como parte del establecimiento de una
debe establecer líneas de comunicación y emisión
estructura organizacional actualizada, la
de informes que permitan a la institución comunicar y
Administración debe considerar el modo en que las
recibir información de las fuentes externas.
unidades interactúan a fin de cumplir con sus
responsabilidades. La Administración debe establecer
3.05La Administración debe evaluar periódicamente
líneas de reporte dentro de la estructura
la estructura organizacional para asegurar que se
organizacional, a fin de que las unidades puedan
alinea con los objetivos institucionales y que ha sido
comunicar la información de calidad necesaria para
adaptada y actualizada a cualquier objetivo
el cumplimiento de los objetivos. Las líneas de reporte
emergente, como nuevas leyes o regulaciones.
deben definirse en todos los niveles en la institución y
Asignación de Responsabilidad y Delegación de Autoridad
3.06 Para alcanzar los objetivos institucionales, la 3.08 La Administración debe determinar qué nivel
Administración debe asignar responsabilidad y
de autoridad necesitan los puestos clave para
delegar autoridad a los puestos clave a lo largo de
cumplir con sus obligaciones. También debe delegar
la institución. Un puesto clave es aquella posición
autoridad sólo en la medida requerida para lograr los
dentro de la estructura organizacional que tiene
objetivos. Como parte de la delegación de
asignada una responsabilidad general respecto de la
autoridad, la Administración debe considerar que
institución. Usualmente, los puestos clave pertenecen
exista una apropiada segregación de funciones al
a posiciones altas de la Administración (mandos
interior de las unidades y en la estructura
superiores) dentro de la institución.
organizacional. La segregación de funciones ayuda
a prevenir la corrupción, el fraude, desperdicio,
3.07 La Administración debe considerar las
abuso y otras irregularidades en la institución, al
responsabilidades generales asignadas a cada
dividir la autoridad, la custodia y la contabilidad en la
unidad, debe determinar qué puestos clave son
estructura organizacional. El personal que ocupa
necesarios para cumplir con las responsabilidades
puestos clave puede delegar su autoridad sobre el
asignadas y debe establecer dichos puestos. Aquel
control interno a sus subordinados, pero retiene la
personal que se encuentra en puestos clave puede
obligación de cumplir con las obligaciones de control
delegar responsabilidad sobre el control interno a sus
interno inherentes a su cargo derivadas de su nivel
subordinados, pero retiene la obligación de cumplir
de autoridad.
con las responsabilidades generales asignadas a
sus unidades.
Documentación y Formalización del Control Interno
3.09 La Administración debe desarrollar y actualizar la para comunicar el conocimiento necesario sobre el
documentación y formalización de su control interno. control interno a las partes externas, por ejemplo, los
auditores externos.
3.10 La documentación y formalización efectiva del
control interno apoya a la Administración en el diseño, 3.11 La Administración debe documentar y formalizar
implementación y operación de éste, al establecer y
el control interno para satisfacer las necesidades
comunicar al personal el cómo, qué, cuándo, dónde
operativas de la institución. La documentación de
y por qué del control interno. Asimismo, la
controles, incluidos los cambios realizados a éstos,
documentación y formalización se constituyen en un
es evidencia de que las actividades de control son
medio para retener el conocimiento institucional
identificadas, comunicadas a los responsables de
sobre el control interno y mitigar el riesgo de limitar
su funcionamiento y que pueden ser supervisadas y
el conocimiento solo a una parte del personal; del
evaluadas por la institución.
mismo modo, es una vía
3
3.12 La extensión de la documentación necesaria así como el tamaño, naturaleza y complejidad de

para respaldar el diseño, implementación y eficacia la institución y de sus objetivos. No obstante,
operativa de los cinco componentes del control
ciertos niveles básicos de documentación y
interno depende del juicio de la Administración, del
formalización son necesarios para asegurar que los
mandato institucional y de las disposiciones jurídicas
componentes de control interno son diseñados,
aplicables. La Administración debe considerar el
implementados y operados de manera eficaz y
costo-beneficio de los requisitos de la
apropiada.
documentación y formalización,
Principio 4 - Demostrar Compromiso con la Competencia

Profesional
4.01 La Administración, es responsable de establecer Interno.
los medios necesarios para contratar, capacitar y
retener profesionales competentes.
Puntos de Interés

principio:
• Expectativas de Competencia Profesional
• Atracción, Desarrollo y Retención de

Profesionales
• Planes y Preparativos para la Sucesión y

Contingencias
Expectativas de Competencia
Profesional
4.02La Administración debe establecer expectativas

de competencia profesional sobre los puestos clave y
los demás cargos institucionales para ayudar a la
institución a lograr sus objetivos. La competencia
profesional es el conjunto de conocimientos y
capacidades comprobables de un servidor público
para llevar a cabo sus responsabilidades asignadas.
El personal requiere de conocimientos, destrezas y
habilidades pertinentes al ejercicio de sus cargos, los
cuales son adquiridos, en gran medida, con la
experiencia profesional, la capacitación y las
certificaciones profesionales.
4.03 La Administración debe contemplar los

estándares de conducta, las responsabilidades
asignadas y la autoridad delegada al establecer
expectativas. Asimismo, debe establecer las
expectativas de competencia profesional para los
puestos clave y para el resto del personal, a través
de políticas al interior del Sistema de Control
4
4.04 El personal debe poseer y mantener un nivel de

competencia profesional que le permita cumplir con sus
responsabilidades, así como entender la importancia y
eficacia del control interno. El sujetar al personal a las
políticas definidas para la evaluación de las
competencias profesionales es crucial para atraer,
desarrollar y retener a los servidores públicos idóneos. La
Administración debe evaluar la competencia profesional
del personal en toda la institución, lo cual contribuye a la
obligación institucional de rendición de cuentas. De igual
forma, debe actuar, tanto como sea necesario, para
identificar cualquier desviación a las políticas
establecidas para la competencia profesional. El Órgano
de Gobierno, en su caso, o el Titular debe evaluar las
competencias de los titulares de las unidades
administrativas, así como contribuir a la evaluación
general del personal de la institución.
Atracción, Desarrollo y Retención de

Profesionales
4.05 La Administración debe atraer, desarrollar y retener

profesionales competentes para lograr los objetivos de la
institución. Por lo tanto, debe:
• Seleccionar y contratar. Efectuar procedimientos

para determinar si un candidato en particular se
ajusta a las necesidades de la institución y tiene las
competencias profesionales para el desempeño del
puesto.
• Capacitar. Permitir a los servidores públicos

desarrollar competencias profesionales apropiadas
para los puestos clave, reforzar las normas de
conducta, difundir el programa de promoción de la
integridad y brindar una formación basada en las
necesidades del puesto.
4
• Guiar. Proveer orientación en el desempeño del que los planes de contingencia deben identificar y
personal con base en las normas de conducta, atender la necesidad institucional de responder a
el programa de promoción de la integridad y
los cambios repentinos en el personal que impactan
las expectativas de competencia profesional;
a la institución y que pueden comprometer el control
alinear las habilidades y pericia individuales con
interno.
los objetivos institucionales, y ayudar al
personal a adaptarse a un ambiente
4.07 La Administración debe definir los cuadros de
cambiante.
sucesión para los puestos clave, así como
seleccionar y capacitar a los candidatos que
• Retener. Proveer incentivos para motivar y
asumirán los puestos clave. Si la Administración
reforzar los niveles esperados de desempeño y
utiliza servicios tercerizados para cumplir con las
conducta deseada, incluida la capacitación y
responsabilidades asignadas a puestos clave, debe
certificación correspondientes.
evaluar si éstos pueden continuar con los puestos
clave y debe identificar otros servicios tercerizados
Planes y Preparativos para la para tales puestos. Asimismo, debe implementar
procesos para asegurar que se comparta el
Sucesión y Contingencias conocimiento con los nuevos candidatos, en su caso.
4.08 La Administración debe definir los planes de

4.06La Administración debe definir cuadros de
contingencia para la asignación de
sucesión y planes de contingencia para los puestos
responsabilidades si un puesto clave se encuentra
clave, con objeto de garantizar la continuidad en el
vacante sin vistas a su ocupación. La importancia
logro de los objetivos. Los cuadros de sucesión deben
de estos puestos en el Control interno y el impacto
identificar y atender la necesidad de la institución de
que representa el que estén vacantes, impactan la
reemplazar profesionales competentes en el largo
formalidad y profundidad del plan de contingencia.
plazo, en tanto
Principio 5 – Establecer la Estructura para el Reforzamiento de

la Rendición de Cuentas
5.01 La Administración, debe evaluar el desempeño

del control interno en la institución y hacer
Establecimiento de la Estructura
responsables a todo el personal por sus obligaciones
para Responsabilizar al Personal por
específicas en la materia.
sus Obligaciones de Control Interno
Puntos de Interés
Los siguientes puntos de interés contribuyen al 5.02 La Administración debe establecer una estructura
diseño, implementación y eficacia operativa de este que permita, de manera clara y sencilla,
principio: responsabilizar a todo el personal por el desempeño
de su cargo y por sus obligaciones específicas en
• Establecimiento de una Estructura para materia de control interno, lo cual forma parte de la
Responsabilizar al Personal por sus Obligaciones obligación de rendición de cuentas institucional. La
de Control Interno responsabilidad por el cargo desempeñado y la
obligación de rendición de cuentas es promovida
• Consideración de las Presiones por las por la actitud de respaldo y compromiso de los
Responsabilidades Asignadas al Personal titulares y la Administración (tono en los mandos
superiores) con la competencia profesional, la
integridad, los valores éticos, las normas de conducta,
la estructura organizacional y las líneas de
autoridad establecidas, elementos todos que influyen
en la cultura de control interno de la institución. La
estructura que refuerza la responsabilidad
profesional y la rendición de cuentas por las
4
actividades desempeñadas, es la base para

la toma de decisiones y la actuación
cotidiana del personal.
4
La Administración debe mantener la estructura para correctivas cuando sea necesario fortalecer la
la responsabilidad profesional y el reforzamiento de estructura para la asignación de responsabilidades y
la rendición de cuentas del personal, a través de la rendición de cuentas. Estas acciones van desde la
mecanismos tales como evaluaciones del retroalimentación informal proporcionada por los
desempeño y la imposición de medidas supervisores hasta acciones disciplinarias
disciplinarias. implementadas por el Órgano de Gobierno o el
Titular, dependiendo de la relevancia de las
5.03 La Administración debe establecer una estructura
deficiencias identificadas en el control interno.
organizacional que permita responsabilizar a todos
los servidores públicos por el desempeño de sus Consideración de las Presiones por
obligaciones de control interno. El Órgano de
Gobierno, en su caso, o el Titular, a su vez, debe las Responsabilidades Asignadas
evaluar y responsabilizar a la Administración por el
desempeño de sus funciones en materia de control al Personal
interno.
5.07 La Administración debe equilibrar las
5.04 En caso de que la Administración establezca
presiones excesivas sobre el personal de la institución.
incentivos para el desempeño del personal, debe
Las presiones pueden suscitarse debido a metas
reconocer que tales estímulos pueden provocar
demasiado altas, establecidas por la
consecuencias no deseadas, por lo que debe
Administración, a fin de cumplir con los objetivos
evaluarlos a fin de que se encuentren alineados a
institucionales o las exigencias cíclicas de algunos
los principios éticos y normas de conducta de la
procesos sensibles, como adquisiciones,
institución.
suministros, remuneraciones y la preparación de los
estados financieros, entre otros.
5.05 La Administración debe responsabilizar a las
organizaciones de servicios que contrate por las
5.08 La Administración es responsable de evaluar las
funciones de control interno relacionadas con las
presiones sobre el personal para ayudar a los
actividades tercerizadas que realicen. Asimismo
empleados a cumplir con sus responsabilidades
debe comunicar a los servicios tercerizados los
asignadas, en alineación con las normas de
objetivos institucionales y sus riesgos asociados, las
conducta, los principios éticos y el programa de
normas de conducta de la institución, su papel
promoción de la integridad. En este sentido, debe
dentro de la estructura organizacional, las
ajustar las presiones excesivas utilizando diferentes
responsabilidades asignadas y las expectativas de
herramientas, como distribuir adecuadamente las
competencia profesional correspondiente a sus
cargas de trabajo, redistribuir los recursos o tomar las
funciones, lo que contribuirá a que los servicios
decisiones pertinentes para corregir la causa de las
tercerizados desempeñen apropiadamente sus
presiones, entre otras.
responsabilidades de control interno.
5.06La Administración, bajo la supervisión del Órgano

