Capítulo 1 NORMAS GENERALES

Subcapítulo 1 Sistema de control interno (SCI)

El jerarca y los titulares subordinados, según sus competencias, deben emprender las medidas pertinentes para contar con un SCI, conformado por una serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en la consecución de los objetivos organizacionales. El SCI tiene como componentes orgánicos a la administración activa y a la auditoría interna; igualmente, comprende los siguientes componentes funcionales: ambiente de control, valoración del riesgo, actividades de control, sistemas de información y seguimiento, los cuales se interrelacionan y se integran al proceso de gestión institucional.

Los responsables por el SCI deben procurar condiciones idóneas para que los componentes orgánicos y funcionales del sistema operen de manera organizada, uniforme y consistente.

Subcapítulo 2 Objetivos del SCI

El SCI de cada organización debe coadyuvar al cumplimiento de los siguientes objetivos:

a. Proteger y conservar el patrimonio público contra pérdida, despilfarro, uso indebido, irregularidad o acto ilegal. El SCI debe brindar a la organización una seguridad razonable de que su patrimonio se dedica al destino para el cual le fue suministrado, y de que se establezcan, apliquen y fortalezcan acciones específicas para prevenir su sustracción, desvío, desperdicio o menoscabo.

b. Exigir confiabilidad y oportunidad de la información. El SCI debe procurar que se recopile, procese y mantenga información de calidad sobre el funcionamiento del sistema y sobre el desempeño institucional, y que esa información se comunique con prontitud a las instancias que la requieran para su gestión, dentro y fuera de la institución, todo ello de conformidad con las atribuciones y competencias organizacionales y en procura del logro de los objetivos institucionales.

c. Garantizar eficiencia y eficacia de las operaciones. El SCI debe coadyuvar a que la organización utilice sus recursos de manera óptima, y a que sus operaciones contribuyan con el logro de los objetivos institucionales.

d. Cumplir con el ordenamiento jurídico y técnico. El SCI debe contribuir con la institución en la observancia sistemática y generalizada del bloque de legalidad.

Subcapítulo 3 Características del SCI

El SCI debe reunir las siguientes características:

a. Ser aplicable. El funcionamiento del SCI debe responder a las características y condiciones propias de la institución.

b. Ser completo. El SCI debe considerar la totalidad de la gestión institucional, y en él deben estar presentes los componentes orgánicos y funcionales.

c. Ser razonable. El SCI debe estar diseñado para lograr los objetivos del sistema y para satisfacer con la calidad suficiente y necesaria las necesidades de la institución, con los recursos que ésta posee y a un costo aceptable.

d. Ser integrado. Los componentes funcionales y orgánicos del SCI deben interrelacionarse adecuadamente e incorporarse en la gestión institucional.

e. Ser congruente. El SCI debe ajustarse a las necesidades, capacidades y demás condiciones institucionales y estar enlazado con el bloque de legalidad.

Subcapítulo 4 Responsabilidad del jerarca y los titulares subordinados sobre el SCI

La responsabilidad por el establecimiento, mantenimiento, funcionamiento, perfeccionamiento y evaluación del SCI es inherente al jerarca y a los titulares subordinados, en el ámbito de sus competencias.

En el cumplimiento de esa responsabilidad las autoridades citadas deben dar especial énfasis a áreas consideradas relevantes con base en criterios tales como su materialidad, el riesgo asociado y su impacto en la consecución de los fines institucionales, incluyendo lo relativo a la desconcentración de competencias y la contratación de servicios de apoyo. Como parte de ello, deben contemplar, entre otros asuntos, los siguientes:

a. La definición de criterios que brinden una orientación básica para la instauración y el funcionamiento de los componentes orgánicos y funcionales del SCI con las características requeridas.

b. El apoyo con acciones concretas, al establecimiento, el funcionamiento y el fortalecimiento de la actividad de auditoría interna, incluyendo la dotación de recursos y las condiciones necesarias para que se desarrolle eficazmente y agregue valor a los procesos de control, riesgo y dirección.

c. La emisión de instrucciones a fin de que las políticas, normas y procedimientos para el cumplimiento del SCI, estén debidamente documentados, oficializados y actualizados, y sean divulgados y puestos a disposición para su consulta.

d. La vigilancia del cumplimiento, la validez y la suficiencia de todos los controles que integran el SCI.

e. La comunicación constante y el seguimiento de los asuntos asignados a los distintos miembros de la institución, en relación con el diseño, la ejecución y el seguimiento del SCI.

f. Las acciones pertinentes para el fortalecimiento del SCI, en respuesta a las condiciones institucionales y del entorno.

g. Una pronta atención a las recomendaciones, disposiciones y observaciones que los distintos órganos de control y fiscalización emitan sobre el particular.

Subcapítulo 5 Responsabilidad de los funcionarios sobre el SCI

De conformidad con las responsabilidades que competen a cada puesto de trabajo, los funcionarios de la institución deben, de manera oportuna, efectiva y con observancia a las regulaciones aplicables, realizar las acciones pertinentes y atender los requerimientos para el debido diseño, implantación, operación, y fortalecimiento de los distintos componentes funcionales del SCI.

