REGLAMENTO PARA LA ATENCIÓN DE INFORMES DE AUDITORÍA Y PRESUNTOS HECHOS IRREGULARES EN EL INSTITUTO TECNOLÓGICO DE COSTA RICA

CAPÍTULO I. DISPOSICIONES GENERALES 

Artículo 1. Tipo de reglamento 

Este Reglamento es de tipo general.  

Artículo 2. Alcance 

Este Reglamento es de acatamiento obligatorio para todas las instancias de los Campus Tecnológicos y Centros Académicos del Instituto Tecnológico de Costa Rica (en adelante ITCR), en la atención de informes de auditoría, advertencias y relaciones de hechos, que emanen de instancias fiscalizadoras, en materia de su competencia. 

Artículo 3. Objetivo general 

Regular el proceso que debe seguir la administración activa en la atención de los informes de auditoría, las advertencias y las relaciones de hechos, que se reciban por parte de instancias fiscalizadoras, en materia de su competencia.   

Artículo 4. Objetivos específicos 

Establecer y regular las etapas para la atención y cumplimiento de los informes de auditoría. 

Establecer las actuaciones y responsabilidades de los actores que intervienen en la atención de los informes de auditoría, advertencias y relaciones de hechos. 

Artículo 5. Definiciones  

Acción correctiva: Medida adoptada por el destinatario de la disposición o recomendación para subsanar las deficiencias comunicadas en el informe de auditoría. 

Administración activa: Uno de los dos componentes orgánicos del sistema de control Interno en el ITCR. Desde el punto de vista funcional, es la función decisoria, ejecutiva, resolutoria, directiva u operativa de la Administración. Desde el punto de vista orgánico, es el conjunto de entes y órganos de la función administrativa que deciden y ejecutan, incluyendo al jerarca como última instancia. 

Advertencia: Servicio preventivo, que, por iniciativa, brinda alguna instancia fiscalizadora, en materia de su competencia, cuando sean de su conocimiento conductas o decisiones incompatibles con el ordenamiento jurídico o técnico, con el fin que se tomen acciones correctivas o se gestionen los riesgos pertinentes. 

Auditoría Externa: Es el servicio de auditoría brindado tanto por la Contraloría General de la República, como por una persona física o jurídica debidamente habilitada y ajena al ITCR, consistente en un proceso sistemático, independiente y profesional para obtener y evaluar objetivamente evidencia, en relación con hechos y eventos de diversa naturaleza; con el propósito de comprobar su grado de correspondencia con un marco de referencia de criterios aplicables; y comunicar los hallazgos o asuntos determinados, así como las observaciones, conclusiones, opiniones, dictámenes y recomendaciones, según corresponda, a las autoridades, con el fin de impulsar mejoras en la gestión y en la responsabilidad pública e institucional, promover la calidad de la información y facilitar la toma de decisiones. 

Auditoría Interna: Componente orgánico esencial del sistema de control interno en el ITCR, que tiene a su cargo la evaluación, mediante un enfoque sistémico y profesional de la efectividad de la administración del riesgo, del control y del proceso de dirección, para coadyuvar en el logro de los objetivos y reforzar las relaciones inherentes a la rendición de cuentas. 

Conferencia final: Presentación que realiza la instancia fiscalizadora ante la Administración, con el propósito de exponer los resultados de la auditoría realizada, así como las disposiciones o recomendaciones que deberán implementarse; con el fin de que, antes de emitir el informe definitivo, la entidad auditada efectúe las observaciones que considere pertinentes. 

Disposición: Órdenes dirigidas a la Administración para que, de manera obligatoria, lleve a cabo las acciones pertinentes, a efecto de corregir la problemática que se determinó durante la auditoría. 

Expediente de cumplimiento y seguimiento de las disposiciones, recomendaciones y advertencias: Conjunto de documentos físicos o electrónicos, debidamente ordenados en forma cronológica, que respaldan las actuaciones de los distintos componentes orgánicos, relacionadas con la atención de las disposiciones, recomendaciones o advertencias, consignadas en los informes de auditoría, y su seguimiento.  

Informe de auditoría: Documento mediante el cual la instancia fiscalizadora, comunica formalmente al ITCR los resultados, las conclusiones, disposiciones o recomendaciones -según sea el caso- de la auditoría efectuada. 

Instancia fiscalizadora: Refiere a la Contraloría General de la República (en adelante CGR), Despachos de Auditoría Externa y la Auditoría Interna del ITCR, que en materia de su competencia lleven a cabo servicios de auditoría.  

Jerarca: Superior jerárquico, unipersonal o colegiado, que ejerce la máxima autoridad dentro del ITCR. En materia de control interno, es el Consejo Institucional quien ejerce esta función.  

Plan de Acción: Documento que incorpora las acciones correctivas para atender las disposiciones o recomendaciones que se consideren viables, emitidas por los entes fiscalizadores. Incluye el plazo de atención, producto esperado y responsables de su implementación. 

Recomendación: Acciones correctivas que se sugieren a la Administración activa para subsanar las debilidades determinadas durante la auditoría. 

Relación de Hecho: Documento que compila una serie de hechos presuntamente irregulares por acción u omisión, que se encuentran ligados por un nexo de causalidad a una falta y a un presunto responsable, que puedan llevar a establecer posibles responsabilidades administrativas, civiles o penales. Se pone en conocimiento de la autoridad competente, para que se tome como insumo y valore la procedencia de instruir formalmente el caso, en la vía que corresponda.  

Sistema de Implementación de Recomendaciones (SIR): Sistema establecido para contribuir de forma automatizada con el seguimiento e implementación de las disposiciones, recomendaciones y advertencias formuladas en los informes de auditoría. 

Titular subordinado: persona funcionaria de la administración activa responsable de un proceso, con autoridad para ordenar y tomar decisiones. Para efectos de este reglamento incluye los puestos de Rectoría, Vicerrectoría, Direcciones y Coordinaciones.  

CAPÍTULO II. DISPOSICIONES GENERALES PARA LA ATENCIÓN DE INFORMES DE AUDITORÍA EXTERNA E INTERNA 

Artículo 6. Atención prioritaria de los informes de auditoría 

Se establece como prioridad la atención de toda recomendación o disposición que se derive de los distintos informes de auditoría, de manera que se garantice el análisis, la evaluación, la toma de decisiones, la definición de acciones correctivas y su efectiva implementación a fin de fortalecer el sistema de control interno. 

Artículo 7. Etapas en la atención de los informes de auditoría  

La atención de los informes de auditoría implica las etapas siguientes:  

a. Recepción y análisis del borrador del informe de auditoría 

b. Conferencia final 

c. Recepción del informe definitivo de auditoría y análisis de las recomendaciones o disposiciones 

d. Elaboración del plan de acción 

e. Aprobación del plan de acción, cuando corresponda 

f. Ejecución y seguimiento del plan de acción 

g. Finalización del cumplimiento de las disposiciones o recomendaciones 

CAPÍTULO III. INFORMES DE AUDITORÍA EXTERNA 

Artículo 8. Atención de informes emitidos por la Contraloría General de la República 

Los informes emitidos por la Contraloría General de la República deben ser atendidos en concordancia con los lineamientos que para el efecto disponga el ente contralor. 

El destinatario del informe debe tomar la resolución o el acuerdo firme respectivo, mediante el cual, se ordene a quien corresponda, atender las disposiciones que le competen y confeccionar en el plazo de 10 días hábiles un plan de acción que faculte el cumplimiento en tiempo y forma de las disposiciones contenidas en el informe. 

En caso de que el informe incluya disposiciones dirigidas a varias instancias, éstas deben coordinar entre sí y con el enlace institucional designado, de manera que se confeccione un plan de acción integral para la implementación de las disposiciones. 

El plan de acción que para el efecto se elabore, debe comunicarse al destinatario del informe de auditoría, dentro del plazo conferido, y a la Auditoría Interna para lo de su competencia. Adicionalmente, el plan debe registrarse en el SIR.    

Artículo 9. Remisión de los informes emitidos por Despachos de Auditoría Externa 

Todos los informes finales de Auditoría Externa que contrate el Instituto deben ser remitidos a la Presidencia del Consejo Institucional.  

Artículo 10. Estudio y aprobación de los informes emitidos por Despachos de Auditoría Externa 

Recibido el informe, éste será analizado por la Comisión permanente que el Consejo Institucional disponga y en el plazo de 10 días hábiles, la misma debe solicitar a la Rectoría analizar su contenido y presentar en el plazo máximo de 20 días hábiles: 

a. Un plan de acción para atender las recomendaciones que considere viables, el que deberá contener acciones, plazos y responsables de su atención.  

b. Un informe sobre las recomendaciones consideradas no viables, cuando corresponda, con indicación de los criterios legales, presupuestarios o técnicos que así lo justifican, así como los eventuales riesgos que la institución asume por su no aceptación.   