de Gobierno, en su caso, o del Titular debe tomar
acciones
4
Administración de Riesgos
Después de haber establecido un ambiente de control
efectivo, la Administración debe evaluar los riesgos
que enfrenta la institución para el logro de sus
objetivos. Esta evaluación proporciona las bases
para el desarrollo de respuestas al riesgo apropiadas.
Asimismo, debe evaluar los riesgos que enfrenta la
institución tanto de fuentes internas como externas.
Principios
6. El Titular, con el apoyo de la Administración,

debe definir claramente los objetivos
institucionales y formular un plan estratégico
que, de manera coherente y ordenada, se
asocie a éstos y a su mandato legal, 8. La Administración, debe considerar la posibilidad
asegurando además que dicha planeación de ocurrencia de actos de corrupción, fraudes,
estratégica contemple la alineación abuso, desperdicio y otras irregularidades
institucional a los planes nacionales, regionales, relacionadas con la adecuada salvaguarda
sectoriales y todos los demás instrumentos y de los recursos públicos al identificar, analizar y
normativas vinculatorias que correspondan. responder a los riesgos, en los diversos
procesos que realiza la institución.
7. La Administración, debe identificar, analizar y
responder a los riesgos asociados al
9. La Administración, debe identificar, analizar y
cumplimiento de los objetivos institucionales,
responder a los cambios significativos que
así como de los procesos por los que se
puedan impactar al control interno.
obtienen los ingresos y se ejerce el gasto,
entre otros.
Principio 6 – Definir Objetivos y Tolerancias al Riesgo
6.01 El Titular debe instruir a la Administración y, en términos específicos deben establecerse clara y
su caso, a las unidades especializadas, la definición completamente
clara de los objetivos institucionales para permitir la
identificación de riesgos y definir la tolerancia al
riesgo.
Puntos de Interés

principio:
• Definición de Objetivos
• Tolerancia al Riesgo
Definición de Objetivos
6.02La Administración debe definir objetivos en

términos específicos y medibles para permitir el
diseño del control interno y sus riesgos asociados. Los
4
a fin de que puedan ser entendidos

fácilmente. Los indicadores y otros
instrumentos de medición de los objetivos
permiten la evaluación del desempeño en el
cumplimiento de los objetivos. Estos últimos,
deben definirse inicialmente en el proceso de
establecimiento de objetivos y,
posteriormente, deben ser incorporados al
control interno.
6.03 La Administración debe definir los

objetivos en términos específicos de manera
que sean comunicados y entendidos en todos
los niveles en la institución. Esto involucra la
clara definición de qué debe ser alcanzado,
quién debe alcanzarlo, cómo será alcanzado
y qué límites de tiempo existen para lograrlo.
Todos los objetivos pueden ser clasificados
de manera general en una o más de las
siguientes tres categorías: de operación, de
información y de cumplimiento. Los
objetivos de información son, además,
categorizados como internos o externos y
financieros o no financieros. La
Administración debe definir los objetivos en
alineación
4
con el mandato, la misión y visión institucional, con el nivel aceptable de diferencia entre el
su plan estratégico y con otros planes y programas cumplimiento
aplicables, así como con las metas de desempeño.
6.04 La Administración debe definir objetivos en

términos medibles de manera que se pueda evaluar
su desempeño. Establecer objetivos medibles
contribuye a la objetividad y neutralidad de su
evaluación, ya que no se requiere de juicios
subjetivos para evaluar el grado de avance en su
cumplimiento. Los objetivos medibles deben
definirse de una forma cuantitativa y/o cualitativa que
permita una medición razonablemente consistente.
6.05 La Administración debe considerar los

requerimientos externos y las expectativas internas al
definir los objetivos que permiten el diseño del control
interno. Los legisladores, reguladores e instancias
normativas deben definir los requerimientos externos
al establecer las leyes, regulaciones y normas que
la institución debe cumplir. La Administración debe
identificar, entender e incorporar estos requerimientos
dentro de los objetivos institucionales.
Adicionalmente, debe fijar expectativas y
requerimientos internos para el cumplimiento de los
objetivos con apoyo de las normas de conducta, el
programa de promoción de la integridad, la función
de supervisión, la estructura organizacional y las
expectativas de competencia profesional del
personal.
6.06 La Administración debe evaluar y, en su caso,

replantear los objetivos definidos para que sean
consistentes con los requerimientos externos y las
expectativas internas de la institución, así como con el
Plan Nacional de Desarrollo, el Plan Estatal de
Desarrollo, los Programas Sectoriales, Especiales y
demás planes, programas y disposiciones aplicables.
Esta consistencia permite a la Administración
identificar y analizar los riesgos asociados con el
logro de los objetivos.
6.07 La Administración debe determinar si los

instrumentos e indicadores de desempeño para los
objetivos establecidos son apropiados para evaluar
el desempeño de la institución. Para los objetivos
cuantitativos, las normas e indicadores de
desempeño pueden ser un porcentaje específico o un
valor numérico. Para los objetivos cualitativos, la
Administración podría necesitar diseñar medidas de
desempeño que indiquen el nivel o grado de
cumplimiento, como hitos.
Tolerancia al Riesgo
6.08 La Administración debe definir la tolerancia al

riesgo para los objetivos definidos. Dicha tolerancia es
4
cabal del objetivo y su grado real de cumplimiento. Las

tolerancias al riesgo son inicialmente fijadas como parte
del proceso de establecimiento de objetivos. La
Administración debe definir las tolerancias para los
objetivos establecidos al asegurar que los niveles de
variación para las normas e indicadores de desempeño
son apropiados para el diseño del Control interno.
6.09 La Administración debe definir las tolerancias al

riesgo en términos específicos y medibles, de modo que
sean claramente establecidas y puedan ser medidas. La
tolerancia es usualmente medida con las mismas normas
e indicadores de desempeño que los objetivos definidos.
Dependiendo de la categoría de los objetivos, las
tolerancias al riesgo pueden ser expresadas como sigue:
• Objetivos de Operación. Nivel de variación en el

desempeño en relación con el riesgo.
• Objetivos de Información no Financieros. Nivel

requerido de precisión y exactitud para las
necesidades de los usuarios; implican
consideraciones tanto cualitativas como
cuantitativas para atender las necesidades de los
usuarios de informes no financieros.
• Objetivos de Información Financieros. Los juicios

sobre la relevancia se hacen en función de las
circunstancias que los rodean; implican
consideraciones tanto cualitativas como
cuantitativas y se ven afectados por las
necesidades de los usuarios de los informes
financieros, así como por el tamaño o la naturaleza
de la información errónea.
• Objetivos de Cumplimiento. El concepto de

tolerancia al riesgo no le es aplicable. La institución
cumple o no cumple las disposiciones aplicables.
6.10 La Administración también debe evaluar si las

tolerancias al riesgo permiten el diseño apropiado de
control interno al considerar si son consistentes con los
requerimientos y las expectativas de los objetivos
definidos. Como en la definición de objetivos, la
Administración debe considerar las tolerancias al riesgo en
el contexto de las leyes, regulaciones y normas
aplicables a la institución, así como a las normas de
conducta, el programa de promoción de la integridad, la
estructura de supervisión, la estructura organizacional y las
expectativas de competencia profesional. Si las
tolerancias al riesgo para los objetivos definidos no son
consistentes con estos requerimientos y expectativas, el
Titular debe revisar las tolerancias al riesgo para lograr
dicha consistencia.
4
Principio 7 – Identificar, Analizar y Responder a los Riesgos

factores de riesgo externo pueden incluir leyes,
7.01 La Administración debe identificar, analizar y regulaciones o normas profesionales nuevas o reformadas,
responder a los riesgos relacionados con el inestabilidad
cumplimiento de los objetivos institucionales.
Puntos de Interés

principio:
• Identificación de Riesgos
• Análisis de Riesgos
• Respuesta a los Riesgos
Identificación de Riesgos
7.02La Administración debe identificar riesgos en toda

la institución para proporcionar una base para
analizarlos. La administración de riesgos es la
identificación y análisis de riesgos asociados con el
mandato institucional, su plan estratégico, los
objetivos del Plan Nacional de Desarrollo, el Plan
Estatal de Desarrollo, los Programas Sectoriales,
Especiales y demás planes y programas aplicables
de acuerdo con los requerimientos y expectativas
de la planeación estratégica, y de conformidad con
las disposiciones jurídicas y normativas aplicables. Lo
anterior forma la base que permite diseñar respuestas
al riesgo.
7.03 Para identificar riesgos, la Administración debe

considerar los tipos de eventos que impactan a la
institución. Esto incluye tanto el riesgo inherente
como el riesgo residual. El riesgo inherente es el
riesgo que enfrenta la institución cuando la
Administración no responde ante el riesgo. El riesgo
residual es el riesgo que permanece después de la
respuesta de la Administración al riesgo inherente. La
falta de respuesta por parte de la Administración a
ambos riesgos puede causar deficiencias graves en el
control interno.
7.04 La Administración debe considerar todas las

interacciones significativas dentro de la institución
y con las partes externas, cambios en su ambiente
interno y externo y otros factores, tanto internos
como externos, para identificar riesgos en toda la
institución. Los factores de riesgo interno pueden
incluir la compleja naturaleza de los programas de la
institución, su estructura organizacional o el uso de
nueva tecnología en los procesos operativos. Los
4
Independientemente de si los riesgos son analizados

económica o desastres naturales de forma individual o agrupada, la Administración
potenciales. La Administración debe debe considerar la correlación entre los distintos
considerar esos factores tanto a nivel riesgos o grupos de riesgos al estimar su relevancia. La
institución como a nivel de transacciones a metodología específica de análisis de riesgos utilizada
fin de identificar de manera completa los puede variar según la institución, su mandato y misión, y
riesgos que afectan el logro de los la dificultad para definir, cualitativa y cuantitativamente,
objetivos. las tolerancias al riesgo.
Los métodos de identificación de riesgos