Subcapítulo 6 Responsabilidad de la auditoría interna sobre el SCI

La auditoría interna, en cumplimiento de sus funciones, debe brindar servicios de auditoría interna orientados a fortalecer el SCI, de conformidad con su competencia institucional y la normativa jurídica y técnica aplicable.

Subcapítulo 7 Rendición de cuentas sobre el SCI

El jerarca y los titulares subordinados, según sus competencias, deben disponer y ejecutar un proceso periódico, formal y oportuno de rendición de cuentas sobre el diseño, el funcionamiento, la evaluación y el perfeccionamiento del SCI, ante los diversos sujetos interesados.

Subcapítulo 8 Contribución del SCI al gobierno corporativo

El SCI debe contribuir al desempeño eficaz y eficiente de las actividades relacionadas con el gobierno corporativo, considerando las normas, prácticas y procedimientos de conformidad con las cuales la institución es dirigida y controlada, así como la regulación de las relaciones que se producen al interior de ella y de las que se mantengan con sujetos externos.

Subcapítulo 9 Vinculación del SCI con la calidad

El jerarca y los titulares subordinados, según sus competencias, deben promover un compromiso institucional con la calidad y apoyarse en el SCI para propiciar la materialización de ese compromiso en todas las actividades y actuaciones de la organización. A los efectos, deben establecer las políticas y las actividades de control pertinentes para gestionar y verificar la calidad de la gestión, para asegurar su conformidad con las necesidades institucionales, a la luz de los objetivos, y con base en un enfoque de mejoramiento continuo.

Subcapítulo 10 Aplicación de las normas generales en instituciones de menor tamaño

Se consideran instituciones de menor tamaño aquellas que dispongan de un total de recursos que ascienda a un monto igual o inferior a seiscientas mil unidades de desarrollo y que cuenten con menos de treinta funcionarios, incluyendo al jerarca, los titulares subordinados, y todo su personal.

En el caso de tales instituciones, el jerarca y los titulares subordinados, según sus competencias, deben procurar la observancia de las características del SCI definidas en la norma 1.3, en términos del logro de los objetivos de dicho sistema, así como el cumplimiento de las responsabilidades inherentes.

Estas instituciones no están obligadas a contar con una auditoría interna, sin perjuicio de que por decisión propia o por disposición específica de la Contraloría General, se establezca dicha unidad, se implanten controles alternos, o se emprendan ambas medidas.

Por su parte, las instituciones que, disponiendo de un presupuesto según la magnitud indicada, tengan treinta funcionarios o más, incluyendo al jerarca, los titulares subordinados, y todo su personal, deben contar, al menos, con una auditoría interna que funcione con jornada de medio tiempo.

En todo caso, las instituciones de menor tamaño deben fortalecer los componentes funcionales del SCI, de conformidad con lo que se indica en los capítulos correspondientes de estas normas.

Capítulo 2 NORMAS SOBRE AMBIENTE DE CONTROL

Subcapítulo 1 Ambiente de control

El jerarca y los titulares subordinados, según sus competencias, deben establecer un ambiente de control que se constituya en el fundamento para la operación y el fortalecimiento del SCI, y en consecuencia, para el logro de los objetivos institucionales. A los efectos, debe contemplarse el conjunto de factores organizacionales que propician una actitud positiva y de apoyo al SCI y a una gestión institucional orientada a resultados que permita una rendición de cuentas efectiva, incluyendo al menos lo siguiente:

a. El compromiso superior con el SCI, que conlleva el cumplimiento de sus responsabilidades con respecto a ese sistema, prestando la atención debida a sus componentes funcionales y orgánicos y dando el ejemplo de adhesión a él mediante sus manifestaciones y sus actuaciones en la gestión diaria.

b. El fortalecimiento de la ética institucional que contemple elementos formales e informales para propiciar una gestión institucional apegada a altos estándares de conducta en el desarrollo de las actividades.

c. El mantenimiento de personal comprometido y con competencia profesional para el desarrollo de las actividades y para contribuir a la operación y el fortalecimiento del SCI.

d. Una apropiada estructura organizativa acorde con las necesidades y la dinámica de las circunstancias institucionales.

Subcapítulo 2 Compromiso superior

El jerarca y los titulares subordinados, según sus competencias, deben apoyar constantemente el SCI, al menos por los siguientes medios:

a. La definición y divulgación de los alcances del SCI, mediante la comunicación de las políticas respectivas y la difusión de una cultura que conlleve la comprensión entre los funcionarios, de la utilidad del control interno para el desarrollo de una gestión apegada a criterios de eficiencia, eficacia, economía y legalidad y para una efectiva rendición de cuentas.

b. Una actuación que demuestre su compromiso y apego al SCI, a los principios que lo sustentan y a los objetivos que le son inherentes, que se evidencie en sus manifestaciones verbales y en sus actuaciones como parte de las labores cotidianas.

c. El fomento de la comunicación transparente y de técnicas de trabajo que promuevan la lealtad, el desempeño eficaz y el logro de los objetivos institucionales, así como una cultura que incentive, entre los miembros de la institución, el reconocimiento del control como parte integrante de los sistemas institucionales.

d. La aplicación de una filosofía y un estilo gerencial que conlleven la orientación básica de las autoridades superiores en la conducción de la institución y la forma como se materializa esa orientación en las actividades. Ambos elementos deben conducir a un equilibrio entre eficiencia, eficacia y control, que difunda y promueva altos niveles de motivación, así como actitudes acordes con la cultura de control.

e. La pronta atención de las recomendaciones, disposiciones y observaciones de los distintos órganos de control y fiscalización para el fortalecimiento del SCI.