Recibido el plan, la Comisión permanente lo analiza y procede conforme las opciones siguientes: 

a. En caso de estar conforme con lo propuesto, en un plazo máximo de 15 días hábiles remitirá su dictamen al pleno del Consejo Institucional para su resolución; la cual deberá incluir la instrucción a la instancia que corresponda de proceder con el registro del plan de acciones en el SIR y la solicitud a la Auditoría Interna de realizar su seguimiento y brindar informes periódicos sobre el avance.   

b. En caso de que la Comisión permanente discrepe sobre alguna de las acciones propuestas o sobre las recomendaciones indicadas no viables, solicitará a la Rectoría su modificación en las condiciones y plazo que estime convenientes. Una vez presentado por la Rectoría el plan definitivo, en el plazo máximo de 10 días hábiles, la Comisión deberá remitir su dictamen al pleno del Consejo Institucional para su resolución.  

Si al conocer un informe, la Comisión Permanente a la que le fue designado, estimara que no es la competente para tramitarlo por la naturaleza del asunto, deberá proceder a trasladarlo a la que considere competente e informar de la gestión realizada al pleno del Consejo Institucional.  

CAPÍTULO IV. INFORMES DE AUDITORÍA INTERNA 

Artículo 11. Informes emitidos por la Auditoría Interna dirigidos al Consejo Institucional para su atención 

En todos los casos en que el estudio de auditoría responda a una solicitud del Consejo Institucional, o que contenga recomendaciones expresas a ese órgano colegiado o a aquellas instancias subordinadas a él, los informes serán remitidos por el titular de la Auditoría Interna, directamente a la Presidencia del órgano colegiado; salvo que, por razones de urgencia, en la implementación de las recomendaciones, sea conveniente que el informe se dirija a un titular subordinado, en cuyo caso se mantendrá informado al órgano. 

Artículo 12. Informes emitidos por la Auditoría Interna dirigidos al Consejo Institucional para conocimiento o seguimiento 

El titular de la Auditoría Interna, cuando considere que el informe trata de asuntos de interés institucional, remitirá al Consejo Institucional copia de los informes de auditoría dirigidos a otras instancias, ya sea para su conocimiento o respectivo seguimiento, según corresponda. 

Artículo 13. Sobre la recepción y análisis de los informes definitivos emitidos por la Auditoría Interna 

El titular subordinado a quien se dirige el informe deberá en un plazo improrrogable de 10 días hábiles, contados a partir de la fecha de recepción y en coordinación con las instancias relacionadas con la implementación de las recomendaciones; determinar si éstas pueden ser ejecutadas o si se determinan problemas efectivos y concretos de orden legal, técnico o presupuestario para su aplicación. Se exceptúan los informes dirigidos al Directorio de la Asamblea Institucional Representativa o al Consejo Institucional, en cuyo caso dispondrán de un plazo de 30 días hábiles para informar sobre lo dispuesto anteriormente. 

Transcurrido el plazo antes indicado, sin especial manifestación por parte del destinatario del informe, las recomendaciones se dan por aceptadas siendo las mismas de acatamiento obligatorio 

Artículo 14. Aceptación integral del informe definitivo emitido por la Auditoría Interna 

Cuando el destinatario del informe acepte la totalidad de las recomendaciones, dentro del plazo indicado en el artículo anterior, procederá a: 

a. Comunicar la aceptación a su superior jerárquico cuando corresponda y a la Auditoría Interna. 

b. Presentar el plan de acción a su superior jerárquico y a la Auditoría Interna.  

c. Registrar el plan de acción en el SIR, así como las acciones posteriores que conlleven a la atención de las recomendaciones.  

Tratándose del jerarca, en el caso de los incisos b y c anteriores, mediante acto razonado deberá instruir a la instancia que corresponda proceder con la elaboración y presentación del plan de acción, así como su posterior registro en el SIR. 

Artículo 15. Aceptación parcial del informe definitivo emitido por la Auditoría Interna 

Cuando producto del análisis del informe se determine que las recomendaciones emitidas por la Auditoría Interna contienen problemas efectivos y concretos para su aplicación, de orden legal, presupuestario o técnico, el Consejo Institucional o el titular subordinado a quien se dirigió el informe, deberá comunicar por escrito a la Auditoría Interna, las objeciones, su fundamento y las alternativas concretas de solución, en el mismo plazo de 30 y 10 días hábiles, respectivamente,  para que la Auditoría Interna se pronuncie en el transcurso de los siguientes cinco días hábiles. 

Artículo 16. Resolución de discrepancias entre el Consejo Institucional y la Auditoría interna 

En caso de que la Auditoría Interna no esté conforme total o parcialmente con las objeciones aportadas por el Consejo Institucional para la atención de las recomendaciones, emitirá sus argumentos, en el plazo de 15 días hábiles y lo comunicará al Consejo Institucional, quien tendrá un plazo máximo de 22 días hábiles para analizar el asunto y convocar a las instancias que considere necesarias, a fin de determinar si modifica el acuerdo o mantiene la discrepancia con la Auditoría Interna. 

Vencido el plazo antes indicado, si se mantienen criterios diferentes, el Consejo Institucional, la Auditoría Interna o ambos, elevarán el asunto de inmediato a la Contraloría General de la República, aportando el expediente respectivo, quien resolverá, en definitiva. 

Artículo 17. Resolución de discrepancias entre el titular subordinado y la Auditoría interna 

En caso de que la Auditoría Interna no acepte las objeciones aportadas por el titular subordinado para la atención de las recomendaciones, el mismo deberá elevar el asunto en los tres días hábiles siguientes al Consejo Institucional, para que éste resuelva en el plazo de 20 días hábiles. 

Las discrepancias entre la Auditoría Interna y el titular subordinado serán resueltas de la manera siguiente: 

a. Si el Consejo Institucional acepta la totalidad de las recomendaciones de la Auditoría Interna, lo comunicará al titular subordinado para su implementación. 

b. Si el Consejo Institucional se separa del criterio de la Auditoría Interna, aceptando las soluciones alternas propuestas por el titular subordinado o bien, proponiendo unas distintas, el acuerdo correspondiente deberá ser dirigido únicamente a la Auditoría Interna, la cual tendrá un plazo de 15 días hábiles para su análisis. 

c. Si la Auditoría Interna comparte en su totalidad el acuerdo tomado por el Consejo Institucional, lo informará por escrito, en el plazo máximo de cinco días hábiles. La Secretaría del Consejo Institucional, en el plazo máximo de cinco días hábiles, comunicará de oficio, al titular subordinado, el acuerdo con las recomendaciones definitivas y avaladas por la Auditoría Interna. 

d. Si la Auditoría Interna no está de acuerdo, total o parcialmente con lo acordado por el Consejo Institucional, emitirá sus argumentos, en el plazo de 15 días hábiles y lo comunicará al Consejo Institucional, quien tendrá un plazo máximo de 15 días hábiles para analizar el asunto y convocar a las instancias que considere necesarias, a fin de determinar si modifica el acuerdo o mantiene la discrepancia con la Auditoría Interna. 

e. Vencido el plazo antes indicado, si se mantienen criterios diferentes, el Consejo Institucional, la Auditoría Interna o ambos, elevarán el asunto de inmediato a la Contraloría General de la República, aportando el expediente respectivo, quien resolverá, en definitiva. 

CAPÍTULO V. EJECUCIÓN, SEGUIMIENTO, CUMPLIMIENTO Y FINALIZACIÓN DE LAS DISPOSICIONES Y RECOMENDACIONES DERIVADAS DE LOS INFORMES DE AUDITORÍA EXTERNA E INTERNA 

Artículo 18. Etapa de ejecución y seguimiento del plan de acción 

Una vez firme el plan de acción, se inicia la etapa de ejecución y seguimiento del mismo, con el fin de aprovechar las oportunidades de mejora detectadas y fortalecer el sistema de control interno, lo que coadyuvará en el cumplimiento de los objetivos y metas institucionales. Cada disposición o recomendación derivada de informes de auditoría será ejecutada, adaptada e implementada hasta lograr atender la deficiencia anotada y por ende su finalización.  

Artículo 19. Designación de la persona funcionaria a cargo del seguimiento del plan de acción  

Los titulares subordinados deben definir a la persona funcionaria de la instancia que dirigen, que de forma ordinaria y permanente tendrá a su cargo el seguimiento de la implementación de los planes de acción, en el entendido de que esta función no conlleva la delegación de su responsabilidad. 

En el caso de las disposiciones y recomendaciones que debe ejecutar el Consejo Institucional, salvo acto en contrario, corresponderá a la Dirección de la Secretaría del Consejo Institucional, fungir como enlace. 

Cuando se trate de informes emitidos por la Contraloría General de la República, se designará un enlace institucional.  

Artículo 20. Cumplimiento parcial o definitivo de las disposiciones o recomendaciones derivadas de los informes de auditoría 

La Auditoría Interna, en el ejercicio de sus competencias, una vez que reciba del jerarca o titular subordinado a quien se le estableció el cumplimiento de disposiciones o recomendaciones, el informe sobre el cumplimiento parcial o definitivo, según los plazos definidos, validará la evidencia que confirma la atención razonable de las deficiencias reportadas, y comunicará el estado a las instancias que corresponda.  