pueden incluir una priorización cualitativa y
cuantitativa de actividades, previsiones y
planeación estratégica, así como la
consideración de las deficiencias
identificadas a través de auditorías y otras
evaluaciones.
Análisis de Riesgos
7.05 La Administración debe analizar los

riesgos identificados para estimar su
relevancia, lo cual provee la base para
responder a éstos. La relevancia se refiere al
efecto sobre el logro de los objetivos.
7.06 La Administración debe estimar la

relevancia de los riesgos identificados para
evaluar su efecto sobre el logro de los
objetivos, tanto a nivel institución como a
nivel transacción. La Administración debe
estimar la importancia de un riesgo al
considerar la magnitud del impacto, la
probabilidad de ocurrencia y la naturaleza
de riesgo. La magnitud del impacto se
refiere al grado probable de deficiencia que
podría resultar de la materialización de un
riesgo y es afectada por factores tales como
el tamaño, la frecuencia y la duración del
impacto del riesgo. La probabilidad de
ocurrencia se refiere a la posibilidad de que
un riesgo se materialice. La naturaleza del
riesgo involucra factores tales como el grado
de subjetividad involucrado con el riesgo y la
posibilidad de surgimiento de riesgos
causados por corrupción, fraude, abuso,
desperdicio y otras irregularidades o por
transacciones complejas e inusuales. El
Órgano de Gobierno, en su caso, o el
Titular, podrá revisar las estimaciones sobre la
relevancia realizadas por la Administración, a
fin de asegurar que las tolerancias al riesgo
fueron definidas adecuadamente.
7.07 Los riesgos pueden ser analizados sobre

bases individuales o agrupados dentro de
categorías de riesgos asociados, los cuales son
analizados de manera colectiva.
5
Respuesta a los Riesgos
7.08 La Administración debe diseñar respuestas a los 7.09 Con base en la respuesta al riesgo
riesgos analizados de tal modo que éstos se
seleccionada, la Administración debe diseñar
encuentren dentro de la tolerancia definida para los
acciones específicas de atención. La naturaleza y
objetivos. La Administración debe diseñar todas las
alcance de las acciones de la respuesta a los
respuestas al riesgo con base en la relevancia del
riesgos depende de la tolerancia al riesgo definida.
riesgo y la tolerancia establecida. Estas respuestas al
Operar dentro de una tolerancia definida provee
riesgo pueden incluir:
mayor garantía de que la institución alcanzará sus
objetivos. Los indicadores del desempeño son usados
• Aceptar. Ninguna acción es tomada para
para evaluar si las acciones de respuesta al riesgo
responder al riesgo con base en su
permiten a la institución operar dentro de las
importancia.
tolerancias definidas. Cuando las acciones de
respuesta al riesgo no permiten a la institución operar
• Evitar. Se toman acciones para detener el
dentro de las tolerancias al riesgo definidas, la
proceso operativo o la parte que origina el
Administración debe revisar las respuestas al riesgo
riesgo.
y/o reconsiderar las tolerancias al riesgo definidas. La
Administración debe efectuar evaluaciones
• Mitigar. Se toman acciones para reducir la
periódicas de riesgos con el fin de asegurar la
probabilidad / posibilidad de ocurrencia o la
efectividad de las acciones de respuesta.
magnitud del riesgo.
• Compartir. Se toman acciones para compartir

riesgos institucionales con partes externas,
como la contratación de pólizas de seguros.
Principio 8 – Considerar el Riesgo de Corrupción

8.01 La Administración, con el apoyo, en su caso, permanente en la institución, así como los
de las unidades especializadas (por ejemplo, mecanismos para que cualquier servidor
Comité de Ética, Comité de Riesgos, Comité de público o tercero
Cumplimiento, etc.), debe considerar la
probabilidad de ocurrencia de actos corruptos,
fraudes, abuso, desperdicio y otras irregularidades
que atentan contra la apropiada salvaguarda de los
bienes y recursos públicos al identificar, analizar y
responder a los riesgos.
La corrupción, por lo general, implica la obtención

ilícita por parte de un servidor público de algo de
valor, a cambio de la realización de una acción
ilícita o contraria a la integridad.
La Administración, así como todo el personal en sus

respectivos ámbitos de competencia, deben
considerar el riesgo potencial de actos corruptos y
contrarios a la integridad en todos los procesos que
realicen, incluyendo los más susceptibles como son
ingresos, adquisiciones, obra pública,
remuneraciones, entre otros, e informar
oportunamente a la Administración y al Órgano de
Gobierno, en su caso, o el Titular sobre la presencia
de dichos riesgos.
El programa de promoción de la integridad debe

considerar la administración de riesgos de corrupción
5
pueda informar de manera confidencial y anónima sobre

la incidencia de actos corruptos probables u ocurridos
dentro de la institución. La Administración es responsable
de que dichas denuncias sean investigadas
oportunamente y, en su caso, se corrijan las fallas que
dieron lugar a la presencia del riesgo de corrupción. El
Órgano de Gobierno, en su caso, o el Titular debe evaluar
la aplicación efectiva del programa de promoción de la
integridad por parte de la Administración, incluyendo si el
mecanismo de denuncias anónimas es eficaz, oportuno y
apropiado, y debe permitir la corrección efectivamente
las deficiencias en los procesos que permiten la posible
materialización de actos corruptos u otras irregularidades
que atentan contra la salvaguarda de los recursos
públicos y la apropiada actuación de los servidores
públicos.
Puntos de Interés
Los siguientes puntos de interés contribuyen al diseño,

implementación y eficacia operativa de este principio:
• Tipos de Corrupción
• Factores de Riesgo de Corrupción
• Respuesta a los Riesgos de Corrupción
5
Tipos de Corrupción • Coalición con otros servidores públicos o terceros

para obtener ventajas o ganancias ilícitas.
8.02 La Administración debe considerar los tipos de

corrupción que pueden ocurrir en la institución,
para proporcionar una base para la identificación
de estos riesgos. Entre los tipos de corrupción más
comunes se encuentran:
• Informes Financieros Fraudulentos. Consistentes

en errores intencionales u omisiones de
cantidades o revelaciones en los estados
financieros para engañar a los usuarios de los
estados financieros. Esto podría incluir la
alteración intencional de los registros
contables, la tergiversación de las
transacciones o la aplicación indebida y
deliberada de los principios y disposiciones de
contabilidad.
• Apropiación indebida de activos. Entendida

como el robo de activos de la institución. Esto
podría incluir el robo de la propiedad, la
malversación de los ingresos o pagos
fraudulentos.
• Conflicto de intereses. Que implica la

intervención, por motivo del encargo del
servidor público, en la atención, tramitación o
resolución de asuntos en los que tenga interés
personal, familiar o de negocios.
• Utilización de los recursos asignados y las

facultades
atribuidas para fines distintos a los legales.
• Pretensión del servidor público de obtener

beneficios adicionales a las contraprestaciones
comprobables que el Estado le otorga por el
desempeño de su función.
• Participación indebida del servidor público

en la selección, nombramiento, designación,
contratación, promoción, suspensión, remoción,
cese, rescisión del contrato o sanción de
cualquier servidor público, cuando tenga interés
personal, familiar o de negocios en el caso, o
pueda derivar alguna ventaja o beneficio para él
o para un tercero.
• Aprovechamiento del cargo o comisión del

servidor público para inducir a que otro servidor
público o tercero efectúe, retrase u omita
realizar algún acto de su competencia, que le
reporte cualquier beneficio, provecho o
ventaja indebida para sí o para un tercero.
5
efectuar intencionalmente un acto corrupto o

• Intimidación del servidor público o deshonesto.
extorsión para presionar a otro a realizar
actividades ilegales o ilícitas. 8.05La Administración debe utilizar los factores de
riesgo para identificar los riesgos de corrupción,
• Tráfico de influencias fraude, abuso, desperdicio y otras irregularidades. Si
bien, el riesgo de corrupción puede ser mayor cuando
• Enriquecimiento ilícito los tres factores de riesgo están presentes, uno o más
de estos factores
• Peculado
8.03 Además de la corrupción, la

Administración debe considerar que pueden
ocurrir otras transgresiones a la integridad,
por ejemplo: el desperdicio o el abuso. El
desperdicio es el acto de usar o gastar
recursos de manera exagerada, extravagante o
sin propósito. El abuso involucra un
comportamiento deficiente o impropio,
contrario al comportamiento que un servidor
público prudente podría considerar como una
práctica operativa razonable y necesaria,
dados los hechos y circunstancias. Esto incluye
el abuso de autoridad o el uso del cargo para
la obtención de un beneficio ilícito para sí o
para un tercero.
Factores de Riesgo de Corrupción
8.04 La Administración debe considerar los

factores de riesgo de corrupción, fraude,
abuso, desperdicio y otras irregularidades.
Estos factores no implican necesariamente la
existencia de un acto corrupto o fraude, pero
están usualmente presentes cuando éstos
ocurren. Este tipo de factores incluyen:
• Incentivos / Presiones. La Administración

y el resto del personal tienen un
incentivo o están bajo presión, lo cual
provee un motivo para cometer actos de
corrupción o fraudes.
• Oportunidad. Existen circunstancias,

como la ausencia de controles,
controles inefectivos o la capacidad de
determinados servidores públicos para
eludir controles en razón de su posición
en la institución, las cuales proveen una
oportunidad para la comisión de actos
corruptos o fraudes.
• Actitud / Racionalización. El personal

involucrado es capaz de justificar la
comisión de actos corruptos, fraudes y
otras irregularidades. Algunos servidores
públicos poseen una actitud, carácter
o valores éticos que les permiten
5
podrían indicar un riesgo de corrupción. También se 8.07 La Administración debe responder a los
debe utilizar la información provista por partes
riesgos de corrupción, fraude, abuso, desperdicio
internas y externas para identificar los riesgos de
y otras irregularidades mediante el mismo proceso
corrupción, fraude, abuso, desperdicio y otras
de respuesta desarrollado para todos los riesgos
irregularidades. Lo anterior incluye quejas, denuncias
institucionales analizados. La Administración debe
o sospechas de este tipo de irregularidades,
diseñar una respuesta general al riesgo y acciones
reportadas por los auditores internos, el personal de la
específicas para atender este tipo de
institución o las partes externas que interactúan con la
irregularidades. Esto posibilita la implementación de
institución, entre otros.
controles anti- corrupción en la institución. Dichos
controles pueden incluir la reorganización de ciertas
Respuesta a los Riesgos de Corrupción
operaciones y la reasignación de puestos entre el
personal para mejorar la segregación de funciones.
8.06 La Administración debe analizar y responder a
Además de responder a los riesgos de corrupción,
los riesgos de corrupción, fraude, abuso, desperdicio
fraude, abuso, desperdicio y otras irregularidades,
y otras irregularidades identificadas a fin de que sean
la Administración debe desarrollar respuestas más
efectivamente mitigados. Estos riesgos son analizados
avanzadas para identificar los riesgos relativos a que
mediante el mismo proceso de análisis de riesgos
el Titular y personal de la Administración eludan los
efectuado para todos los demás riesgos identificados.
controles. Adicionalmente, cuando la corrupción,
La Administración debe analizar los riesgos de
fraude, abuso, desperdicio u otras irregularidades
corrupción, fraude, abuso, desperdicio y otras
han sido detectadas, es necesario revisar el proceso
irregularidades identificados mediante la estimación
de administración de riesgos.
de su relevancia, tanto individual como en su
conjunto, para evaluar su efecto en el logro de los A los riesgos de corrupción, fraude, abuso,
objetivos. Como parte del análisis de riesgos, desperdicio y otras irregularidades no les es aplicable
también se debe evaluar el riesgo de que la el concepto de tolerancia al riesgo, ya que la
Administración eluda los controles. El Órgano de incidencia de un acto corrupto implica
Gobierno, en su caso, o el Titular debe revisar que las necesariamente una deficiencia en los objetivos de
evaluaciones y la administración del riesgo de cumplimiento legal. Para los objetivos de
corrupción, fraude, abuso, desperdicio y otras cumplimiento, la tolerancia al riesgo es cero (véase
irregularidades efectuadas por la propia el numeral 6.09 de este Marco).
Administración, son apropiadas, así como el riesgo de
que el Titular o la Administración eludan los controles.
Principio 9 – Identificar, Analizar y Responder al Cambio