Subcapítulo 3 Fortalecimiento de la ética institucional

El jerarca y los titulares subordinados, según sus competencias, deben propiciar el fortalecimiento de la ética en la gestión, mediante la implantación de medidas e instrumentos formales y la consideración de elementos informales que conceptualicen y materialicen la filosofía, los enfoques, el comportamiento y la gestión éticos de la institución, y que conlleven la integración de la ética a los sistemas de gestión.

2.3.1 Factores formales de la ética institucional

El jerarca y los titulares subordinados, según sus competencias, deben establecer y divulgar factores formales orientados a la promoción y el fortalecimiento de la ética institucional, incluyendo al menos los relativos a:

a. La declaración formal de la visión, la misión y los valores institucionales.

b. Un código de ética o similar.

c. Indicadores que permitan dar seguimiento a la cultura ética institucional y a la efectividad de los elementos formales para su fortalecimiento.

d. Una estrategia de implementación tendente a formalizar los compromisos, las políticas y los programas regulares para evaluar, actualizar y renovar el compromiso de la institución con la ética; así como las políticas para el tratamiento de eventuales conductas fraudulentas, corruptas o antiéticas, el manejo de conflictos de interés y la atención apropiada de las denuncias que se presenten ante la institución en relación con esas conductas, y para tramitar ante las autoridades que corresponda las denuncias de presuntos ilícitos en contra de la Hacienda Pública.

2.3.2 Elementos informales de la ética institucional

El jerarca y los titulares subordinados, según sus competencias, deben vigilar y fortalecer el los elementos informales del ambiente ético institucional, a fin de asegurar que apoyen el funcionamiento, en la gestión cotidiana, de los factores formales vigentes. En ese sentido, deben contemplar factores tales como los siguientes:

a. El clima organizacional.

b. El estilo gerencial.

c. Los modelos de toma de decisiones.

d. Los valores compartidos.

e. Las creencias.

f. Los comportamientos de los distintos integrantes de la institución, y su ajuste a los valores y demás mecanismos que sustentan la ética institucional.

2.3.3 Integración de la ética a los sistemas de gestión

Los sistemas de gestión deben incorporar, como parte de las actividades de control, consideraciones de tipo ético que garanticen razonablemente un desempeño ajustado a altos estándares de comportamiento, que permitan una cabal rendición de cuentas ante los sujetos interesados. En ese sentido, debe prestarse especial atención a los sistemas de particular sensibilidad y exposición a los riesgos.

Subcapítulo 4 Idoneidad del personal

El personal debe reunir las competencias y valores requeridos, de conformidad con los manuales de puestos institucionales, para el desempeño de los puestos y la operación de las actividades de control respectivas. Con ese propósito, las políticas y actividades de planificación, reclutamiento, selección, motivación, promoción, evaluación del desempeño, capacitación y otras relacionadas con la gestión de recursos humanos, deben dirigirse técnica y profesionalmente con miras a la contratación, la retención y la actualización de personal idóneo en la cantidad que se estime suficiente para el logro de los objetivos institucionales.

Subcapítulo 5 Estructura organizativa

El jerarca y los titulares subordinados, según sus competencias y de conformidad con el ordenamiento jurídico y las regulaciones emitidas por los órganos competentes, deben procurar una estructura que defina la organización formal, sus relaciones jerárquicas, líneas de dependencia y coordinación, así como la relación con otros elementos que conforman la institución, y que apoye el logro de los objetivos. Dicha estructura debe ajustarse según lo requieran la dinámica institucional y del entorno y los riesgos relevantes.

2.5.1 Delegación de funciones

El jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que la delegación de funciones se realice de conformidad con el bloque de legalidad, y de que conlleve la exigencia de la responsabilidad correspondiente y la asignación de la autoridad necesaria para que los funcionarios respectivos puedan tomar las decisiones y emprender las acciones pertinentes.

2.5.2 Autorización y aprobación

La ejecución de los procesos, operaciones y transacciones institucionales debe contar con la autorización y la aprobación respectivas de parte de los funcionarios con potestad para concederlas, que sean necesarias a la luz de los riesgos inherentes, los requerimientos normativos y las disposiciones institucionales.

2.5.3 Separación de funciones incompatibles y del procesamiento de transacciones

El jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que las funciones incompatibles, se separen y distribuyan entre los diferentes puestos; así también, que las fases de autorización, aprobación, ejecución y registro de una transacción, y la custodia de activos, estén distribuidas entre las unidades de la institución, de modo tal que una sola persona o unidad no tenga el control por la totalidad de ese conjunto de labores.

Cuando por situaciones excepcionales, por disponibilidad de recursos, la separación y distribución de funciones no sea posible debe fundamentarse la causa del impedimento. En todo caso, deben implantarse los controles alternativos que aseguren razonablemente el adecuado desempeño de los responsables.

2.5.4 Rotación de labores

El jerarca y los titulares subordinados, según sus competencias, deben procurar la rotación sistemática de las labores entre quienes realizan tareas o funciones afines, siempre y cuando la naturaleza de tales labores permita aplicar esa medida.