Artículo 21. De las ampliaciones en los plazos para la atención de informes de auditoría 

En casos de excepción, debidamente razonados y que se soliciten previo al vencimiento del plazo originalmente dispuesto, el Consejo Institucional o el titular subordinado superior del que se le dirige un informe de auditoría, según corresponda, podrá ampliar el plazo dispuesto en el plan para la consecución de acciones tendientes a atender recomendaciones de los Despachos de Auditoría Externa o de la Auditoría Interna. 

Las ampliaciones de plazo para atender disposiciones derivadas de informes de auditoría emitidos por la Contraloría General de la República serán presentadas ante el ente contralor y resueltas por él mismo. 

CAPÍTULO VI. RESPONSABILIDADES EN LA ATENCIÓN DE INFORMES DE AUDITORÍA EXTERNA E INTERNA 

Artículo 22. Responsabilidades del jerarca y titulares subordinados 

Además de los deberes establecidos en la Ley General de Control Interno y el Reglamento de Organización y Funcionamiento de la Auditoría Interna del Instituto Tecnológico de Costa Rica, el jerarca y los titulares subordinados, tendrán las responsabilidades siguientes:  

a. Adoptar las acciones que garanticen la implementación de las disposiciones o recomendaciones emitidas por instancias fiscalizadores, en el plazo establecido y mantener su cumplimiento de forma que se genere una mejora permanente, en atención a los procedimientos que se deriven de este Reglamento.   

b. Incorporar en la planificación institucional, las acciones contenidas en los planes de acción, cuando corresponda. 

c. Sintetizar, integrar, revisar los resultados del seguimiento y comunicar a su superior jerárquico -cuando corresponda- y a la Auditoría Interna, el avance o cumplimiento definitivo, con fundamento en los informes recibidos. 

d. Contar con adecuados mecanismos de coordinación, seguimiento, control y canales de comunicación e instrucción oportunos, formales y efectivos, que aseguren el cumplimiento de las disposiciones y recomendaciones. 

e. Analizar en los casos justificados, la solicitud de prórroga de ampliación del plazo que fueran presentadas previo al vencimiento del plazo original y resolver razonadamente. 

Artículo 23. Responsabilidades de la persona encargada del seguimiento del plan de acción 

La persona funcionaria designada para el seguimiento del plan de acción tendrá las responsabilidades siguientes: 

a. Llevar registros actualizados de cada informe de auditoría recibido.  

b. Elaborar y controlar expedientes en orden cronológico de los informes de auditoría recibidos, que incluya el plan de acción aprobado y la evidencia documental que respalda las acciones de implementación y seguimiento; los cuales deberán estar a disposición del superior jerárquico y de la Auditoría Interna, para cuando en el ejercicio de sus funciones lo requieran. 

c. Mantener periódicamente informado a su superior jerárquico, sobre el seguimiento de los planes de acción.  

d. Velar por que los titulares subordinados informen oportunamente, según los plazos dispuestos en el plan de acción aprobado, sobre las acciones que les corresponde. 

e. Coadyuvar en la elaboración de los informes de seguimiento de los planes de acción, a fin de garantizar su correcta ejecución. 

Artículo 24. Deberes de las personas responsables de la ejecución del plan de acción  

La jefatura superior de la instancia responsable de ejecutar acciones correctivas contenidas en el plan de acción aprobado, tendrá los deberes siguientes: 

a. Ejecutar las acciones correctivas definidas en el plan de acción dentro de los plazos convenidos. 

b. Informar a la jefatura superior, dentro del plazo establecido, sobre el cumplimiento de las disposiciones y recomendaciones que le corresponde atender, en forma sucinta y clara, aportando la evidencia respectiva.  

c. Solicitar a la jefatura superior, la prórroga del plazo de atención, debidamente razonada y previo al vencimiento del plazo original.  

Artículo 25. Responsabilidades que se derivan del incumplimiento de los informes de auditoría 

El incumplimiento injustificado en la elaboración, presentación, aprobación o atención de los planes de acción de las disposiciones de la CGR o de las recomendaciones o advertencias de los Auditores Externos y de la Auditoría Interna, aceptadas por las distintas autoridades institucionales, según su competencia, se constituye en un hecho generador de responsabilidades administrativas a la persona funcionaria involucrada, en consonancia con lo dispuesto en la normativa legal o reglamentaria vigente. 

CAPÍTULO VII. PRODUCTOS DE FISCALIZACIÓN SOBRE PRESUNTOS HECHOS IRREGULARES 

Artículo 26. Comunicación de la Relación de Hechos 

Las Relaciones de Hechos serán comunicadas a la instancia superior jerárquica a la que pertenece la o las personas funcionarias presuntamente responsables del hecho irregular, para que procedan con el trámite correspondiente: el inicio de la investigación preliminar, solicitar la apertura del procedimiento administrativo disciplinario y/o la interposición de denuncia ante el Ministerio Público.  

Artículo 27. Confidencialidad de la Relación de Hechos 

Las Relaciones de Hechos deberán atenderse por parte de las instancias competentes, con absoluta confidencialidad de la información contenida en el expediente, hasta tanto se resuelva en forma definitiva sobre la misma. Lo anterior sin demérito de lo estipulado en la Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública. 

Artículo 28. Plazo para ordenar y atender la Relación de Hechos 

Cuando una Relación de Hechos sea comunicada al Consejo Institucional, este órgano deberá ordenar en el plazo improrrogable de 30 días hábiles, al titular subordinado competente, su atención conforme a la normativa aplicable, informando de ello a la Auditoría Interna.  

En caso de que la Relación de Hechos sea comunicada a un titular subordinado, éste deberá ordenar en el plazo improrrogable de 10 días hábiles, su atención a la jefatura superior competente, conforme a la normativa aplicable, informando de ello a la Auditoría Interna. 

Artículo 29. Remisión de la resolución final de una Relación de Hechos 

Se debe remitir a la Auditoría Interna, para lo de su competencia, copia de la resolución final originada en la atención de la Relación de Hechos, dentro del plazo de 10 días hábiles.

Artículo 30. Atención de advertencias emitidas por instancias fiscalizadoras

Cuando el jerarca o un titular subordinado reciba una advertencia emitida por una instancia fiscalizadora, deberá analizar lo que se le comunica y manifestar razonadamente su decisión al respecto en el plazo máximo de 30 días hábiles, ya sea adoptando alguna acción válida a raíz de ella, o en caso de no considerarla necesaria, justifique claramente las razones atinentes; toda vez que, siendo ya conocedor de las eventuales consecuencias de la acción o decisión, su inacción podría acarrearle las responsabilidades previstas en la Ley General de Control Interno, por debilitamiento del control interno o, en general, por incumplimiento de los deberes que le asigna la referida Ley. 

La Auditoría Interna, en el marco de sus competencias, verificará el proceder posterior del destinatario de la advertencia, para determinar su legalidad y su propiedad técnica. Ello puede realizarse como parte de un estudio de auditoría que incluya en su alcance, entre otros asuntos, los relativos a las acciones derivadas de las advertencias brindadas por la Auditoría Interna, o bien como un estudio especial que permita determinar la procedencia de lo actuado por el destinatario de la advertencia.  

CAPÍTULO VIII. DISPOSICIONES FINALES 

Artículo 31. De la normativa supletoria 

Los aspectos no regulados por este Reglamento o el Estatuto Orgánico, serán resueltos, por su orden, de conformidad con lo establecido en la Constitución Política, la Ley General de Control Interno, la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, la Ley Orgánica de la Contraloría General de la República, la Ley de la Administración Financiera y Presupuestos Públicos,  las normas y principios de la Ley General  de la Administración Pública, la reglamentación interna y las directrices y lineamientos sobre la materia emitidos por la Contraloría General de la República. 

Artículo 32. De la vigencia 

Este Reglamento entrará a regir a partir de su publicación en la Gaceta del Instituto Tecnológico de Costa Rica y deroga las “Disposiciones para la atención, por parte del Instituto Tecnológico de Costa Rica, de los informes de Auditoría Interna, Externa y de la Contraloría General de la República”.  

Artículo 33. De la revisión del reglamento  

La Auditoría Interna en conjunto con la Rectoría, serán responsables de realizar la revisión periódica del presente reglamento y en las fechas de calendarización definidas institucionalmente para ese objetivo. 

CAPÍTULO IX. DISPOSICIONES TRANSITORIAS 

Transitorio I  

La Dirección Ejecutiva de la Secretaría del Consejo Institucional en coordinación con la Oficina de Planificación Institucional deberá elaborar y divulgar el procedimiento para la atención de los informes de auditoría dirigidos al Consejo Institucional, conforme a la Guía para la elaboración de manuales de procedimientos y en el plazo de 60 días hábiles, a partir de aprobado el presente reglamento.  