9.01 La Administración debe identificar, analizar y Sin embargo, el cambio debe ser discutido de
responder a los cambios significativos que puedan manera separada, porque es crítico para un
impactar el control interno. control
Puntos de Interés

principio:
• Identificación del Cambio
• Análisis y Respuesta al Cambio
Identificación del Cambio
9.02 Como parte de la administración de riesgos o

un proceso similar, la Administración debe
identificar cambios que puedan impactar
significativamente al control interno. La
identificación, análisis y respuesta al cambio es parte
del proceso regular de administración de riesgos.
5
interno apropiado y eficaz, y puede ser usualmente

pasado por alto o tratado inadecuadamente en el curso
normal de las operaciones.
9.03 Las condiciones que afectan a la institución y su

ambiente continuamente cambian. La Administración
debe prevenir y planear acciones ante cambios
significativos al usar un proceso prospectivo de
identificación del cambio. Asimismo, debe identificar, de
manera oportuna, los cambios significativos en las
condiciones internas y externas que se han producido o
que se espera que se produzcan. Los cambios en las
condiciones internas incluyen modificaciones a los
programas o actividades institucionales, la función de
supervisión, la estructura organizacional, el personal y la
tecnología. Los cambios en las condiciones externas
incluyen cambios en los entornos gubernamentales,
económicos, tecnológicos, legales, regulatorios y físicos.
Los cambios significativos identificados deben ser
comunicados al personal adecuado de la institución
mediante las líneas de reporte y autoridad establecidas.
5
Análisis y Respuesta al Cambio

identificados en el control interno, mediante su revisión
oportuna para asegurar que es apropiado y eficaz.
9.04 Como parte de la administración de riesgos, la
9.05Además, las condiciones cambiantes
Administración debe analizar y responder a los
usualmente generan nuevos riesgos o cambios a los
cambios identificados y a los riesgos asociados con
riesgos existentes, los cuales deben ser evaluados.
éstos, con el propósito de mantener un control
Como parte del análisis y respuesta al cambio, la
interno apropiado. Los cambios en las condiciones
Administración debe desarrollar una evaluación de los
que afectan a la institución y su ambiente
riesgos para identificar, analizar y responder a
usualmente requieren cambios en el control interno,
cualquier riesgo causado por estos cambios.
ya que pueden generar que los controles se vuelvan
Adicionalmente, los riesgos existentes podrían
ineficaces o insuficientes para alcanzar los objetivos
requerir una evaluación más profunda, para
institucionales. La Administración debe analizar y
determinar si las tolerancias y las respuestas al riesgo
responder oportunamente al efecto de los cambios
definidas previamente a los cambios necesitan ser
Actividades de Control replanteadas.
Son las acciones que establece la Administración

mediante políticas y procedimientos para alcanzar
los objetivos y responder a los riesgos en el control
interno, lo cual incluye los sistemas de información
institucional.
Principios
10. La Administración, debe diseñar, actualizar y

garantizar la suficiencia e idoneidad de las
actividades de control establecidas para lograr
los objetivos institucionales y responder a los riesgos.
En este sentido, es responsable de que existan
controles apropiados para hacer frente a los riesgos
que se encuentran presentes en cada uno de los
procesos que realizan, incluyendo los riesgos de
corrupción. 12. La Administración, debe implementar las
actividades de control a través de políticas,
11. La Administración, debe diseñar los sistemas de procedimiento y otros medios de similar naturaleza,
información institucional y las actividades de las cuales deben estar documentadas y formalmente
control asociadas, a fin de alcanzar los objetivos y establecidas. Asimismo, deben ser apropiadas,
responder a los riesgos. suficientes e idóneas para enfrentar los riesgos a los
que están expuestos sus procesos.
Principio 10 – Diseñar Actividades de Control

10.01 La Administración debe diseñar, actualizar y
garantizar la suficiencia e idoneidad de las • Diseño de las Actividades de Control Apropiadas
actividades de control para alcanzar los objetivos
institucionales y responder a los riesgos.
Puntos de Interés

principio:
• Respuesta a los Objetivos y Riesgos
5
• Diseño de Actividades de Control en Varios

Niveles
• Segregación de Funciones
Respuesta a los Objetivos y Riesgos
10.02 La Administración debe diseñar

actividades de control en respuesta a los
riesgos asociados con los objetivos
institucionales, a fin de alcanzar un control
interno eficaz y apropiado. Estas actividades
son las políticas, procedimientos, técnicas y
mecanismos que hacen obligatorias las
directrices de la Administración para alcanzar
los objetivos e identificar los riesgos
5
asociados. Como parte del componente de las transacciones y el control interno.

ambiente de control, el Titular y la Administración
deben definir responsabilidades, asignar puestos
clave y delegar autoridad para alcanzar los
objetivos. Como parte del componente de
administración de riesgos, la Administración debe
identificar los riesgos asociados a la institución y a
sus objetivos, incluidos los servicios tercerizados, la
tolerancia al riesgo y la respuesta a éste. La
Administración debe diseñar las actividades de control
para cumplir con las responsabilidades definidas y
responder apropiadamente a los riesgos.
Diseño de Actividades de Control

Apropiadas
10.03 La Administración debe diseñar las actividades

de control apropiadas para el control interno, las
cuales ayudan al Titular y a la Administración a
cumplir con sus responsabilidades y a enfrentar
apropiadamente a los riesgos identificados en el
control interno. A continuación se presentan de
manera enunciativa, más no limitativa, las
actividades de control que pueden ser útiles para la
institución:
• Revisiones por la Administración del desempeño

actual.
• Revisiones por la Administración a nivel función

o actividad.
• Administración del capital humano.
• Controles sobre el procesamiento de la

información.
• Controles físicos sobre los activos y bienes

vulnerables.
• Establecimiento y revisión de normas e

indicadores
de desempeño.
• Segregación de funciones.
• Ejecución apropiada de transacciones.
• Registro de transacciones con exactitud y

oportunidad.
• Restricciones de acceso a recursos y registros,

así
como rendición de cuentas sobre éstos.
• Documentación y formalización apropiada de
5
Revisiones por la Administración del desempeño actual
La Administración identifica los logros más importantes de

la institución y los compara contra los planes, objetivos y
metas establecidos.
Revisiones por la Administración a nivel de función o

actividad
La Administración compara el desempeño actual contra

los resultados planeados o esperados en determinadas
funciones clave de la institución, y analiza las diferencias
significativas.
Administración del Capital Humano
La gestión efectiva de la fuerza de trabajo de la

institución, su capital humano, es esencial para alcanzar
los resultados y es una parte importante del control
interno. El éxito operativo sólo es posible cuando el
personal adecuado para el trabajo está presente y ha
sido provisto de la capacitación, las herramientas, las
estructuras, los incentivos y las responsabilidades
adecuadas. La Administración continuamente debe
evaluar las necesidades de conocimiento, competencias
y capacidades que el personal debe tener para lograr
los objetivos institucionales. La capacitación debe
enfocarse a desarrollar y retener al personal con los
conocimientos, habilidades y capacidades para cubrir las
necesidades organizacionales cambiantes. La
Administración debe proporcionar supervisión calificada
y continua para asegurar que los objetivos de control
interno son alcanzados. Asimismo, debe diseñar
evaluaciones de desempeño y retroalimentación,
complementadas por un sistema de incentivos efectivo,
lo cual ayuda a los empleados a entender la conexión
entre su desempeño y el éxito de la institución. Como
parte de la planeación del capital humano, la
Administración también debe considerar de qué manera
retiene a los empleados valiosos, cómo planea su
eventual sucesión y cómo asegura la continuidad de las
competencias, habilidades y capacidades necesarias.
Controles sobre el procesamiento de la información
Una variedad de actividades de control son utilizadas en

el procesamiento de la información. Los ejemplos
incluyen verificaciones sobre la edición de datos
ingresados, la contabilidad de las transacciones en
secuencias numéricas, la comparación de los totales de
archivos con las cuentas de control y el control de
acceso a los datos, archivos y programas.
6
Controles físicos sobre los activos y bienes vulnerables a todo el proceso o ciclo de vida de una transacción o
evento, desde
La Administración debe establecer el control físico
para asegurar y salvaguardar los bienes y activos
vulnerables de la institución. Algunos ejemplos
incluyen la seguridad y el acceso limitado a los
activos, como el dinero, valores, inventarios y equipos
que podrían ser vulnerables al riesgo de pérdida o uso
no autorizado. La Administración cuenta y compara
periódicamente dichos activos para controlar los
registros.
Establecimiento y revisión de normas e indicadores

de desempeño
La Administración debe establecer actividades

para revisar los indicadores. Éstas pueden incluir
comparaciones y evaluaciones que relacionan
diferentes conjuntos de datos entre sí para que se
puedan efectuar los análisis de relaciones y se
adopten las medidas correspondientes. La
Administración debe diseñar controles enfocados en
validar la idoneidad e integridad de las normas e
indicadores de desempeño, a nivel institución y a
nivel individual.
Segregación de funciones
La Administración debe dividir o segregar las

atribuciones y funciones principales entre los
diferentes servidores públicos para reducir el riesgo de
error, mal uso, corrupción, fraude, abuso, desperdicio
y otras irregularidades. Esto incluye separar las
responsabilidades para autorizar transacciones,
procesarlas y registrarlas, revisar las transacciones y
manejar cualquier activo relacionado, de manera
que ningún servidor público controle todos los
aspectos clave de una transacción o evento.
Ejecución apropiada de transacciones
Las transacciones deben ser autorizadas y ejecutadas

sólo por los servidores públicos que actúan dentro del
alcance de su autoridad. Éste es el principal medio
para asegurarse de que sólo las transacciones
válidas para el intercambio, transferencia, uso u
compromiso de recursos son iniciadas o efectuadas.
La Administración debe comunicar claramente las
autorizaciones al personal.
Registro de transacciones con exactitud y

oportunidad
La Administración debe asegurarse de que las

transacciones se registran puntualmente para
conservar su relevancia y valor para el control de las
operaciones y la toma de decisiones. Esto se aplica
6
su inicio y autorización hasta su clasificación 10.04Las actividades de control pueden ser