Subcapítulo 6 Ambiente de control en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben demostrar su apoyo constante al SCI, mediante sus manifestaciones y actuaciones diarias, y la estricta observancia de valores éticos, lo cual a su vez deben incentivar en todos los funcionarios de la institución. Así también, deben velar porque se disponga de una organización que propicie el logro de los objetivos, mediante la que se definan claramente las relaciones de jerarquía, se asigne la autoridad y responsabilidad de los funcionarios, se utilicen canales de comunicación apropiados y se apliquen procesos que permitan contar con el personal necesario para el cumplimiento de las funciones que se le asignen.

Capítulo 3 NORMAS SOBRE VALORACIÓN DEL RIESGO

Subcapítulo 1 Valoración del riesgo

El jerarca y los titulares subordinados, según sus competencias, deben definir, implantar, verificar y perfeccionar un proceso permanente y participativo de valoración del riesgo institucional, como componente funcional del SCI. Las autoridades indicadas deben constituirse en parte activa del proceso que al efecto se instaure.

Subcapítulo 2 Sistema específico de valoración del riesgo institucional (SEVRI)

El jerarca y los titulares subordinados, según sus competencias, deben establecer y poner en funcionamiento un sistema específico de valoración del riesgo institucional (SEVRI).

El SEVRI debe presentar las características e incluir los componentes y las actividades que define la normativa específica aplicable. Asimismo, debe someterse a las verificaciones y revisiones que correspondan a fin de corroborar su efectividad continua y promover su perfeccionamiento.

Subcapítulo 3 Vinculación con la planificación institucional

La valoración del riesgo debe sustentarse en un proceso de planificación que considere la misión y la visión institucionales, así como objetivos, metas, políticas e indicadores de desempeño claros, medibles, realistas y aplicables, establecidos con base en un conocimiento adecuado del ambiente interno y externo en que la institución desarrolla sus operaciones, y en consecuencia, de los riesgos correspondientes.

Asimismo, los resultados de la valoración del riesgo deben ser insumos para retroalimentar ese proceso de planificación, aportando elementos para que el jerarca y los titulares subordinados estén en capacidad de revisar, evaluar y ajustar periódicamente los enunciados y supuestos que sustentan los procesos de planificación estratégica y operativa institucional, para determinar su validez ante la dinámica del entorno y de los riesgos internos y externos.

Subcapítulo 4 Valoración del riesgo en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben instaurar prácticas sistemáticas que permitan evaluar según los errores y logros pasados, las eventuales situaciones que puedan afectar el desempeño de la institución, las cuales deben analizarse y priorizarse considerando su importancia y posibilidades de que se vayan a volver a presentar. Con base en ello, deben adoptar las políticas, procedimientos y mecanismos que permitan el manejo apropiado de esas situaciones.

Capítulo 4 NORMAS SOBRE ACTIVIDADES DE CONTROL

Subcapítulo 1 Actividades de control

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos institucionales. Dichas actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan en virtud de los requisitos que deben cumplir para garantizar razonablemente su efectividad.

El ámbito de aplicación de tales actividades de control debe estar referido a todos los niveles y funciones de la institución. En ese sentido, la gestión institucional y la operación del SCI deben contemplar, de acuerdo con los niveles de complejidad y riesgo involucrados, actividades de control de naturaleza previa, concomitante, posterior o una conjunción de ellas. Lo anterior, debe hacer posible la prevención, la detección y la corrección ante debilidades del SCI y respecto de los objetivos, así como ante indicios de la eventual materialización de un riesgo relevante.

Subcapítulo 2 Requisitos de las actividades de control

Las actividades de control deben reunir los siguientes requisitos:

a. Integración a la gestión. Las actividades de control diseñadas deben ser parte inherente de la gestión institucional, e incorporarse en ella en forma natural y sin provocar menoscabo a la observancia de los principios constitucionales de eficacia, eficiencia, simplicidad y celeridad, y evitando restricciones, requisitos y trámites que dificulten el disfrute pleno de los derechos fundamentales de los ciudadanos.

b. Respuesta a riesgos. Las actividades de control deben ser congruentes con los riesgos que se pretende administrar, lo que conlleva su dinamismo de acuerdo con el comportamiento de esos riesgos.

c. Contribución al logro de los objetivos con un costo razonable. Las actividades de control deben presentar una relación satisfactoria de costo-beneficio, de manera que su contribución esperada al logro de los objetivos, sea mayor que los costos requeridos para su operación.

d. Viabilidad. Las actividades de control deben adaptarse a la capacidad de la institución de implantarlas, teniendo presente, fundamentalmente, la disponibilidad de recursos, la capacidad del personal para ejecutarlas correcta y oportunamente, y su ajuste al bloque de legalidad.

e. Documentación. Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.

f. Divulgación. Las actividades de control deben ser de conocimiento general, y comunicarse a los funcionarios que deben aplicarlas en el desempeño de sus cargos. Dicha comunicación debe darse preferiblemente por escrito, en términos claros y específicos.