Transitorio II  

La Rectoría en coordinación con la Oficina de Planificación Institucional deberá elaborar, aprobar y divulgar el procedimiento para la atención de los informes de auditoría dirigidos a titulares subordinados, conforme a la Guía para la elaboración de manuales de procedimientos y en el plazo de 60 días hábiles, a partir de aprobado el presente reglamento.  

Transitorio III  

La Auditoría Interna deberá revisar el Reglamento de organización y funcionamiento de la Auditoría Interna y proponer los cambios que estime necesarios a la luz del contenido del presente reglamento, en un plazo de 60 días hábiles a partir de su aprobación. 

Transitorio IV  

Los informes de entes fiscalizadores que se encuentren recibidos a la fecha de entrada en vigor de este reglamento, culminarán su proceso de atención bajo las condiciones y normas que se mantenían vigentes a su recepción. 

Así aprobado por acuerdo del Consejo Institucional, Sesión Ordinaria No. 3309, Artículo 12, del 17 de mayo de 2023.

Publicado en fecha 19 de mayo del 2023 mediante la Gaceta Número 1102-2023 de fecha 18 de mayo del 2023.

Procedimiento para el reclutamiento, selección y nombramiento a tiempo indefinido de la persona que ocupe la Dirección de la Auditoría Interna del ITCR o la persona Subauditora

Propósito

El propósito de este Reglamento es cumplir con los siguientes aspectos:

a. Atender lo dispuesto en el Artículo 23 de la Ley General de Control Interno, que permite contar con un reglamento de aplicación institucional relativo a la organización y funcionamiento de la Auditoría Interna del Instituto Tecnológico de Costa Rica, acorde con la normativa que rige esta labor en el sector público costarricense.

b. El Reglamento de organización y funcionamiento de la Auditoría Interna constituye un instrumento jurídico que promueve la actividad de auditoría interna con apego a la ética, principios y disposiciones de orden legal, reglamentario y técnico agregando valor al buen gobierno del Instituto Tecnológico de Costa Rica.

c. Esta normativa institucional permitirá orientar las acciones de la Auditoría Interna como una actividad dirigida a coadyuvar con el éxito de la gestión institucional, en aras de la legalidad, transparencia y efectividad en el manejo de los fondos públicos involucrados.

CAPÍTULO I Disposiciones generales

Artículo 1. Objetivo

Regular la organización y funcionamiento de la Auditoría Interna del Instituto Tecnológico de Costa Rica, en apego a lo dispuesto en el artículo 23 de la Ley General de Control Interno, de manera que su accionar se oriente como una actividad que coadyuve al éxito de la gestión institucional, en aras de la legalidad y efectividad en el manejo de los fondos públicos involucrados.

Artículo 2. Ámbito de aplicación

El presente Reglamento es de carácter obligatorio para los funcionarios de la Auditoría Interna, los funcionarios de la administración activa y otros actores, en lo que les resulte aplicable.

Artículo 3. Del mecanismo de formulación, modificación y aprobación

La formulación, modificación, aprobación y promulgación de este Reglamento se realizará conforme a la normativa dispuesta por la Contraloría General de la República. 

CAPITULO II Ubicación y Organización

Artículo 4. Definición

La Auditoría Interna en el Instituto Tecnológico de Costa Rica es un componente orgánico esencial del sistema de control interno institucional, que tiene a su cargo la fiscalización, mediante un enfoque sistémico y profesional de la efectividad de la administración del riesgo, del control y del proceso de dirección, para coadyuvar en el logro de los objetivos y fortalecer la rendición de cuentas.

Artículo 5. Dependencia jerárquica institucional

La Auditoría Interna depende orgánicamente del Consejo Institucional, por lo que su ubicación dentro de la estructura institucional corresponde a la de un órgano asesor del más alto nivel y es única respecto de su actividad de auditoría interna.

Artículo 6. Marco normativo

La actividad de auditoría interna se regirá fundamentalmente, adicional a este Reglamento, por lo establecido en la siguiente normativa legal, reglamentaria o técnica:

1. Ley General de Control Interno.
2. Ley Orgánica de la Contraloría General de la República.
3. Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública y su Reglamento
4. Ley Orgánica del Instituto Tecnológico de Costa Rica
5. Estatuto Orgánico del Instituto Tecnológico de Costa Rica
6. Normas generales de auditoría para el sector público.
7. Normas para el Ejercicio de la Auditoría Interna en el Sector Público.
8. Directrices generales sobre principios y enunciados éticos a observar por parte de los jerarcas, titulares subordinados, funcionarios de la Contraloría General de la República, auditorías internas y servidores públicos en general.
9. Plan Estratégico de la Auditoría Interna, así como las políticas, directrices, procedimientos y demás instrucciones que dicte el Auditor Interno para orientar la gestión de la Auditoría Interna.
10. Otras normas legales, reglamentarias o técnicas que le sean aplicables a la actividad de auditoría interna.

Artículo 7. Independencia funcional y de criterio

La actividad de auditoría interna deberá ser ejercida con total independencia funcional y de criterio, respecto del jerarca y de los demás órganos de la administración activa.

Artículo 8. Objetividad individual

Es obligación de los funcionarios de la Auditoría Interna mantener una actitud imparcial y objetiva, evitando conflictos de intereses, por lo que deben atenerse a lo dispuesto sobre el particular en las distintas normas aplicables, básicamente en la Ley General de Control Interno; Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, las Normas Generales de Auditoría para el Sector Público y las Normas para el ejercicio de la Auditoría Interna en el Sector Público.

Artículo 9. Manifestación de salvaguarda

Es obligación de los funcionarios de la Auditoría Interna, cuando su independencia de criterio y objetividad se vean comprometidas de hecho o en apariencia, poner en conocimiento del Auditor Interno los detalles del impedimento. Es obligación del Auditor Interno actuar de igual forma, ante el jerarca, de darse esa situación.

Artículo 10. Medidas de resguardo

El Auditor Interno, Sub Auditor Interno y los demás funcionarios de la Auditoría Interna, en resguardo de su independencia de criterio y objetividad deberán abstenerse de:

1. Realizar funciones y actuaciones de administración activa, salvo las necesarias para cumplir su competencia. Cuando se solicite al Auditor Interno su participación en este tipo de actividades o éste designe en alguno de sus funcionarios su representación, se tendrá en cuenta que dicha participación será exclusivamente en función de asesor y no podrá ser con carácter permanente.
2. Fiscalizar actividades específicas de las cuales hayan sido responsables, en los últimos doce meses contados a partir de la fecha de su ingreso a la Auditoría Interna.
3. Ser miembros de órganos colegiados de un sujeto privado que administra fondos públicos que están como tales sujetos a su fiscalización.
4. Formar parte del órgano director de un procedimiento administrativo.
5. Ejercer profesiones liberales fuera del cargo, salvo en asuntos estrictamente personales, en los de su cónyuge, sus ascendientes, descendientes y colaterales por consanguinidad y afinidad hasta tercer grado, excepto que exista impedimento por la existencia de un interés directo o indirecto del propio ente u órgano. De esta prohibición se exceptúa la docencia, siempre y cuando sea fuera de la jornada laboral.
6. Participar en actividades político-electorales en el ámbito nacional y a lo interno del Instituto, salvo la emisión del voto en las elecciones nacionales, municipales y en las que se organicen a lo interno para la elección del Rector y los miembros del Consejo Institucional.
7. Revelar información sobre las auditorías o los estudios de carácter especial que conlleven a una posible responsabilidad administrativa, civil o eventualmente penal.
8. Utilizar su cargo para obtener información con fines distintos al cumplimiento de sus obligaciones y deberes.

Artículo 11. Dirección de la Auditoría Interna

La persona que ocupe el cargo de la Dirección de la Auditoría Interna es la persona superior jerárquica del personal de la Auditoría Interna, y tiene a su cargo la dirección superior y administración de ésta.   

Así reformado por acuerdo del Consejo Institucional, Sesión Ordinaria No. 3292, Artículo 16, del 09 de diciembre de 2022. 
Publicado en fecha 13 de diciembre del 2022 mediante la Gaceta Número 1026-2022 de fecha 12 de diciembre del 2022.

Artículo 12. Organización

La Auditoría Interna funcionará bajo la responsabilidad y dirección inmediatas del Auditor Interno, o en su defecto del Sub Auditor Interno, el cual de conformidad con el artículo 23 de la Ley General de Control Interno la organizará conforme al enfoque que mejor convenga a los intereses de la organización, impulsando la creación de las unidades que requiera, considerando entre otros, la efectividad en el cumplimiento de sus competencias,  los objetivos y riesgos institucionales, los recursos disponibles, la normativa y disposiciones técnicas y sanas prácticas.  La creación de Unidades requiere de la aprobación del Consejo Institucional y no estará exenta de los procedimientos institucionales establecidos para este fin.

Artículo 13. Relaciones internas

El Auditor Interno establece y regula, a lo interno de su unidad, las pautas principales sobre las relaciones y coordinaciones de sus funcionarios con los auditados.