final en los registros. Además, la preventivas o detectivas. La principal diferencia entre
Administración debe diseñar actividades de ambas reside en el momento en que ocurren. Una
control para contribuir a asegurar que todas actividad de control preventiva se dirige a evitar
las transacciones son registradas de forma que la institución falle en alcanzar un objetivo o
completa y precisa. enfrentar un riesgo. Una actividad de control
detectiva descubre cuándo la institución no está
Restricciones de acceso a recursos y alcanzando un objetivo o enfrentando un riesgo antes
registros, así como rendición de cuentas de que la operación concluya, y corrige
sobre éstos
La Administración debe limitar el acceso a los

recursos y registros solamente al personal
autorizado; asimismo, debe asignar y
mantener la responsabilidad de su custodia
y uso. Se deben conciliar periódicamente los
registros con los recursos para contribuir a
reducir el riesgo de errores, corrupción,
fraude, abuso, desperdicio, uso indebido o
alteración no autorizada.
Documentación y formalización apropiada de

las transacciones y el control interno
La Administración debe documentar

claramente el control interno y todas las
transacciones y demás eventos significativos.
Asimismo, debe asegurarse de que la
documentación esté disponible para su
revisión. La documentación y formalización
debe realizarse con base en las directrices
emitidas por la Administración para tal
efecto, mismas que toman la forma de
políticas, guías o lineamientos
administrativos o manuales de operación,
ya sea en papel o en formato electrónico.
La documentación formalizada y los registros
deben ser administrados y conservados
adecuadamente, y por los plazos mínimos
que establezcan las disposiciones legales en
la materia.
El control interno de la institución debe ser

flexible para permitir a la Administración
moldear las actividades de control a sus
necesidades específicas. Las actividades de
control específicas de la institución pueden
ser diferentes de las que utiliza otra, como
consecuencia de muchos factores, los cuales
pueden incluir: riesgos concretos y
específicos que enfrenta la institución; su
ambiente operativo; la sensibilidad y valor
de los datos incorporados a su operación
cotidiana, así como los requerimientos de
confiabilidad, disponibilidad y desempeño
de sus sistemas.
6
las acciones para que se alcance el objetivo o se 10.10 Las actividades de control a nivel transacción
enfrente el riesgo.
son acciones integradas directamente en los
procesos operativos para contribuir al logro de los
10.05 La Administración debe evaluar el propósito
objetivos y enfrentar los riesgos asociados. El término
de las actividades de control, así como el efecto
“transacciones” tiende a asociarse con procesos
que una deficiencia tiene en el logro de los
financieros (por ejemplo, cuentas por pagar),
objetivos institucionales. Si tales actividades cumplen
mientras que el término “actividades” se asocia
un propósito significativo o el efecto de una
generalmente con procesos operativos o de
deficiencia en el control sería relevante para el
cumplimiento. Para fines de este Marco,
logro de los objetivos, la Administración debe
“transacciones” cubre ambas definiciones. La
diseñar actividades de control tanto preventivas
Administración debe diseñar una variedad de
como detectivas para esa transacción, proceso,
actividades de control de transacciones para los
unidad administrativa o función.
procesos operativos, que pueden incluir verificaciones,
conciliaciones, autorizaciones y aprobaciones,
10.06Las actividades de control deben
controles físicos y supervisión.
implementarse ya sea de forma automatizada o
manual. Las primeras están total o parcialmente
10.11Al elegir entre actividades de control a nivel
automatizadas mediante tecnologías de información;
institución o de transacción, la Administración debe
mientras que las manuales son realizadas con
evaluar el nivel de precisión necesario para que la
menor uso de las tecnologías de información. Las
institución cumpla con sus objetivos y enfrente los
actividades de control automatizadas tienden a ser
riesgos relacionados. Para determinar el nivel de
más confiables, ya que son menos susceptibles a precisión necesario para las actividades de control,
errores humanos y suelen ser más eficientes. Si las la Administración debe evaluar:
operaciones en la institución descansan en
tecnologías de información, la Administración debe • Propósito de las actividades de control.
diseñar actividades de control para asegurar que Cuando se trata de prevención o detección, la
dichas tecnologías se mantienen funcionando actividad de control es, en general, más
correctamente y son apropiadas para el tamaño, precisa que una que solamente identifica
características y mandato de la institución. diferencias y las explica.
Diseño de Actividades de Control
• Nivel de agregación. Una actividad de control
en Varios Niveles que se desarrolla a un nivel de mayor detalle
generalmente es más precisa que la realizada
a un nivel general. Por ejemplo, un análisis
10.07 La Administración debe diseñar actividades de las obligaciones por renglón presupuestal
de control en los niveles adecuados de la estructura normalmente es más preciso que un análisis
organizacional. de las obligaciones totales de la institución.
10.08 La Administración debe diseñar actividades de • Regularidad del control. Una actividad de
control para asegurar la adecuada cobertura de los control rutinaria y consistente es
objetivos y los riesgos en las operaciones. Los generalmente más precisa que la realizada de
procesos operativos transforman las entradas en forma esporádica.
salidas para lograr los objetivos institucionales. La
Administración debe diseñar actividades de control a • Correlación con los procesos operativos
nivel institución, a nivel transacción o ambos, pertinentes. Una actividad de control
dependiendo del nivel necesario para garantizar que directamente relacionada con un proceso
la institución cumpla con sus objetivos y conduzca operativo tiene generalmente mayor
los riesgos relacionados. probabilidad de prevenir o detectar
deficiencias que aquella que está relacionada
10.09 Los controles a nivel institución son controles sólo indirectamente.
que tienen un efecto generalizado en el control
interno y pueden relacionarse con varios Segregación de Funciones
componentes. Estos controles pueden incluir
controles relacionados con el componente de 10.12La Administración debe considerar la
administración de riesgos, el ambiente de control, la segregación de funciones en el diseño de las
función de supervisión, los servicios tercerizados y responsabilidades de las actividades de control para
la elusión de controles.
6
garantizar que las funciones incompatibles sean

segregadas y, cuando dicha segregación no sea
práctica, debe diseñar
6
actividades de control alternativas para enfrentar los elusión de controles cuenta con mayores posibilidades
riesgos asociados. de ocurrencia cuando diversas responsabilidades,
incompatibles entre sí, las realiza un solo servidor
10.13 La segregación de funciones contribuye
público. La Administración debe abordar este riesgo a
a prevenir corrupción, fraudes, desperdicio y abusos través de la segregación de funciones, pero no puede
en el control interno. La Administración debe impedirlo absolutamente, debido al riesgo de colusión
considerar la necesidad de separar las actividades de en el que dos o más servidores públicos se
control relacionadas con la autorización, custodia y confabulan para eludirlos controles.
registro de las operaciones para lograr una adecuada
segregación de funciones. En particular, la 10.14 Si la segregación de funciones no es práctica
segregación permite hacer frente al riesgo de en un proceso operativo debido a personal limitado
elusión de controles. Si la Administración, tiene la u otros factores, la Administración debe diseñar
posibilidad de eludir las actividades de control, actividades de control alternativas para enfrentar el
dicha situación se constituye en un posible medio riesgo de corrupción, fraude, desperdicio o abuso
para la realización de actos corruptos y genera que en los procesos operativos.
el control interno no sea apropiado ni eficaz. La
Principio 11 – Diseñar Actividades para los Sistemas

de Información
11.01 La Administración debe diseñar los sistemas de procesar
información institucional y las actividades de
control asociadas, a fin de alcanzar los objetivos y
responder a los riesgos.
Puntos de Interés

principio:
• Desarrollo de los Sistemas de Información
• Diseño de los Tipos de Actividades de Control

Apropiadas
• Diseño de la Infraestructura de las TIC
• Diseño de la Administración de la Seguridad
• Diseño de la Adquisición, Desarrollo y

Mantenimiento
de las TIC
Desarrollo de los
Sistemas de Información
11.02 La Administración debe desarrollar los sistemas

de información de manera tal que se cumplan los
objetivos institucionales y se responda
apropiadamente a los riesgos asociados.
11.03 La Administración debe desarrollar los sistemas

de información de la institución para obtener y
6
apropiadamente la información relativa a

cada uno de los procesos operativos. Dichos
sistemas contribuyen a alcanzar los objetivos
institucionales y a responder a los riesgos
asociados. Un sistema de información se
integra por el personal, los procesos, los
datos y la tecnología, organizados para
obtener, comunicar o disponer de la
información. Asimismo, debe representar el
ciclo de vida de la información utilizada
para los procesos operativos, que permita a la
institución obtener, almacenar y procesar
información de calidad.
Un sistema de información debe incluir tanto

procesos manuales como automatizados.
Los procesos automatizados se conocen
comúnmente como las Tecnologías de
Información y Comunicaciones (TIC).
Como parte del componente de ambiente

de control, la Administración debe definir
las responsabilidades, asignarlas a los
puestos clave y delegar autoridad para
lograr los objetivos. Como parte del
componente de administración de riesgos,
la Administración debe identificar los
riesgos relacionados con la institución y sus
objetivos, incluyendo los servicios
tercerizados, la tolerancia al riesgo y las
respuestas a éstos. La Administración debe
diseñar actividades de control para cumplir
con las responsabilidades definidas y
generar las respuestas a los riesgos
identificados en los sistemas de
información.
11.04 La Administración debe desarrollar los

sistemas de información y el uso de las
TIC considerando las necesidades de
información definidas para los procesos
operativos de la institución. Las TIC permiten
6
que la información relacionada con los procesos 11.08 Los controles de aplicación, a veces llamados
operativos esté disponible de la forma más
controles de procesos de operación, son los controles
oportuna y confiable para la institución.
que se incorporan directamente en las aplicaciones
Adicionalmente, las TIC pueden fortalecer el control
informáticas para contribuir a asegurar la validez,
interno sobre la seguridad y la confidencialidad de
integridad, exactitud y confidencialidad de las
la información mediante una adecuada restricción
transacciones y los datos durante el proceso de las
de accesos. Aunque las TIC conllevan tipos
aplicaciones. Los controles de aplicación deben
específicos de actividades de control, no
incluir las entradas, el procesamiento, las salidas, los
representan una consideración de control
archivos maestros, las interfaces y los controles para
“independiente”, sino que son parte integral de la
los sistemas de administración de datos, entre
mayoría de las actividades de control.
otros.
11.05 La Administración también debe evaluar los Diseño de la Infraestructura de las TIC
objetivos de procesamiento de información para
satisfacer las necesidades de información definidas.
11.09La Administración debe diseñar las actividades
Los objetivos de procesamiento de información
de control sobre la infraestructura de las TIC para
pueden incluir:
soportar la integridad, exactitud y validez del
procesamiento de la información mediante el uso de
• Integridad. Se encuentran presentes todas las
TIC. Las TIC requieren de una infraestructura para
transacciones que deben estar en los registros.
operar, incluyendo las redes de comunicación para
vincularlas, los recursos informáticos para las
• Exactitud. Las transacciones se registran por el
aplicaciones y la electricidad. La infraestructura de
importe correcto, en la cuenta correcta, y de
TIC de la institución puede ser compleja y puede ser
manera oportuna en cada etapa del proceso.
compartida por diferentes unidades dentro de la
misma o tercerizada. La Administración debe evaluar
• Validez. Las transacciones registradas
los objetivos de la institución y los riesgos asociados al
representan eventos económicos que realmente
diseño de las actividades de control sobre la
ocurrieron y fueron ejecutados conforme a los
infraestructura de las TIC.
procedimientos establecidos.
Diseño de los Tipos de Actividades 11.10 La Administración debe mantener la