Subcapítulo 3 Protección y conservación del patrimonio

El jerarca y los titulares subordinados, según sus competencias, deben establecer, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente la protección, custodia, inventario, correcto uso y control de los activos pertenecientes a la institución, incluyendo los derechos de propiedad intelectual. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de tales activos y los riesgos relevantes a los cuales puedan verse expuestos, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.3.1 Regulaciones para la administración de activos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, actualizar y comunicar las regulaciones pertinentes con respecto al uso, conservación y custodia de los activos pertenecientes a la institución.

Deben considerarse al menos los siguientes asuntos:

a. La programación de las necesidades de determinados activos, tanto para efectos de coordinación con las instancias usuarias, como para la previsión de sustituciones, reparaciones y otros eventos.

b. La asignación de responsables por el uso, control y mantenimiento de los activos, incluyendo la definición de los deberes, las funciones y las líneas de autoridad y responsabilidad pertinentes.

c. El control, registro y custodia de la documentación asociada a la adquisición, la inscripción, el uso, el control y el mantenimiento de los activos.

d. El control de los activos asignados a dependencias desconcentradas o descentralizadas.

e. El cumplimiento de requerimientos legales asociados a determinados activos, tales como inscripción, placas y distintivos.

f. Los convenios interinstitucionales para préstamo de activos, así como su justificación y autorización, las cuales deben constar por escrito.

g. El tratamiento de activos obsoletos, en desuso o que requieran reparaciones costosas.

4.3.2 Custodia de activos

La custodia de los activos que cada funcionario utilice normalmente en el desarrollo de sus labores, debe asignársele formalmente. En el caso de activos especialmente sensibles y de aquellos que deban ser utilizados por múltiples funcionarios, la responsabilidad por su custodia y administración también debe encomendarse específicamente, de modo que haya un funcionario responsable de controlar su acceso y uso.

4.3.3 Regulaciones y dispositivos de seguridad

El jerarca y los titulares subordinados, según sus competencias, deben disponer y vigilar la aplicación de las regulaciones y los dispositivos de seguridad que se estimen pertinentes según la naturaleza de los activos y la relevancia de los riesgos asociados, para garantizar su rendimiento óptimo y su protección contra pérdida, deterioro o uso irregular, así como para prevenir cualquier daño a la integridad física de los funcionarios que deban utilizarlos.

Subcapítulo 4 Exigencia de confiabilidad y oportunidad de la información

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente que se recopile, procese, mantenga y custodie información de calidad sobre el funcionamiento del SCI y sobre el desempeño institucional, así como que esa información se comunique con la prontitud requerida a las instancias internas y externas respectivas. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.4.1 Documentación y registro de la gestión institucional

El jerarca y los titulares subordinados, según sus competencias, deben establecer las medidas pertinentes para que los actos de la gestión institucional, sus resultados y otros eventos relevantes, se registren y documenten en el lapso adecuado y conveniente, y se garanticen razonablemente la confidencialidad y el acceso a la información pública, según corresponda.

4.4.2 Formularios uniformes

El jerarca y los titulares subordinados, según sus competencias, deben disponer lo pertinente para la emisión, la administración, el uso y la custodia, por los medios atinentes, de formularios uniformes para la documentación, el procesamiento y el registro de las transacciones que se efectúen en la institución. Asimismo, deben prever las seguridades para garantizar razonablemente el uso correcto de tales formularios.

4.4.3 Registros contables y presupuestarios

El jerarca y los titulares subordinados, según sus competencias, deben emprender las medidas pertinentes para asegurar que se establezcan y se mantengan actualizados registros contables y presupuestarios que brinden un conocimiento razonable y confiable de las disponibilidades de recursos, las obligaciones adquiridas por la institución, y las transacciones y eventos realizados.

4.4.4 Libros legales

El jerarca y los titulares subordinados, según sus competencias, deben asegurar que se disponga de los libros contables, de actas y otros requeridos por el bloque de legalidad, según corresponda, y que se definan y apliquen actividades de control relativas a su apertura, mantenimiento, actualización, disponibilidad, cierre y custodia.

4.4.5 Verificaciones y conciliaciones periódicas

La exactitud de los registros sobre activos y pasivos de la institución debe ser comprobada periódicamente mediante las conciliaciones, comprobaciones y otras verificaciones que se definan, incluyendo el cotejo contra documentos fuentes y el recuento físico de activos tales como el mobiliario y equipo, los vehículos, los suministros en bodega u otros, para determinar cualquier diferencia y adoptar las medidas procedentes.

Subcapítulo 5 Garantía de eficiencia y eficacia de las operaciones

El jerarca y los titulares subordinados, según sus competencias, deben establecer actividades de control que orienten la ejecución eficiente y eficaz de la gestión institucional. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.5.1 Supervisión constante

El jerarca y los titulares subordinados, según sus competencias, deben ejercer una supervisión constante sobre el desarrollo de la gestión institucional y la observancia de las regulaciones atinentes al SCI, así como emprender las acciones necesarias para la consecución de los objetivos.

4.5.2 Gestión de proyectos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, vigilar el cumplimiento y perfeccionar las actividades de control necesarias para garantizar razonablemente la correcta planificación y gestión de los proyectos que la institución emprenda, incluyendo los proyectos de obra pública relativos a construcciones nuevas o al mejoramiento, adición, rehabilitación o reconstrucción de las ya existentes.