Artículo 14. Relaciones externas

Es facultad del Auditor Interno o en quien él delegue, solicitar, proveer e intercambiar información con entes externos que conforme a la ley corresponda, sin perjuicio de la coordinación que se requiera con las autoridades superiores del Instituto Tecnológico de Costa Rica, en tanto se cumpla con el artículo 6º de la Ley General de Control Interno y 8º de la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.

Artículo 15. Solicitudes de la Asamblea Legislativa

Las solicitudes de información planteadas por la Asamblea Legislativa, referidas a productos y servicios de la Auditoría Interna, documentación y pruebas que se encuentren en su poder, serán satisfechas cuando sean formuladas por una comisión legislativa debidamente acreditada, de conformidad con el inciso 23 del artículo 121 de la Constitución Política y éstas no formen parte de una denuncia trasladada al Ministerio Público. 

Artículo 16. Apoyo Legal        

Es obligación de la Asesoría Legal del Instituto brindar a la Auditoría Interna un oportuno y efectivo servicio de asesoría legal, cuando así sea solicitado.  De requerirse, este servicio podrá ser contratado externamente.

Artículo 17. Apoyo técnico

La Auditoría Interna podrá solicitar la asesoría o la incorporación de profesionales, técnicos o entes corporativos en diferentes disciplinas, funcionarios o no del Instituto Tecnológico de Costa Rica, para que realicen labores de su especialidad en apoyo a su actividad, los cuales actuarán con apego a las normas aplicables para los funcionarios de la Auditoría Interna.

Artículo 18. Asignación del Presupuesto

Para que la Auditoría Interna pueda cumplir su gestión formulará sus proyectos anuales de presupuesto de conformidad con el ordenamiento jurídico aplicable y los lineamientos institucionales y serán presentados al Consejo Institucional para el análisis y resolución correspondiente.

Artículo 19. Ejecución del presupuesto

Corresponderá al Auditor Interno o en quien delegue, autorizar los documentos de ejecución presupuestaria y promover las modificaciones al presupuesto anual asignado, velando porque se mantenga un registro detallado por objeto del gasto, para el control de su ejecución.

CAPITULO III Del auditor y sub auditor interno y del personal a su cargo

Artículo 20 Nombramiento, tiempo de prueba, vigencia del registro de elegibles, suspensión y remoción 

El nombramiento de la persona a cargo de la dirección de la Auditoría Interna y de la persona Sub auditora lo hará el Consejo Institucional, instancia de la cual depende orgánicamente la Auditoría Interna. Sus nombramientos serán por tiempo indefinido y sus jornadas de trabajo a tiempo completo. 

Estos nombramientos se harán mediante concurso público, acatando los principios del Régimen de Empleo Público, los requisitos de los cargos y sus funciones están contenidos en el Manual Descriptivo de Puestos por Competencias del Instituto Tecnológico de Costa Rica, los lineamientos que en relación con el tema emita la Contraloría General de la República y el procedimiento que para el efecto apruebe el Consejo Institucional. 

La persona que se nombre a cargo de la dirección de la Auditoría Interna y la persona Sub auditora estará sujeta a un período de prueba de tres meses, pasado el cual, el Consejo Institucional deberá informar a la Contraloría General de la República, la ratificación del nombramiento. 

Las personas que alcancen la condición de elegible una vez realizado el procedimiento aprobado, mantendrá por un lapso de dos años después de efectuado el concurso esta condición. Así mismo, el registro de elegibles caducará en caso de que se varíen sustancialmente los requisitos u otras condiciones en relación con las que dieron origen al concurso público con el que se constituyó dicho registro de elegibles. 

La persona a cargo de la dirección de la Auditoría Interna y la persona Sub auditora gozarán de la garantía de inamovilidad, salvo el caso de que se demuestre que no cumplen debidamente su cometido o que llegare a declararse en contra de ellos alguna responsabilidad administrativa que así lo amerite, en cuyo caso, para su suspensión o remoción, se procederá de acuerdo con lo establecido al respecto en el Estatuto Orgánico del Instituto Tecnológico de Costa Rica y de conformidad con dictamen previo y vinculante de la Contraloría General de la República, según lo establecen la Ley Orgánica de la Contraloría General de la República y la Ley General de Control Interno, artículos 15 y 31, respectivamente, así como lo establecido en los Lineamientos que al respecto dicte la Contraloría General de la República para las unidades de auditoría interna del sector público

Así reformado por acuerdo del Consejo Institucional, Sesión Ordinaria No. 3295, Artículo 10, del 08 de febrero de 2023.
Publicado en fecha 10 de febrero del 2023 mediante la Gaceta Número 1046-2023 de fecha 9 de febrero del 2023.

Ver procedimiento disponible en el siguiente enlace.

Artículo 20 bis Ausencia temporal 

En las ausencias temporales de la persona que ocupa la titularidad del cargo de la Dirección de la Auditoría Interna, sean estas por permiso de la Institución, incapacidad o licencia, en las que no se afecte negativamente la actividad de auditoría interna, le sustituirá -cuando así corresponda- quien ostente la titularidad del puesto de Sub auditor(a) Interno(a), una persona coordinadora de las Unidades de la Auditoría Interna, o una persona funcionaria de la Auditoría interna, en ese orden, debiendo privar el cumplimiento de los requisitos de idoneidad aplicables para ejercer el cargo. 

Se podrá remunerar a la persona sustituta el recargo de la jefatura y las labores del puesto, conforme se dispone a continuación: 

1. En las ausencias menores a 2 días naturales, no se dispondrá de sustituciones para el puesto.   
2. En las ausencias mayores a 2 días naturales y menores a 15 días naturales, se sustituirá únicamente el recargo de la jefatura.  Corresponderá a la persona que ejerce la Presidencia del Consejo Institucional realizar tal designación, debiendo informar al respecto, tanto al Consejo Institucional como al órgano contralor, al menos con un día hábil antes de su ausencia, incorporando los datos de la persona funcionaria en quien ha recaído.  
3. En las ausencias mayores a 15 días naturales y menores a 90 días naturales, se sustituirá el recargo de la jefatura con las funciones inherentes al puesto. Corresponderá al Consejo Institucional realizar la designación, debiendo informar al respecto al órgano contralor, incorporando los datos de la persona funcionaria en quien ha recaído.
4. En las ausencias que excedan los 90 días naturales y menores a 12 meses por causas relativas a incapacidad o licencia, emitidas por la Caja Costarricense del Seguro Social o Instituto Nacional de Seguros, se sustituirá el recargo de la jefatura con las funciones inherentes al puesto. El Consejo Institucional realizará la designación, debiendo informar al respecto al órgano contralor, incorporando los datos de la persona funcionaria en quien ha recaído.

Así reformado por acuerdo del Consejo Institucional, Sesión Ordinaria No. 3292, Artículo 16, del 09 de diciembre de 2022. 

Publicado en fecha 13 de diciembre del 2022 mediante la Gaceta Número 1026-2022 de fecha 12 de diciembre del 2022.

Artículo 20 bis 1 Ausencia permanente

En los casos no detallados como causas de ausencia temporal se entenderá que la ausencia es permanente, para lo cual se deberá atender lo siguiente:

1. Ameritará que el Consejo Institucional gestione la autorización de la Contraloría General de la República, de previo a resolver un nombramiento definido (interino) en la plaza dispuesta para la persona titular de la Auditoría Interna, ello mientras la Institución realiza el concurso requerido por la ley para designar a la persona que ocupe el puesto en propiedad.
2. El nombramiento definido podrá recaer en la persona que ostenta la titularidad del puesto de Sub auditor(a) Interno(a), una persona coordinadora de las Unidades de la Auditoría Interna, una persona funcionaria de la Auditoría Interna, o en su defecto, en una persona funcionaria externa al departamento, en ese orden.
3. En la selección de la persona en quien recae el nombramiento definido, deberá privar el cumplimiento de los requisitos de idoneidad aplicables para ejercer el cargo.
4.  Se deberán observar las regulaciones del ente contralor, en cuanto a plazos, acciones, responsables, requerimientos y comunicaciones para el trámite del nombramiento definido.

Así reformado por acuerdo del Consejo Institucional, Sesión Ordinaria No. 3292, Artículo 16, del 09 de diciembre de 2022. 

Publicado en fecha 13 de diciembre del 2022 mediante la Gaceta Número 1026-2022 de fecha 12 de diciembre del 2022.