evaluación de los cambios en el uso de las TIC y
de Control Apropiadas debe diseñar nuevas actividades de control cuando
estos cambios se incorporan en la infraestructura
de las TIC. La administración también debe
11.06 La Administración debe diseñar actividades
diseñar actividades de control necesarias para
de control apropiadas en los sistemas de información
mantener la infraestructura de las TIC. El
para garantizar la cobertura de los objetivos de
mantenimiento de la tecnología debe incluir los
procesamiento de la información en los procesos
procedimientos de respaldo y recuperación, así como
operativos. En los sistemas de información, existen
dos tipos principales de actividades de control: la continuidad de los planes de operación, en
generales y de aplicación. función de los riesgos y las consecuencias de una
interrupción total o parcial de los sistemas de energía,
11.07 Los controles generales (a nivel institución, entre otros.
de sistemas y de aplicaciones) son las políticas y
Diseño de la Administración
procedimientos que se aplican a la totalidad o a un
segmento de los sistemas de información. Los de la Seguridad
controles generales fomentan el buen
funcionamiento de los sistemas de información
11.11 La Administración debe diseñar
mediante la creación de un entorno apropiado para
actividades de control para la gestión de la seguridad
el correcto funcionamiento de los controles de
sobre los sistemas de información con el fin de
aplicación. Los controles generales deben incluir la
garantizar el acceso adecuado, de fuentes internas y
administración de la seguridad, acceso lógico y
externas a éstos. Los objetivos para la gestión de la
físico, administración de la configuración,
seguridad deben incluir la confidencialidad, la
segregación de funciones, planes de continuidad y
integridad y la disponibilidad. La confidencialidad
planes de recuperación de desastres, entre otros.
significa que los datos, informes y demás salidas
están protegidos contra el acceso
6
no autorizado. Integridad significa que la información segregación de funciones.

es protegida contra su modificación o destrucción
indebida, incluidos la irrefutabilidad y autenticidad de
la información. Disponibilidad significa que los
datos, informes y demás información pertinente se
encuentra lista y accesible para los usuarios cuando
sea necesario.
11.12 La gestión de la seguridad debe incluir los

procesos de información y las actividades de
control relacionadas con los permisos de acceso a
las TIC, incluyendo quién tiene la capacidad de
ejecutar transacciones. La gestión de la seguridad
debe incluir los permisos de acceso a través de
varios niveles de datos, el sistema operativo
(software del sistema), la red de comunicación,
aplicaciones y segmentos físicos, entre otros. La
Administración debe diseñar las actividades de control
sobre permisos para proteger a la institución del
acceso inapropiado y el uso no autorizado del
sistema. Estas actividades de control apoyan la
adecuada segregación de funciones. Mediante la
prevención del uso no autorizado y la realización de
cambios al sistema, los datos y la integridad de los
programas están protegidos contra errores y acciones
mal intencionadas (por ejemplo, que personal no
autorizado irrumpa en la tecnología para cometer
actos de corrupción, fraude o vandalismo).
11.13 La Administración debe evaluar las amenazas

de seguridad a las TIC, tanto de fuentes internas
como externas. Las amenazas externas son
especialmente importantes para las instituciones
que dependen de las redes de telecomunicaciones
e Internet. Este tipo de amenazas se han vuelto
frecuentes en el entorno institucional y empresarial
altamente interconectado de hoy, y requiere un
esfuerzo continuo para enfrentar estos riesgos. Las
amenazas internas pueden provenir de exempleados
o empleados descontentos, quienes plantean
riesgos únicos, ya que pueden ser a la vez
motivados para actuar en contra de la institución y
están mejor preparados para tener éxito en la
realización de un acto malicioso, al tener la
posibilidad de un mayor acceso y el conocimiento
sobre los sistemas de administración de la
seguridad de la institución y sus procesos.
11.14 La Administración debe diseñar actividades

de control para limitar el acceso de los usuarios a las
TIC a través de controles como la asignación de
claves de acceso y dispositivos de seguridad para
autorización de usuarios. Estas actividades de control
deben restringir a los usuarios autorizados el uso de
las aplicaciones o funciones acordes con sus
responsabilidades asignadas; asimismo, la
Administración debe promover la adecuada
6
La Administración debe diseñar otras TIC. En cuanto a un CVDS desarrollado internamente,

actividades de control para actualizar los la Administración debe diseñar actividades de control
derechos de acceso, cuando los empleados para lograr los objetivos y enfrentar los riesgos
cambian de funciones o dejan de formar relacionados. La Administración también debe evaluar
parte de la institución. También debe los riesgos que la utilización de servicios tercerizados
diseñar controles de derechos de acceso representa para la integridad, exactitud y validez de la
cuando los diferentes elementos de las TIC información presentada a los servicios tercerizados y
están conectados entre sí. ofrecida por éstos.
Diseño de la Adquisición,
Desarrollo y Mantenimiento
de las TIC
11.15La Administración debe diseñar las

actividades de control para la adquisición,
desarrollo y mantenimiento de las TIC. La
Administración puede utilizar un modelo de
Ciclo de Vida del Desarrollo de Sistemas
(CVDS) en el diseño de las actividades de
control. El CVDS proporciona una estructura
para un nuevo diseño de las TIC al esbozar
las fases específicas y documentar los
requisitos, aprobaciones y puntos de revisión
dentro de las actividades de control sobre la
adquisición, desarrollo y mantenimiento de la
tecnología. A través del CVDS, la
Administración debe diseñar las actividades
de control sobre los cambios en la
tecnología. Esto puede implicar el
requerimiento de autorización para realizar
solicitudes de cambio, la revisión de los
cambios, las aprobaciones correspondientes
y los resultados de las pruebas, así como el
diseño de protocolos para determinar si los
cambios se han realizado correctamente.
Dependiendo del tamaño y complejidad de la
institución, el desarrollo y los cambios en las
TIC pueden ser incluidos en el CVDS o en
metodologías distintas. La Administración
debe evaluar los objetivos y los riesgos de las
nuevas tecnologías en el diseño de las
actividades de control sobre el CVDS.
11.16 La Administración puede adquirir

software de TIC, por lo que debe incorporar
metodologías para esta acción y debe
diseñar actividades de control sobre su
selección, desarrollo continuo y
mantenimiento. Las actividades de control
sobre el desarrollo, mantenimiento y cambio
en el software de aplicaciones previenen la
existencia de programas o modificaciones no
autorizados.
11.17 Otra alternativa es la contratación de

servicios tercerizados para el desarrollo de las
6
La Administración debe documentar y formalizar el criterios en materia de TIC. Asimismo, debe

análisis y definición, respecto del desarrollo de supervisar, continua y exhaustivamente, los
sistemas automatizados, la adquisición de tecnología, desarrollos contratados y el desempeño de la
el soporte y las instalaciones físicas, previo a la tecnología adquirida, a efecto de asegurar que los
selección de proveedores que reúnan requisitos y entregables se proporcionen en tiempo y los
cumplan los resultados correspondan a lo planeado.
Principio 12 – Implementar Actividades de Control

12.01 La Administración debe implementar las 12.04 El personal de las unidades que ocupa
actividades de control a través de políticas,
puestos clave puede definir con mayor amplitud las
procedimientos y otros medios de similar naturaleza.
políticas a través de los procedimientos del día a día,
Puntos de Interés dependiendo de la frecuencia del cambio en el
entorno operativo y la complejidad del proceso
operativo. Los procedimientos pueden incluir el
periodo de ocurrencia de la actividad de control y
las acciones correctivas de seguimiento a realizar
principio:
por el personal competente en caso de detectar
deficiencias. La Administración debe comunicar al
• Documentación y Form ali za ci ón de
personal las políticas y procedimientos para que
Responsabilidades a través de Políticas
éste pueda implementar las actividades de control
respecto de las responsabilidades que tiene
• Revisiones Periódicas a las Actividades de
asignadas.
Control
Revisiones Periódicas a las
Documentación y Formalización de
Actividades de Control
Responsabilidades a través de Políticas
12.05 La Administración debe revisar periódicamente
12.02La Administración debe documentar, a través
las políticas, procedimientos y actividades de
de políticas, manuales, lineamientos y otros
control asociadas para mantener la relevancia y
documentos de naturaleza similar las
eficacia en el logro de los objetivos o en el
responsabilidades de control interno en la institución.
enfrentamiento de sus riesgos. Si se genera un
cambio significativo en los procesos de la institución,
12.03 La Administración debe documentar
la Administración debe revisar este proceso de
mediante políticas para cada unidad su
manera oportuna, para garantizar que las
responsabilidad sobre el cumplimiento de los
actividades de control están diseñadas e
objetivos de los procesos, de sus riesgos asociados,
implementadas adecuadamente. Pueden ocurrir
del diseño de actividades de control, de la
cambios en el personal, los procesos operativos o
implementación de los controles y de su eficacia
las tecnologías de información. Las diversas
operativa. Cada unidad determina el número de las
instancias legislativas gubernamentales, en sus
políticas necesarias para el proceso operativo que
ámbitos de competencia, así como otros órganos
realiza, basándose en los objetivos y los riesgos
reguladores también pueden emitir disposiciones y
relacionados a éstos, con la orientación de la
generar cambios que impacten los objetivos
Administración. Cada unidad también debe
institucionales o la manera en que la institución
documentar las políticas con un nivel eficaz,
logra un objetivo. La Administración debe considerar
apropiado y suficiente de detalle para permitir a la
estos cambios en sus revisiones periódicas.
Administración la supervisión apropiada de las
actividades de control.
7
Información y Comunicación
La Administración utiliza información de calidad
para respaldar el control interno. La información y
comunicación eficaces son vitales para la
consecución de los objetivos institucionales. La
Administración requiere tener acceso a
comunicaciones relevantes y confiables en relación
con los eventos internos y externos.
Principios
13. La Administración, debe implementar los

medios que permitan a las unidades
administrativas generar y utilizar información
pertinente y de calidad para la consecución de
los objetivos institucionales.
14. La Administración, es responsable de que

las unidades administrativas comuniquen
internamente, por los canales apropiados y de
conformidad con las disposiciones aplicables, la
información de calidad necesaria para contribuir
a la consecución de los objetivos institucionales.
externamente, por los canales apropiados y
de conformidad con las disposiciones
15. La Administración, es responsable de que
aplicables, la información de calidad necesaria
las unidades administrativas comuniquen
para contribuir a la consecución de los
Principio 13 – Usar Información de Calidad