Las actividades de control que se adopten para tales efectos deben contemplar al menos los siguientes asuntos:

a. La identificación de cada proyecto, con indicación de su nombre, sus objetivos y metas, recursos y las fechas de inicio y de terminación.

b. La designación de un responsable del proyecto con competencias idóneas para que ejecute las labores de planear, organizar, dirigir, controlar y documentar el proyecto.

c. La planificación, la supervisión y el control de avance del proyecto, considerando los costos financieros y los recursos utilizados, de lo cual debe informarse en los reportes periódicos correspondientes. Asimismo, la definición de las consecuencias de eventuales desviaciones, y la ejecución de las acciones pertinentes.

d. El establecimiento de un sistema de información confiable, oportuno, relevante y competente para dar seguimiento al proyecto.

e. La evaluación posterior, para analizar la efectividad del proyecto y retroalimentar esfuerzos futuros.

4.5.3 Controles sobre fondos concedidos a sujetos privados

El jerarca y los titulares subordinados, según sus competencias, deben establecer los mecanismos necesarios para la asignación, el giro, el seguimiento y el control del uso de los fondos que la institución conceda a sujetos privados. Lo anterior, para asegurar el debido cumplimiento del destino legal y evitar abusos, desviaciones o errores en el empleo de tales fondos; todo lo cual deberá contemplarse en las regulaciones contractuales, convenios, acuerdos u otros instrumentos jurídicos que definan la relación entre la administración que concede y los sujetos privados.

Al respecto, se debe considerar que esos fondos se utilicen conforme a criterios de legalidad, contables y técnicos, para lo cual, entre otros, deben verificarse los requisitos sobre la capacidad legal, administrativa y financiera, y sobre la aptitud técnica del sujeto privado; así también, para comprobar la correcta utilización y destino de todos los fondos que se les otorga, deben definirse los controles que se ejercerán y los informes periódicos que deberá rendir el sujeto privado.

En todo caso, debe documentarse la gestión realizada por la institución que concede, con respecto a tales fondos por parte de los sujetos privados.

4.5.4 Controles sobre fondos girados a fideicomisos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, mantener, perfeccionar y evaluar las actividades de control necesarias en relación con la planificación, la asignación, el giro y la verificación del uso de los recursos administrados bajo la figura del fideicomiso. Como parte de ello, se deben definir los mecanismos de seguimiento y rendición de cuentas periódicos, que se aplicarán a los fideicomisarios, para comprobar el logro de los objetivos planteados y su conformidad con las regulaciones atinentes, así como para la determinación de los riesgos asociados a dichos fondos. Todo lo anterior deberá contemplarse en las regulaciones contractuales, convenios, acuerdos u otros instrumentos jurídicos que definan la relación entre la administración fideicomitente y los fideicomisarios.

4.5.5 Control sobre bienes y servicios provenientes de donantes externos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, mantener, perfeccionar y evaluar las actividades de control necesarias en relación con los bienes y servicios provenientes de donantes externos, sean estos obtenidos bajo la modalidad de donación, cooperación técnica o cooperación financiera no reembolsable. Lo anterior, de manera que sobre esos bienes o servicios se ejerzan los controles de legalidad, contables, financieros y de eficiencia que determina el bloque de legalidad.

Como parte del control ejercido, deben velar porque tales bienes y servicios cumplan con la condición de satisfacer fines públicos y estén conformes con los principios de transparencia, rendición de cuentas, utilidad, razonabilidad y buena gestión administrativa.

Subcapítulo 6 Cumplimiento del ordenamiento jurídico y técnico

El jerarca y los titulares subordinados, según sus competencias, deben establecer las actividades de control que permitan obtener una seguridad razonable de que la actuación de la institución es conforme con las disposiciones jurídicas y técnicas vigentes. Las actividades de control respectivas deben actuar como motivadoras del cumplimiento, prevenir la ocurrencia de eventuales desviaciones, y en caso de que éstas ocurran, emprender las medidas correspondientes. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.6.1 Control sobre la rendición de cauciones

El jerarca y los titulares subordinados, según sus competencias, deben establecer, actualizar y divulgar las regulaciones y demás actividades de control pertinentes para promover y vigilar el cumplimiento, en todos sus extremos, de las obligaciones relacionadas con la rendición de garantías a favor de la Hacienda Pública o de la institución por los funcionarios encargados de recaudar, custodiar o administrar fondos y valores institucionales.

4.6.2 Informe de fin de gestión

El jerarca y los titulares subordinados deben presentar a las instancias pertinentes, un informe de fin de gestión, donde se resuman entre otros asuntos, las actividades realizadas durante su período de funciones, los logros obtenidos —incluyendo los relativos al SCI—, el estado de las recomendaciones de la auditoría interna y las disposiciones de la CGR y otros órganos con competencias, y sus sugerencias para la marcha futura de la institución, así como los asuntos en proceso o que deben ser asumidos. Asimismo, deben realizar la entrega formal de los bienes institucionales que les hayan sido asignados.