Artículo 21. De la dirección y administración

Sin perjuicio de lo establecido en la Ley General de Control Interno, el presente Reglamento y lo dispuesto en materia de auditoría interna por parte de la Contraloría General de la República, corresponderá al Auditor Interno:

1. Disponer la organización y funcionamiento de la Auditoría Interna, conforme a la normativa legal, reglamentaria y técnica aplicable.
2. Mantener actualizado el Reglamento de organización y funcionamiento de la Auditoría Interna, cumplirlo y hacerlo cumplir.
3. Mantener un plan estratégico actualizado y comunicarlo a quien corresponda, que defina las ideas rectoras del trabajo de la Auditoría Interna, la visión, la misión y los enunciados éticos que deben tener en cuenta los funcionarios al conducirse en sus distintas relaciones internas o externas.
4. Formular un plan de trabajo anual y comunicarlo al Consejo Institucional y a la Contraloría General de la República, en atención a la normativa vigente.
5. Establecer y mantener actualizadas las políticas, procedimientos y prácticas requeridas por la Auditoría Interna para cumplir con sus competencias, considerando en cada caso lo relativo a sus procesos.
6. Definir y mantener actualizado un procedimiento sobre la administración, acceso, custodia y revisión de la documentación inherente a sus servicios preventivos y de auditoría, en especial de la información relativa a los asuntos de carácter confidencial que estipulan los artículos 6º de la Ley General de Control Interno y el 8º de la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.
7. Proponer al Consejo Institucional, oportuna y debidamente justificado, el requerimiento de recursos que estime necesarios para ejecutar adecuadamente el plan de trabajo de la Auditoría Interna, incluidas las respectivas necesidades administrativas.
8. Rendir ante el Consejo Institucional, un informe anual de labores que contenga una evaluación de los resultados de su gestión.
9. Delegar en el Sub auditor Interno o en el personal a su cargo, cuando así lo estime necesario, algunas de sus funciones, utilizando criterios de idoneidad y conforme lo establece la Ley General de la Administración Pública.
10. Cumplir con pericia y debido cuidado profesional sus funciones, haciendo valer sus competencias con independencia funcional y de criterio, vigilando que el personal responda de igual manera.
11. Mantener en operación un programa de aseguramiento de la calidad para la Auditoría Interna.
12. Administrar en forma efectiva los recursos financieros, materiales, humanos y tecnológicos, que se le asignan, en función de los objetivos institucionales.
13. Promover una gestión basada en los valores institucionales.
14. Adquirir y aplicar los conocimientos, técnicas, valores, creencias y actitudes que fortalezcan la efectividad de la actividad de auditoría interna.
15. Presentar un informe de fin de gestión, de acuerdo con las directrices internas y las emitidas por la Contraloría General de la República.

Artículo 22. De la persona sub auditora interna  

A la persona que ostente la titularidad del puesto de Sub auditor(a) Interno(a), le corresponderá apoyar a la Dirección de la Auditoría Interna en el descargo de sus funciones. La Dirección de la Auditoría Interna asignará las funciones a la persona que ocupe el puesto de Sub auditor(a) Interno (a) y esta deberá responder ante la Dirección por su gestión.

Así reformado por acuerdo del Consejo Institucional, Sesión Ordinaria No. 3292, Artículo 16, del 09 de diciembre de 2022. 
Publicado en fecha 13 de diciembre del 2022 mediante la Gaceta Número 1026-2022 de fecha 12 de diciembre del 2022.

Artículo 23. Del personal

Es competencia del Auditor Interno en relación con el personal de la Auditoría Interna:

1. Autorizar los movimientos de personal de la Auditoría Interna, de conformidad con lo que establecen los artículos 24 y 28 de la Ley General de Control Interno y demás normas aplicables.
2. Gestionar ante el Departamento de Gestión del Talento Humano la ocupación de las plazas vacantes de la unidad a su cargo, mediante los mecanismos, regulaciones y políticas institucionales.

Inciso así reformado por acuerdo del Consejo Institucional, Sesión Ordinaria Número 3263, Artículo 14 del 11 de mayo del 2022.
Publicado en fecha 17 de mayo del 2022 mediante la Gaceta Número 917-2022 de fecha 16 de mayo del 2022. 

3. Tomar las decisiones que correspondan para que los funcionarios de la Auditoría Interna cumplan, en el ejercicio de sus competencias, con la normativa legal, reglamentaria y técnica, así como con las políticas, procedimientos, prácticas y demás disposiciones administrativas, institucionales y de la Auditoría Interna, que les sean aplicables.

CAPITULO IV Funcionamiento de la Auditoría Interna

SECCIÓN A Ámbito de acción

Artículo 24.       Ámbito de acción

La Auditoría Interna ejercerá su competencia en los órganos y dependencias del Instituto Tecnológico de Costa Rica, fiscalizando el uso de los fondos públicos destinados al cumplimiento de las actividades sustantivas, así como los fondos públicos destinados a instancias privadas tales como la Asociación de Funcionarios del Instituto Tecnológico de Costa Rica (AFITEC), la Asociación de Empleados del Instituto Tecnológico de Costa Rica (ASETEC), la Asociación Deportiva y Recreativa del Instituto Tecnológico de Costa Rica (ADERTEC), la Federación de Estudiantes del Instituto Tecnológico de Costa Rica (FEITEC), la Asociación Taller Infantil Psicopedagógico del Instituto Tecnológico de Costa Rica (ATIPTEC) o cualquier otra que se organice en el futuro.

También, podrá fiscalizar los fondos públicos que administre la Fundación Tecnológica de Costa Rica (FUNDATEC), como producto de los programas de vinculación externa que desarrolle el Instituto Tecnológico de Costa Rica con la coadyuvancia de esa Fundación, de acuerdo con el ámbito de su competencia o de otras fundaciones y empresas auxiliares que en el futuro se organicen en el marco de la Ley para la promoción del desarrollo científico tecnológico o en las sociedades en las que participe el Instituto Tecnológico de Costa Rica conforme al artículo 5 de su Ley Orgánica.

Artículo 25. Actualización de su ámbito de acción

La Auditoría Interna mantendrá actualizado y detallado su ámbito de acción por órganos, procesos, u otros, según convenga, así como los sujetos privados que administren o custodien fondos públicos provenientes de la entidad.

Artículo 26. Archivo permanente

La Auditoría Interna dispondrá de la información sobre las regulaciones legales y de otro tipo que afecten su ámbito de acción y su actividad como tal, mediante los sistemas de información y archivos impresos, digitales, electrónicos y de cualquier otra naturaleza que sobre el particular mantenga la Institución.

SECCIÓN B De sus competencias, deberes y potestades

Artículo 27. Competencias

La  actuación de la Auditoría Interna será  conforme a las competencias que le establecen el artículo 22 de la Ley General de Control Interno, el artículo 80 del Reglamento a la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, y las demás leyes, reglamentos y  normativa de obligada observancia.

Artículo 28. Deberes por ley

El Auditor Interno, el Sub auditor Interno y el personal de la Auditoría Interna, en el desempeño de sus competencias, ejercerán los deberes que se establecen en el artículo 32 de la Ley General de Control Interno.

Artículo 29. Potestades por ley

El Auditor Interno, el Sub auditor Interno y el personal de la Auditoría Interna, en el desempeño de sus competencias, ejercerán las potestades que se establecen en el artículo 33 de la Ley General de Control Interno.

Artículo 30. Señalamiento de plazos

La Auditoría Interna señalará en cada caso el plazo en el que la administración activa debe suministrar la información requerida. Este plazo será establecido considerando la complejidad del asunto en cuestión, así como la importancia y urgencia que representa para la oportuna ejecución de sus funciones. Tal plazo empezará a contar a partir del día siguiente del recibo de la solicitud por la instancia correspondiente.

Cuando la solicitud no pueda ser atendida dentro del plazo establecido, el responsable deberá comunicarlo para su resolución a la Auditoría Interna dentro de los cinco días hábiles   siguientes al recibo de la petición.

SECCION C De los servicios de la Auditoría Interna

Artículo 31. De los servicios

Los servicios que proporciona la Auditoría Interna, como producto de su actividad, se clasifican en servicios de auditoría y servicios preventivos.

Artículo 32. Servicios de auditoría

Proporcionará exámenes objetivos de evidencia, en relación con la administración del riesgo, del control y procesos de dirección, así como sobre asuntos específicos de la institución, con el fin de proveer evaluaciones independientes orientadas a impulsar mejoras en la gestión, mejorar la responsabilidad pública y facilitar la toma de decisiones. Son parte de esos servicios los estudios de seguimiento dirigidos a verificar el cumplimiento por parte de la administración activa de las recomendaciones a ella dirigidas y que fueron de su aceptación. Atendiendo a su naturaleza se clasifican, de preferencia, como auditorías de carácter financiero, operativo o especial.

Artículo 33. Servicios preventivos

Los servicios preventivos contemplan las asesorías, advertencias y autorización de libros. Las asesorías y advertencias deben versar sobre asuntos que sean estrictamente de la competencia de la Auditoría Interna, sin comprometer su independencia y objetividad en el desarrollo posterior de sus actividades.

a. Servicios de asesoría:proveen criterios, opiniones u observaciones que coadyuven a la toma de decisiones sobre asuntos puntuales y no devienen en vinculante para quien los recibe. Las asesorías se brindan a solicitud del jerarca o de cualquier otro nivel gerencial. Las asesorías que se brinden serán de preferencia escritas y podrán ser verbales, dejando constancia de ellas.

b. Servicios de advertencia: comunican a la administración activa sobre las posibles consecuencias de determinadas conductas o decisiones incompatibles con el ordenamiento jurídico o técnico, siempre y cuando sean del conocimiento de la Auditoría Interna. Deben ser por escrito.