13.01 La Administración debe utilizar información riesgos asociados a éstos, para identificar los requerimientos
de calidad para la consecución de los objetivos de
institucionales.
Puntos de Interés

principio:
• Identificación de los Requerimientos de

Información
• Datos Relevantes de Fuentes Confiables
• Datos Procesados en Información de Calidad
Identificación de los
Requerimientos de Información
13.02 La Administración debe diseñar un proceso

que considere los objetivos institucionales y los
7
información necesarios para alcanzarlos y

enfrentarlos, respectivamente. Estos
requerimientos deben considerar las
expectativas de los usuarios internos y
externos. La Administración debe definir los
requisitos de información con puntualidad
suficiente y apropiada, así como con la
especificidad requerida para el personal
pertinente.
13.03 La Administración debe identificar

los requerimientos de información en un
proceso continuo que se desarrolla en todo el
control interno. Conforme ocurre un cambio
en la institución, en sus objetivos y riesgos,
la Administración debe modificar los requisitos
de información según sea necesario para
cumplir con los objetivos y hacer frente a los
riesgos modificados.
Datos Relevantes de Fuentes Confiables
13.04La Administración debe obtener datos

relevantes de fuentes confiables tanto
internas como externas, de manera
oportuna, y en función de los requisitos de
información identificados y establecidos. Los
datos relevantes tienen una conexión lógica
con los requisitos de información identificados
y establecidos. Las fuentes
7
internas y externas confiables proporcionan datos de fuentes confiables. La información de calidad

que son razonablemente libres de errores y sesgos. debe ser apropiada, veraz, completa, exacta,
La Administración debe evaluar los datos accesible y proporcionada de manera oportuna. La
provenientes de fuentes internas y externas, para Administración debe considerar estas
asegurarse de que son confiables. Las fuentes de características, así como los objetivos de
información pueden relacionarse con objetivos procesamiento, al evaluar la información procesada;
operativos, financieros o de cumplimiento. La también debe efectuar revisiones cuando sea
Administración debe obtener los datos en forma necesario, a fin de garantizar que la información es
oportuna con el fin de que puedan ser utilizados de de calidad. La Administración debe utilizar información
manera apropiada. Su utilización debe ser de calidad para tomar decisiones informadas y
supervisada. evaluar el desempeño institucional en cuanto al
logro de sus objetivos clave y el enfrentamiento de
Datos Procesados en Información
sus riesgos asociados.
de Calidad
13.06La Administración debe procesar datos
relevantes a partir de fuentes confiables y
13.05 La Administración debe procesar los datos transformarlos en información de calidad dentro de
obtenidos y transformarlos en información de calidad los sistemas de información de la institución. Un
que apoye al control interno. Esto implica sistema de información se encuentra conformado por
procesarla para asegurar que se trata de el personal, los procesos, los datos y la tecnología
información de calidad. La calidad de la información utilizada, organizados para obtener, comunicar o
se logra al utilizar datos disponer de la información.
Principio 14 – Comunicar Internamente

14.01 La Administración debe comunicar comunicaciones, la Administración debe asignar
internamente la información de calidad necesaria responsabilidades de control interno para las
para la consecución de los objetivos institucionales. funciones clave.
Puntos de Interés

principio:
• Comunicación en Toda la Institución
• Métodos Apropiados de Comunicación
Comunicación en Toda la Institución
14.02 La Administración debe comunicar

información de calidad en toda la institución
utilizando las líneas de reporte y autoridad
establecidas. Tal información debe comunicarse
hacia abajo, lateralmente y hacia arriba, mediante
líneas de reporte, es decir, en todos los niveles de
la institución.
14.03 La Administración debe comunicar información

de calidad hacia abajo y lateralmente a través de las
líneas de reporte y autoridad para permitir que el
personal desempeñe funciones clave en la consecución
de objetivos, enfrentamiento de riesgos, prevención
de la corrupción y apoyo al control interno. En estas
7
14.04 La Administración debe recibir información de

calidad sobre los procesos operativos de la institución, la
cual fluye por las líneas de reporte y autoridad apropiadas
para que el personal apoye a la Administración en la
consecución de los objetivos institucionales.
14.05 El Órgano de Gobierno, en su caso, o el Titular

debe recibir información de calidad que fluya hacia
arriba por las líneas de reporte, proveniente de la
Administración y demás personal. La información
relacionada con el control interno que es comunicada al
Órgano de Gobierno o al Titular, debe incluir asuntos
importantes acerca de la adhesión, cambios o asuntos
emergentes en materia de control interno. La
comunicación ascendente es necesaria para la vigilancia
efectiva del control interno.
14.06 Cuando las líneas de reporte directas se ven

comprometidas, el personal utiliza líneas separadas para
comunicarse de manera ascendente. Las disposiciones
jurídicas y normativas, así como las mejores prácticas
internacionales, pueden requerir a las instituciones
establecer líneas de comunicación separadas, como
líneas éticas de denuncia, para la comunicación de
información confidencial o sensible. La Administración
debe informar a los empleados sobre estas líneas
separadas, la manera en que funcionan, cómo utilizarlas
y cómo se mantendrá la confidencialidad de la
información y, en su caso, el anonimato de quienes
aporten información.
7
Métodos Apropiados de Comunicación
14.07 La Administración debe seleccionar métodos • Los requisitos legales o reglamentarios. Los
apropiados para comunicarse internamente. mandatos contenidos en las leyes y regulaciones
Asimismo, debe considerar una serie de factores en que pueden impactar la comunicación.
la selección de los métodos apropiados de
comunicación, entre los que se encuentran:
14.08 Con base en la consideración de los factores,
la Administración debe seleccionar métodos de
• Audiencia. Los destinatarios de la comunicación apropiados, como documentos
comunicación.
escritos, ya sea en papel o en formato electrónico,
o reuniones con el personal. Asimismo, debe evaluar
• Naturaleza de la información. El propósito y el periódicamente los métodos de comunicación de la
tipo de información que se comunica. institución para asegurar que cuenta con las
herramientas adecuadas para comunicar
• Disponibilidad. La información está a internamente información de calidad de manera
disposición de los diversos interesados cuando oportuna.
es necesaria.
• Costo. Los recursos utilizados para comunicar la

información.
Principio 15 – Comunicar Externamente

15.01 La institución debe comunicar externamente la que impactan el control interno.
información de calidad necesaria para la consecución
de los objetivos institucionales.
Puntos de Interés

principio:
• Comunicación con Partes Externas
• Métodos Apropiados de Comunicación
Comunicación con Partes Externas
15.02 La Administración debe comunicar a las

partes externas, y obtener de éstas, información de
calidad, utilizando las líneas de reporte establecidas.
Las líneas abiertas y bidireccionales de reporte con
partes externas permiten esta comunicación. Las
partes externas incluyen, entre otros, a los
proveedores, contratistas, servicios tercerizados,
reguladores, auditores externos, instituciones
gubernamentales y el público en general.
15.03 La Administración debe comunicar

información de calidad externamente a través de las
líneas de reporte. De ese modo, las partes externas
pueden contribuir a la consecución de los objetivos
institucionales y a enfrentar sus riesgos asociados. La
Administración debe incluir en esta información la
comunicación relativa a los eventos y actividades
7
15.04 La Administración debe recibir

información de partes externas a través de
las líneas de reporte establecidas y
autorizadas. La información comunicada a la
Administración debe incluir los asuntos
significativos relativos a los riesgos, cambios
o problemas que afectan al control interno,
entre otros. Esta comunicación es necesaria
para el funcionamiento eficaz y apropiado
del control interno. La Administración debe
evaluar la información externa recibida contra
las características de la información de
calidad y los objetivos del procesamiento de
la información; en su caso, debe tomar
acciones para asegurar que la información
recibida sea de calidad.
15.05 El Órgano de Gobierno, en su caso, o

el Titular debe recibir información de partes
externas a través de las líneas de reporte
establecidas y autorizadas. La información
comunicada al Órgano de Gobierno o al
Titular, debe incluir asuntos importantes
relacionados con los riesgos, cambios o
problemas que impactan al control interno,
entre otros. Esta comunicación es necesaria
para la vigilancia eficaz y apropiada del
control interno.
15.06 Cuando las líneas de reporte directas

se ven comprometidas, las partes externas
utilizan líneas separadas para comunicarse
con la institución. Las disposiciones jurídicas
y normativas, así como las mejores
prácticas internacionales pueden requerir a
las instituciones establecer líneas separadas
de comunicación, como líneas éticas de
denuncia,
7
para comunicar información confidencial o sensible. • Los requisitos legales o reglamentarios. Los
La Administración debe informar a las partes externas mandatos contenidos en las leyes y regulaciones
sobre estas líneas separadas, la manera en que que pueden impactar la comunicación.
funcionan, cómo utilizarlas y cómo se mantendrá la
confidencialidad de la información y, en su caso, el 15.08 Con base en la consideración de los factores,
anonimato de quienes aporten información. la Administración debe seleccionar métodos de
comunicación apropiados, como documentos
escritos, ya sea en papel o formato electrónico, o
Métodos Apropiados de Comunicación reuniones con el personal. De igual manera,
debe evaluar periódicamente los métodos de
15.07 La Administración debe seleccionar métodos comunicación de la institución para asegurar que
apropiados para comunicarse externamente. cuenta con las herramientas adecuadas para
Asimismo, debe considerar una serie de factores en comunicar externamente información de calidad de
la selección de métodos apropiados de manera oportuna.
comunicación, entre los que se encuentran:
15.09 Las instituciones del sector público, de acuerdo
• Audiencia. Los destinatarios de la con el Poder al que pertenezcan y el orden de
comunicación. gobierno en el que se encuadren, deben comunicar
sobre su desempeño a distintas instancias y
• Naturaleza de la información. El propósito y autoridades, de acuerdo con las disposiciones
el tipo de información que se comunica aplicables. De manera adicional, todas las
instituciones gubernamentales deben rendir cuentas a
• Disponibilidad. La información está a la ciudadanía sobre su actuación y desempeño. La
disposición de los diversos interesados cuando Administración debe tener en cuenta los métodos
es necesaria. apropiados para comunicarse con una audiencia
tan amplia.
• Costo. Los recursos utilizados para comunicar la
información.
Supervisión
Finalmente, dado que el control interno es un proceso 17. La Administración, es responsable de corregir
dinámico que tiene que adaptarse continuamente a oportunamente las deficiencias de control
los riesgos y cambios a los que se enfrenta la interno detectadas.
institución, la supervisión del control interno es
esencial para contribuir a asegurar que el control
interno se mantiene alineado con los objetivos Objetivos y Componentes
institucionales, el entorno operativo, las disposiciones
jurídicas aplicables, los recursos asignados y los
riesgos asociados al cumplimiento de los objetivos,
todos ellos en constante cambio. La supervisión del
control interno permite evaluar la calidad del
desempeño en el tiempo y asegura que los
resultados de las auditorías y de otras revisiones se
atiendan con prontitud. Las acciones correctivas
son un complemento necesario para las actividades
de control, con el fin de alcanzar los objetivos
institucionales.
Principios
16. La Administración, debe establecer

actividades para la adecuada supervisión
del control interno y la evaluación de sus
resultados.
7
Principio 16 - Realizar Actividades de Supervisión

respecto de la eficacia e idoneidad de las autoevaluaciones.
16.01 La Administración debe establecer las
actividades de supervisión del control interno y evaluar
sus resultados.
Puntos de Interés

principio:
• Establecimiento de Bases de Referencia
• Supervisión del Control Interno
• Evaluación de Resultados
Establecimiento de Bases de Referencia
16.02 La Administración debe establecer bases de

referencia para supervisar el control interno. Estas
bases comparan el estado actual del control interno
contra el diseño efectuado por la Administración. Las
bases de referencia representan la diferencia entre los
criterios de diseño del control interno y el estado del
control interno en un punto específico en el tiempo. En
otras palabras, las líneas o bases de referencia revelan
debilidades y deficiencias detectadas en el control
interno de la institución.
16.03 Una vez establecidas las bases de referencia,

la Administración debe utilizarlas como criterio en
la evaluación del control interno, y debe realizar
cambios para reducir la diferencia entre las bases y
las condiciones reales. La Administración puede
reducir esta diferencia de dos maneras. Por una
parte, puede cambiar el diseño del control interno
para enfrentar mejor los objetivos y los riesgos
institucionales y, por la otra, puede mejorar la
eficacia operativa del control interno. Como parte de
la supervisión, la Administración debe determinar
cuándo revisar las bases de referencia, mismas que
servirán para evaluaciones de control interno
subsecuentes.
Supervisión del Control Interno
16.04 La Administración debe supervisar el control

interno a través de autoevaluaciones y
evaluaciones independientes. Las autoevaluaciones
están integradas a las operaciones de la institución,
se realizan continuamente y responden a los
cambios. Las evaluaciones independientes se utilizan
periódicamente y pueden proporcionar información
7
ambas para obtener una seguridad razonable sobre