Subcapítulo 7 Actividades de control en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben establecer las políticas, procedimientos y mecanismos correspondientes para obtener una seguridad razonable de que el SCI contribuye al logro de los objetivos. A los efectos, deben implantar las prácticas necesarias para documentar, actualizar y dar a conocer a todos los funcionarios, los procedimientos y demás regulaciones atinentes al funcionamiento del SCI, así como las relativas a los siguientes asuntos:

a. Manejo y protección de activos.

b. Uso de documentos y registros para la debida anotación de las operaciones, incluyendo los libros legales que correspondan.

c. Verificaciones y comprobaciones periódicas de la exactitud de los registros, incluyendo arqueos, inventarios, conciliaciones u otros similares.

d. Controles atinentes al uso de sistemas computadorizados, cuando corresponda.

e. La rendición de las cauciones, la presentación de los informes de fin de gestión y la entrega formal del ente u órgano a sus sucesores.

Capítulo 5 NORMAS SOBRE SISTEMAS DE INFORMACIÓN

Subcapítulo 1 Sistemas de información

El jerarca y los titulares subordinados, según sus competencias, deben disponer los elementos y condiciones necesarias para que de manera organizada, uniforme, consistente y oportuna se ejecuten las actividades de obtener, procesar, generar y comunicar, en forma eficaz, eficiente y económica, y con apego al bloque de legalidad, la información de la gestión institucional y otra de interés para la consecución de los objetivos institucionales. El conjunto de esos elementos y condiciones con las características y fines indicados, se denomina sistema de información, los cuales pueden instaurarse en forma manual, automatizada, o ambas.

Subcapítulo 2 Flexibilidad de los sistemas de información

Los sistemas de información deben ser lo suficientemente flexibles, de modo que sean susceptibles de modificaciones que permitan dar respuesta oportuna a necesidades cambiantes de la institución.

Subcapítulo 3 Armonización de los sistemas de información con los objetivos

La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI.

La adecuación de tales sistemas a los objetivos institucionales involucra, entre otros, su desarrollo de conformidad con el plan estratégico institucional, y con el marco estratégico de las tecnologías de información, cuando se haga uso de estas para su funcionamiento.

Subcapítulo 4 Gestión documental

El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información propicien una debida gestión documental institucional, mediante la que se ejerza control, se almacene y se recupere la información en la organización, de manera oportuna y eficiente, y de conformidad con las necesidades institucionales.

Subcapítulo 5 Archivo institucional

El jerarca y los titulares subordinados, según sus competencias, deben implantar, comunicar, vigilar la aplicación y perfeccionar políticas y procedimientos de archivo apropiados para la preservación de los documentos e información que la institución deba conservar en virtud de su utilidad o por requerimiento técnico o jurídico. En todo caso, deben aplicarse las regulaciones de acatamiento obligatorio atinentes al Sistema Nacional de Archivos.

Lo anterior incluye lo relativo a las políticas y procedimientos para la creación, organización, utilización, disponibilidad, acceso, confidencialidad, autenticidad, migración, respaldo periódico y conservación de los documentos en soporte electrónico, así como otras condiciones pertinentes.

Subcapítulo 6 Calidad de la información

El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información contemplen los procesos requeridos para recopilar, procesar y generar información que responda a las necesidades de los distintos usuarios. Dichos procesos deben estar basados en un enfoque de efectividad y de mejoramiento continuo.

Los atributos fundamentales de la calidad de la información están referidos a la confiabilidad, oportunidad y utilidad.

5.6.1 Confiabilidad

La información debe poseer las cualidades necesarias que la acrediten como confiable, de modo que se encuentre libre de errores, defectos, omisiones y modificaciones no autorizadas, y sea emitida por la instancia competente.

5.6.2 Oportunidad

Las actividades de recopilar, procesar y generar información, deben realizarse y darse en tiempo a propósito y en el momento adecuado, de acuerdo con los fines institucionales.

5.6.3 Utilidad

La información debe poseer características que la hagan útil para los distintos usuarios, en términos de pertinencia, relevancia, suficiencia y presentación adecuada, de conformidad con las necesidades específicas de cada destinatario.

Subcapítulo 7 Calidad de la comunicación

El jerarca y los titulares subordinados, según sus competencias, deben establecer los procesos necesarios para asegurar razonablemente que la comunicación de la información se da a las instancias pertinentes y en el tiempo propicio, de acuerdo con las necesidades de los usuarios, según los asuntos que se encuentran y son necesarios en su esfera de acción. Dichos procesos deben estar basados en un enfoque de efectividad y mejoramiento continuo.

5.7.1 Canales y medios de comunicación

Deben establecerse y funcionar adecuados canales y medios de comunicación, que permitan trasladar la información de manera transparente, ágil, segura, correcta y oportuna, a los destinatarios idóneos dentro y fuera de la institución.

5.7.2 Destinatarios

La información debe comunicarse a las instancias competentes, dentro y fuera de la institución, para actuar con base en ella en el logro de los objetivos institucionales.

5.7.3 Oportunidad

La información debe comunicarse al destinatario con la prontitud adecuada y en el momento en que se requiere, para el cumplimiento de sus responsabilidades.

5.7.4 Seguridad

Deben instaurarse los controles que aseguren que la información que se comunica resguarde sus características propias de calidad, y sea trasladada bajo las condiciones de protección apropiadas, según su grado de sensibilidad y confidencialidad. Así también, que garanticen razonablemente su disponibilidad y acceso por parte de los distintos usuarios en la oportunidad y con la prontitud que la requieran.

Subcapítulo 8 Control de sistemas de información

El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter.