Asimismo, pueden versar sobre la solicitud que se la plantea a la administración activa para que inicie una investigación preliminar, conforme a la normativa institucional vigente, a efecto de determinar la necesidad o no de instalar un órgano director del procedimiento administrativo, tendiente a identificar responsables y aplicar sanciones por determinadas conductas de un funcionario.   El proceder y la legalidad de lo actuado por la administración será objeto de seguimiento por parte de la Auditoría Interna.

c. Servicios de autorización de libros: Consignan la razón de apertura o de cierre en los libros y registros relevantes para el control interno institucional y en la fiscalización de su manejo y control.

SECCION D De los informes de auditoría sobre materia de control interno

Artículo 34. Comunicación de resultados

La Auditoría Interna comunicará los resultados de sus auditorías, mediante informes escritos, a efecto de que la administración activa implemente las recomendaciones de manera oportuna.

Corresponde a la Auditoría Interna definir al jerarca o titular subordinado al que dirigirá sus informes con sus respectivas recomendaciones, considerando la competencia y autoridad que tiene para ordenar la implementación de éstas.

Artículo 35. Informe parcial y final

La Auditoría Interna, de acuerdo con su criterio, podrá emitir informes parciales durante la etapa de examen de sus auditorías. Toda auditoría siempre dará lugar a un informe final.

Artículo 36. Conferencia final

Los resultados, conclusiones y recomendaciones se comentarán, de previo a su comunicación oficial, con el funcionario a quien se dirige el informe, para promover el intercambio y retroalimentación respecto a éstos.

Las observaciones de forma que al respecto ese funcionario proporcione en la conferencia final, siempre y cuando sean aceptadas por la Auditoría Interna, se considerarán en el respectivo informe de auditoría.

La Auditoría Interna modificará su criterio, en el contenido de su informe, cuando así se demuestre con razones fundadas y a su entera satisfacción.

Artículo 37. Audiencia para la conferencia final

La Auditoría Interna solicitará audiencia para efectuar la conferencia final al funcionario al cual se dirige el informe, quien deberá dársela en un plazo no mayor a cinco días hábiles, salvo situación de manifiesta excepción la cual deberá ser puesta, por escrito, en conocimiento de la Auditoría Interna dentro de los dos primeros días hábiles siguientes al recibo de esa solicitud, para la concesión de una prórroga por una única vez.

El borrador del informe de auditoría se suministrará con la solicitud de audiencia de la conferencia final, con la finalidad de propiciar una mayor comprensión y análisis de su contenido.

Artículo 38. Respuesta a los informes de auditoría

El órgano colegiado o el funcionario al cual se dirige el informe deberán, en los plazos improrrogables que establecen los artículos 36 y 37 de la Ley General de Control Interno, ordenar la implementación de las recomendaciones o manifestarse, si discrepa de ellas.

Vencidos esos plazos sin producirse las manifestaciones de ley y, sin perjuicio de las responsabilidades que tal actuación genere, el informe de auditoría adquiere eficacia y firmeza y por tanto se vuelve obligatoria la implementación de las recomendaciones, bajo pena de incurrir, en caso de incumplimiento injustificado, en responsabilidad administrativa y eventualmente civil o penal, de conformidad con el artículo 39 de la Ley General de Control Interno.

Artículo 39. Informes de auditoría sobre entes privados que administren fondos públicos

Los informes de auditoría sobre entes privados a los que el Instituto Tecnológico de Costa Rica ha concedido beneficios patrimoniales -gratuitos o sin contraprestación alguna- se dirigirán al funcionario responsable del control de los fondos transferidos, con sujeción a las normas legales y reglamentarias relativas a la conferencia final y a la comunicación de esos informes.

Artículo 40. Acceso a informes

Los informes de auditoría sobre materia de control interno una vez comunicados oficialmente a la administración activa, son de libre acceso por parte de cualquier persona física o jurídica.

SECCION E De los informes de carácter especial sobre eventuales responsabilidades

Artículo 41. Informes sobre eventuales responsabilidades

El informe sobre eventuales responsabilidades comunicará, a la instancia competente de la administración activa, los asuntos que puedan llevar a establecer posibles responsabilidades administrativas, civiles o penales, considerando los elementos necesarios para la identificación de presuntos responsables y hechos anómalos o irregulares que se les atribuyan; a efecto que sean utilizados como insumo en las investigaciones preliminares o los procesos administrativos que se generen.

Artículo 42.       Confidencialidad

El informe y la documentación que sustenta el estudio, son de acceso restringido durante la investigación, la elaboración del informe y el traslado al jerarca u órgano competente y, aún posterior a ello, hasta que se dicte el acto final.

Cuando el informe tenga su origen en una denuncia, la Auditoría Interna tomará las medidas necesarias para que se guarde sin sujeción a límite de tiempo la confidencialidad sobre la identidad del denunciante, de conformidad con el artículo 6º de la Ley General de Control Interno y 8º de la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.

Artículo 43. Comunicación

El informe se dirigirá a la instancia con competencia para conocerlo y se valorará informarlo al superior jerárquico de esa instancia para que ejerza la supervisión que le corresponde y no estarán sujetos a la realización de la conferencia final.

SECCION F De las denuncias

Artículo 44. Ámbito de competencia

La Auditoría Interna dará trámite a aquellas denuncias que versen sobre posibles hechos irregulares o ilegales en relación con el uso y manejo de fondos públicos o que afecten la Hacienda Pública, así como la referida a incumplimientos funcionales y lo regulado por la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.

Artículo 45.  Principios generales

En la admisión de las denuncias se atenderán los principios de simplicidad, economía, eficacia y eficiencia.

Artículo 46. Confidencialidad

La identidad del denunciante, la información, la documentación y otras evidencias de las investigaciones que se efectúen serán confidenciales de conformidad con lo establecido en el artículo 6º de la Ley General de Control Interno y 8º de la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.

Artículo 47. Requisitos esenciales que deben reunir las denuncias que se presenten a la Auditoría Interna

Los hechos denunciados deben ser expuestos en forma clara, precisa y circunstanciada, brindando la evidencia suficiente que permita orientar la investigación para determinar el momento y lugar en que ocurrieron tales hechos y el sujeto que presuntamente los realizó.

Artículo 48. Solicitud de aclaración o información adicional

Ante requerimiento de la Auditoría Interna, el denunciante deberá prestar colaboración para aclarar o brindar información complementaria que permita sustentar los hechos denunciados.

Artículo 49. Admisión de denuncias anónimas

Las denuncias anónimas serán admitidas cuando aporten elementos de convicción suficientes y se encuentren soportadas en medios probatorios idóneos que permitan iniciar la investigación, de lo contrario se archivará.

Artículo 50. Desestimación y archivo o traslado de las denuncias

La Auditoría Interna desestimará y archivará o bien valorará un traslado de la denuncia cuando se presente alguna de las siguientes condiciones:

1. Si la denuncia no corresponde al ámbito de competencia de la Auditoría Interna o ésta debe ser discutida en otra sede, ya sea administrativa o judicial.
2. Si la denuncia se refiere a intereses particulares exclusivos de los denunciantes en relación con conductas ejercidas u omitidas por la administración, salvo que de la información aportada se logre determinar que existen aspectos de relevancia que ameritan ser investigados.
3. Si los hechos denunciados se refieren a aspectos de carácter laboral que se presentaron entre el denunciante y la administración activa.
4. Si el costo aproximado de la investigación fuera superior al beneficio que se obtendría al darle curso al asunto denunciado, de conformidad con el artículo 14 del Reglamento a la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.
5. Si el asunto planteado ante la Auditoría Interna, se encuentra en conocimiento de otras instancias con competencia para realizar la investigación, ejercer el control y las potestades disciplinarias.
6. Si la denuncia presentada fuera una reiteración o reproducción de otras denuncias similares sin aportar elementos nuevos y que ya hubieran sido resueltas con anterioridad por la Auditoría Interna o por otras instancias competentes.
7. Si la denuncia es manifiestamente improcedente o infundada.>
8. Si la denuncia omite alguno de los requisitos esenciales mencionados en el artículo 47 del presente Reglamento.
9. Si la denuncia no presenta las condiciones indicadas en el artículo 49 anterior.

La Auditoría Interna valorará, si en alguno de los casos anteriores, procede un traslado a cualquier otra instancia con competencia, actuando de conformidad.

Artículo 51. Fundamentación del acto de desestimación y archivo de denuncias

La desestimación y archivo de las denuncias se realizará mediante un acto debidamente motivado en el que se acredite los argumentos valorados para tomar esa decisión.