16.05 La Administración debe la eficacia operativa de los controles internos
establecer autoevaluaciones al diseño y respecto los procesos asignados a los servicios
eficacia operativa del control interno como tercerizados. Estas actividades de seguimiento
parte del curso normal de las operaciones. relacionadas con los servicios tercerizados pueden
Las autoevaluaciones incluyen actividades de ser realizadas ya sea por la propia Administración, o
supervisión permanente por parte de la por personal externo, y revisadas posteriormente por
Administración, comparaciones, conciliaciones y la Administración.
otras acciones de rutina. Estas evaluaciones
pueden incluir herramientas automatizadas,
las cuales permiten incrementar la objetividad
y la eficiencia de los resultados mediante la
recolección electrónica de las evaluaciones a
los controles y transacciones.
16.06 La Administración debe incorporar

evaluaciones independientes para supervisar
el diseño y la eficacia operativa del control
interno en un momento determinado, o de
una función o proceso específico. El
alcance y la frecuencia de las evaluaciones
independientes dependen, principalmente,
de la administración de riesgos, la eficacia
del monitoreo permanente y la frecuencia
de cambios dentro de la institución y en su
entorno. Las evaluaciones independientes
pueden tomar la forma de autoevaluaciones,
las cuales incluyen a la evaluación entre
pares; talleres conformados por los propios
servidores públicos y moderados por un
facilitador externo especializado, o
evaluaciones de funciones cruzadas, entre
otros.
16.07 Las evaluaciones independientes

también incluyen auditorías y otras
evaluaciones que pueden implicar la revisión
del diseño de los controles y la prueba directa
a la implementación del control interno. Estas
auditorías y otras evaluaciones pueden ser
obligatorias, de conformidad con las
disposiciones jurídicas, y son realizadas por
auditores gubernamentales internos,
auditores externos, entidades fiscalizadoras
y otros revisores externos. Las evaluaciones
independientes proporcionan una mayor
objetividad cuando son realizadas por
revisores que no tienen responsabilidad en
las actividades que se están evaluando.
16.08 La Administración conserva la

responsabilidad de supervisar si el control
interno es eficaz y apropiado para los
procesos asignados a los servicios
tercerizados. También debe utilizar
autoevaluaciones, evaluaciones
independientes o una combinación de
7
Evaluación de Resultados
16.09 La Administración debe evaluar y documentar cambios que son necesarios implementar,
los resultados de las autoevaluaciones y de las derivados de modificaciones en la institución y en
evaluaciones independientes para identificar su entorno. Las partes externas también pueden
problemas en el control interno. Asimismo, debe contribuir con la Administración a identificar
utilizar estas evaluaciones para determinar si el problemas en el control interno. Por ejemplo, las
control interno es eficaz y apropiado. Las diferencias quejas o denuncias de la ciudadanía y el público en
entre los resultados de las actividades de supervisión general, o de los cuerpos revisores o reguladores
y las bases de referencia pueden indicar problemas de externos, pueden indicar áreas en el control interno
control interno, incluidos los cambios al control que necesitan mejorar. La Administración debe
interno no documentados o posibles deficiencias de considerar si los controles actuales hacen frente de
control interno. manera apropiada a los problemas identificados y,
en su caso, modificar los controles.
16.10 La Administración debe identificar los cambios
que han ocurrido en el control interno, o bien los
Principio 17 – Evaluar los Problemas y Corregir las Deficiencias

17.01 La Administración debe corregir de manera • Problemas que afectan al conjunto de la estructura
oportuna las deficiencias de control interno organizacional o se extienden fuera de la
identificadas.
Puntos de Interés

principio:
• Informe sobre Problemas
• Evaluación de Problemas
• Acciones Correctivas
Informe sobre Problemas
17.02 Todo el personal debe reportar a las partes

internas y externas adecuadas los problemas de
control interno que haya detectado, mediante las
líneas de reporte establecidas, para que la
Administración, las unidades especializadas, en su
caso, y las instancias de supervisión, evalúen
oportunamente dichas cuestiones.
17.03 El personal puede identificar problemas de

control interno en el desempeño de sus
responsabilidades. Asimismo, debe comunicar
estas cuestiones internamente al personal en la
función clave responsable del control interno o
proceso asociado y, cuando sea necesario, a otro
de un nivel superior a dicho responsable.
Dependiendo de la naturaleza de los temas, el
personal puede considerar informar determinadas
cuestiones al Órgano de Gobierno, en su caso, o al
Titular. Tales problemas pueden incluir:
8
institución y recaen sobre los servicios tercerizados,

contratistas o proveedores.
• Problemas que no pueden corregirse debido a

intereses de la Administración, como la información
confidencial o sensible sobre actos de corrupción,
fraudes, abuso, desperdicio u otros actos ilegales.
17.04 En función de los requisitos legales o de

cumplimiento, la institución también puede requerir
informar de los problemas a los terceros pertinentes,
tales como legisladores, reguladores, organismos
normativos y demás encargados de la emisión de
criterios y disposiciones normativas a las que la institución
está sujeta.
Evaluación de Problemas
17.05 La Administración debe evaluar y documentar los

problemas de control interno y debe determinar las
acciones correctivas apropiadas para hacer frente
oportunamente a los problemas y deficiencias
detectadas. También debe evaluar los problemas que
han sido identificados mediante sus actividades de
supervisión o a través de la información proporcionada por
el personal, y debe determinar si alguno de estos
problemas reportados se ha convertido en una
deficiencia de control interno. Estas deficiencias
requieren una mayor evaluación y corrección por parte de
la Administración. Una deficiencia de control interno puede
presentarse en su diseño, implementación o eficacia
operativa, así como en sus procesos asociados. La
Administración debe determinar, dado el tipo de
deficiencia de control interno, las acciones correctivas
apropiadas para remediar la deficiencia oportunamente.
8
Adicionalmente, puede asignar responsabilidades y apropiado la autoridad y responsabilidad para realizar

delegar autoridad para la apropiada remediación de las acciones correctivas. El proceso de resolución
las deficiencias de control interno. de auditoría comienza cuando los resultados de
las revisiones o evaluaciones son reportados a la
Acciones Correctivas
Administración, y se termina sólo cuando las acciones
pertinentes se han puesto en práctica para (1)
17.06 La Administración debe poner en práctica y
corregir las deficiencias identificadas, (2) efectuar
documentar en forma oportuna las acciones para
mejoras o
corregir las deficiencias de control interno.
(3) demostrar que los hallazgos y recomendaciones
Dependiendo de la naturaleza de la deficiencia, el
no justifican una acción por parte de la
Órgano de Gobierno, en su caso, el Titular o la
Administración. Ésta última, bajo la supervisión del
Administración deben revisar la pronta corrección
Órgano de Gobierno o del Titular, monitorea el
de las deficiencias, comunicar las medidas
estado de los esfuerzos de corrección realizados
correctivas al nivel apropiado de la estructura
para asegurar que se llevan a cabo de manera
organizacional, y delegar al personal
oportuna.

Marco Integrado de Cont Int Leyen

Cargado por

Copyright:

Formatos disponibles

Marco Integrado de Cont Int Leyen

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Marco Integrado de Cont Int Leyen

Cargado por

Copyright:

Formatos disponibles

Marco Integrado de Control Interno

AUDITORÍA ESPECIAL DE TECNOLOGÍAS DE INFORMACIÓN,

3. MARCO INTEGRADO DE CONTROL INTERNO PARA EL SECTOR PÚBLICO................8

4. COMPONENTES DEL CONTROL INTERNO................................................... 21

1 Presentación de la Propuesta del

El desarrollo nacional es el eje rector de las

Tal función gubernamental recae sobre los titulares y

En este sentido, la implementación de un Sistema

Actualmente, en nuestro país se han desarrollado

• La Secretaría de la Función Pública (SFP)

necesidad de que las instituciones del sector

• La Auditoría Superior de la Federación

• El Sistema Nacional de Fiscalización

Entre las responsabilidades de este

En este contexto y aunado a: 1) la

Controles a nivel institución.

configuraciones, segregación de funciones y planes de contingencia.

Evaluación a los sistemas de Control Interno.

3 Marco Integrado de Control Interno

Características del Control Administración y al resto de los servidores públicos a

El control interno conforma un sistema integral y

El control interno no es un evento único y aislado,

Los servidores públicos son los que propician que

• Es acorde con el tamaño, estructura,

• Contribuye de manera eficaz, eficiente y

• Asegura, de manera razonable, la

Sección 2 – Establecimiento del Control Interno

Componentes, Principios y Puntos de Interés del Control Interno

Fuente: Adaptado de las Normas de Control Interno en el Gobierno Federal, GAO.

• Ambiente de Control. Es la base del control

• Administración de Riesgos. Es el proceso que

institución en la procuración del

• Actividades de Control. Son

• Información y Comunicación. Es la información y entenderlos, así como de ejercer su juicio

Los puntos de interés se consideran relevantes Al elaborar el plan estratégico de la institución,

documentos pertinentes, de acuerdo con las

son claras y que permiten la identificación de documentadas y formalmente establecidas sus

El Control Interno y la Institución

Fuente: Adaptado del Informe COSO 2013.

El control interno es un proceso dinámico,

Responsabilidades y Funciones en el Control Interno

RESPONSABLES DE LA IMPLEMENTACIÓN Y MEJORA CONTINUA DEL CONTROL INTERNO

Las Entidades Fiscalizadoras Superiores y otros funcionamiento, realizan contribuciones favorables y

• Cumplimiento. Apego a las disposiciones • Objetivos de Informes Internos Financieros y

Objetivos de Información • Prevenga actos corruptos;

personal responsable de su consecución. El

Sección 3 – Evaluación del Control Interno

Elementos de un Control Interno Apropiado

Aspectos de la Evaluación del Control Interno

Una deficiencia en el diseño ocurre cuando:

• Falta un control necesario para lograr un

• Un control existente está diseñado de modo

Existe una deficiencia en la implementación cuando

bajo revisión, la consistencia con la que éstos fueron

Una deficiencia en la operación se presenta cuando un

Efecto de las Deficiencias en el Control Interno

La Administración debe evaluar las deficiencias en los

Sección 4 – Consideraciones Adicionales

Costos y Beneficios del Control Interno

Documentación del Control Interno