Subcapítulo 9 Tecnologías de información

El jerarca y los titulares subordinados, según sus competencias, deben propiciar el aprovechamiento de tecnologías de información que apoyen la gestión institucional mediante el manejo apropiado de la información y la implementación de soluciones ágiles y de amplio alcance. Para ello deben observar la normativa relacionada con las tecnologías de información, emitida por la CGR. En todo caso, deben instaurarse los mecanismos y procedimientos manuales que permitan garantizar razonablemente la operación continua y correcta de los sistemas de información.

Subcapítulo 10 Sistemas de información en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben establecer los procedimientos manuales, automatizados o ambos, necesarios para obtener, procesar, controlar, almacenar y comunicar la información sobre la gestión institucional y otra relevante para la consecución de los objetivos institucionales. Dicha información debe ser de fácil acceso y estar disponible en un archivo institucional que, de manera ordenada y conforme a las regulaciones que en esa materia establece el Sistema Nacional de Archivos, pueda ser consultado por usuarios internos o por parte de instancias externas.

Capítulo 6 NORMAS SOBRE SEGUIMIENTO DEL SCI

Subcapítulo 1 Seguimiento del SCI

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, actividades permanentes y periódicas de seguimiento para valorar la calidad del funcionamiento de los elementos del sistema a lo largo del tiempo, así como para asegurar que las medidas producto de los hallazgos de auditoría y los resultados de otras revisiones se atiendan de manera efectiva y con prontitud.

Subcapítulo 2 Orientaciones para el seguimiento del SCI

El jerarca y los titulares subordinados, según sus competencias, deben definir las estrategias y los mecanismos necesarios para el efectivo funcionamiento del componente de seguimiento del SCI. Dichas orientaciones deben ser congruentes y estar integradas a las gestiones relacionadas con la operación, mantenimiento y perfeccionamiento del SCI, ser de conocimiento de todos los funcionarios, estar disponibles para su consulta y ser revisadas y actualizadas periódicamente.

Como parte de tales orientaciones, entre otros, se deben establecer formalmente, mecanismos y canales de comunicación que permitan la detección oportuna de deficiencias y desviaciones del SCI, y que quienes las detecten informen con prontitud a la autoridad competente para emprender las acciones preventivas o correctivas que procedan, de acuerdo con la importancia y riesgos asociados.

Subcapítulo 3 Actividades de seguimiento del SCI

Las actividades de seguimiento del SCI, deben incluir:

a. La comprobación durante el curso normal de las operaciones, de que se estén cumpliendo las actividades de control incorporadas en los procesos y ordenadas por la jerarquía correspondiente.

b. Autoevaluaciones periódicas en las que se verifiquen el cumplimiento, validez y suficiencia del SCI.

6.3.1 Seguimiento continuo del SCI

Los funcionarios en el curso de su labor cotidiana, deben observar el funcionamiento del SCI, con el fin de determinar desviaciones en su efectividad, e informarlas oportunamente a las instancias correspondientes.

6.3.2 Autoevaluación periódica del SCI

El jerarca y los titulares subordinados, según sus competencias, deben disponer la realización, por lo menos una vez al año, de una autoevaluación del SCI, que permita identificar oportunidades de mejora del sistema, así como detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos.

Las estrategias y los mecanismos para la autoevaluación periódica, deben estar definidos como parte de las orientaciones a que se refiere la norma 6.2. En todo caso, se debe procurar que sea ejecutada sistemáticamente y que sus resultados se comuniquen a las instancias idóneas para la correspondiente toma de acciones y seguimiento de implementación.

El jerarca y los titulares subordinados, según sus competencias, deben constituirse en parte activa del proceso que al efecto se instaure.

Subcapítulo 4 Acciones para el fortalecimiento del SCI

Cuando el funcionario competente detecte alguna deficiencia o desviación en la gestión o en el control interno, o sea informado de ella, debe emprender oportunamente las acciones preventivas o correctivas pertinentes para fortalecer el SCI, de conformidad con los objetivos y recursos institucionales. Así también, debe verificar de manera sistemática los avances y logros en la implementación de las acciones adoptadas como producto del seguimiento del SCI.

En el caso de las disposiciones, recomendaciones y observaciones emitidas por los órganos de control y fiscalización, la instancia a la cual éstas son dirigidas debe emprender de manera efectiva las acciones pertinentes dentro de los plazos establecidos.

Subcapítulo 5 Contratación de auditorías externas

El jerarca y los titulares subordinados, según sus competencias y con fundamento en las necesidades, posibilidades y características de la institución y los riesgos que enfrenta, deben contratar auditorías externas que lleven a cabo evaluaciones con base en las cuales se establezca la calidad de la información recopilada, procesada y comunicada, así como sobre la validez, suficiencia y cumplimiento del SCI. A los efectos, deben evitar duplicidades, interferencias o menoscabo de la actividad de auditoría interna, en aras del uso eficiente de los recursos institucionales.

Subcapítulo 6 Seguimiento del SCI en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben vigilar que las políticas, los procedimientos y los mecanismos establecidos sean aplicados por todos los funcionarios en la gestión diaria, instaurar la práctica anual de autoevaluar el estado del SCI institucional y tomar las acciones pertinentes para su fortalecimiento, y atender con la debida oportunidad las recomendaciones, observaciones y disposiciones que emitan los órganos de control y fiscalización.