Artículo 52. Comunicación al denunciante en caso de denuncias suscritas

Al denunciante se le deberá comunicar cualquiera de las siguientes resoluciones que se adopte de su gestión:

• La desestimación y archivo de la denuncia.
• El traslado a otra instancia, interna o externa, con competencia para atenderla.
• El resultado final de la investigación que se realizó con motivo de su denuncia. En caso de que tales resultados puedan originar la apertura de un procedimiento administrativo o la interposición de un proceso judicial, se le comunicará que se realizó el estudio correspondiente y de su remisión a la autoridad competente, sin aportar información, documentación u otras evidencias inherentes a la investigación.

Las comunicaciones se realizarán en el tanto haya especificado en dicho documento su nombre, calidades y lugar de notificación.

Artículo 53. Resguardo de la identidad del denunciante

Los papeles de trabajo, razón de archivo o comunicación a terceros, generados por la Auditoría Interna, resultado de la denuncia que se atienda, deben resguardar, en todo momento, la identidad del denunciante.

SECCION G Del seguimiento de recomendaciones

Artículo 54. Programa de Seguimiento para la Implementación de Recomendaciones

La Auditoría Interna contará con un programa de seguimiento de advertencias y recomendaciones  aceptadas por la administración activa; las remitidas por auditores externos, cuando sean de su conocimiento y las disposiciones e instrucciones giradas por la Contraloría General de la República, para verificar su implementación y sustentar las comunicaciones correspondientes.

Artículo 55. Solicitudes de información

La Auditoría Interna solicitará al funcionario responsable de ordenar la implementación de las recomendaciones, o a quien corresponda, referirse a los períodos estimados para su cumplimiento, o bien, al progreso alcanzado en relación con su implementación.

Artículo 56. Responsabilidades de la administración activa

Es responsabilidad del jerarca o titular subordinado ordenar y asegurar la adopción de las medidas y acciones para la oportuna implementación de las advertencias, recomendaciones o disposiciones.  En el caso de verificarse un incumplimiento injustificado deberá ordenar el inicio de las acciones disciplinarias y legales que se podrían atribuir a los responsables de su atención.

Artículo 57. Comunicación sobre el incumplimiento injustificado de recomendaciones

De comprobar la Auditoría Interna un incumplimiento injustificado en la implementación de las advertencias, recomendaciones y disposiciones lo hará del conocimiento de la instancia que corresponda, hasta agotar la vía administrativa.

CAPITULO V Programa de Aseguramiento de la Calidad

Artículo 58. Establecimiento del Programa

La Auditoría Interna mantendrá en operación un programa de aseguramiento de la calidad para la actividad de auditoría interna, que incluye autoevaluaciones anuales y evaluaciones externas periódicas de calidad.

Artículo 59. Autoevaluación de la Calidad

La Auditoría Interna deberá autoevaluar anualmente la calidad de su actividad, así como el cumplimiento de la normativa legal y técnica vigente, de conformidad con los lineamientos y directrices que el ente contralor establezca.

Artículo 60. Evaluaciones externas  de la Calidad

La Auditoría Interna deberá someterse periódicamente a evaluaciones externas de la calidad, bajo alguna de las siguientes modalidades:

1. Revisión externa de la calidad: aquella efectuada por un sujeto calificado, independiente y externo a la institución para examinar la calidad de la auditoría interna.
2. Autoevaluación de la calidad con validación independiente: aquella mediante la que un sujeto calificado, independiente y externo a la institución determina si de conformidad con las regulaciones aplicables, el proceso de autoevaluación efectuado por la Auditoría Interna es adecuado y las afirmaciones sobre el grado de cumplimiento de la normativa son razonables.

ARTICULO 61. Comunicación de resultados

Los resultados de la autoevaluación anual y la evaluación externa de calidad se comunicarán de la siguiente manera:

1. El informe de la autoevaluación anual de la calidad deberá ponerse en conocimiento de los funcionarios de la Auditoría Interna, comunicando al máximo jerarca lo pertinente.  Si la autoevaluación anual va a ser objeto de una validación independiente, no será obligatorio realizar esta comunicación, sino hasta que se haya efectuado esa validación.
2. En relación con la evaluación externa, el equipo de revisión elaborará un borrador y lo someterá a consideración de la Auditoría Interna. El informe final será comunicado al Auditor Interno y al Consejo Institucional. 

CAPITULO VI Disposiciones finales

Artículo 62. Derogatoria

El presente Reglamento deroga el Reglamento de Organización y Funcionamiento de la Auditoría Interna del Instituto Tecnológico de Costa Rica, aprobado por el Consejo Institucional en la Sesión Ordinaria No. 2535, artículo 13, del 08 de noviembre del 2007.

Artículo 63. Vigencia

Este Reglamento rige a partir de la firmeza del acuerdo.

Transitorio único.           

Plazo a la Auditoría Interna para concordar sus políticas y procedimientos

La Auditoría Interna dispondrá de un plazo de doce meses contados a partir de la publicación de este Reglamento en el Diario Oficial La Gaceta, para concordar sus políticas y procedimientos con las regulaciones contempladas en este cuerpo normativo.

Aprobado en Sesión Ordinaria 3049, Artículo 9, del 29 de noviembre de 2017. Adquiriendo firmeza en Sesión Ordinaria 3050, Artículo 11, del 06 de diciembre de 2017.  Gaceta 501, del 13 de marzo de 2018

NOTA ACLARATORIA: El presente Reglamento adquiere eficacia a partir del 23 de enero de 2018, fecha en que fue aprobado por la Contraloría General de la República, mediante oficio No. 01088 (DFOE-SOC0113). Esta aprobación fue comunicada al Consejo Institucional con el oficio AUDI-026-2018, del 06 de marzo de 2018.

Capítulo 1 NORMAS GENERALES

Subcapítulo 1 Sistema de control interno (SCI)

El jerarca y los titulares subordinados, según sus competencias, deben emprender las medidas pertinentes para contar con un SCI, conformado por una serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en la consecución de los objetivos organizacionales. El SCI tiene como componentes orgánicos a la administración activa y a la auditoría interna; igualmente, comprende los siguientes componentes funcionales: ambiente de control, valoración del riesgo, actividades de control, sistemas de información y seguimiento, los cuales se interrelacionan y se integran al proceso de gestión institucional.

Los responsables por el SCI deben procurar condiciones idóneas para que los componentes orgánicos y funcionales del sistema operen de manera organizada, uniforme y consistente.

Subcapítulo 2 Objetivos del SCI

El SCI de cada organización debe coadyuvar al cumplimiento de los siguientes objetivos:

a. Proteger y conservar el patrimonio público contra pérdida, despilfarro, uso indebido, irregularidad o acto ilegal. El SCI debe brindar a la organización una seguridad razonable de que su patrimonio se dedica al destino para el cual le fue suministrado, y de que se establezcan, apliquen y fortalezcan acciones específicas para prevenir su sustracción, desvío, desperdicio o menoscabo.

b. Exigir confiabilidad y oportunidad de la información. El SCI debe procurar que se recopile, procese y mantenga información de calidad sobre el funcionamiento del sistema y sobre el desempeño institucional, y que esa información se comunique con prontitud a las instancias que la requieran para su gestión, dentro y fuera de la institución, todo ello de conformidad con las atribuciones y competencias organizacionales y en procura del logro de los objetivos institucionales.

c. Garantizar eficiencia y eficacia de las operaciones. El SCI debe coadyuvar a que la organización utilice sus recursos de manera óptima, y a que sus operaciones contribuyan con el logro de los objetivos institucionales.

d. Cumplir con el ordenamiento jurídico y técnico. El SCI debe contribuir con la institución en la observancia sistemática y generalizada del bloque de legalidad.

Subcapítulo 3 Características del SCI

El SCI debe reunir las siguientes características:

a. Ser aplicable. El funcionamiento del SCI debe responder a las características y condiciones propias de la institución.

b. Ser completo. El SCI debe considerar la totalidad de la gestión institucional, y en él deben estar presentes los componentes orgánicos y funcionales.

c. Ser razonable. El SCI debe estar diseñado para lograr los objetivos del sistema y para satisfacer con la calidad suficiente y necesaria las necesidades de la institución, con los recursos que ésta posee y a un costo aceptable.

d. Ser integrado. Los componentes funcionales y orgánicos del SCI deben interrelacionarse adecuadamente e incorporarse en la gestión institucional.

e. Ser congruente. El SCI debe ajustarse a las necesidades, capacidades y demás condiciones institucionales y estar enlazado con el bloque de legalidad.

Subcapítulo 4 Responsabilidad del jerarca y los titulares subordinados sobre el SCI

La responsabilidad por el establecimiento, mantenimiento, funcionamiento, perfeccionamiento y evaluación del SCI es inherente al jerarca y a los titulares subordinados, en el ámbito de sus competencias.

En el cumplimiento de esa responsabilidad las autoridades citadas deben dar especial énfasis a áreas consideradas relevantes con base en criterios tales como su materialidad, el riesgo asociado y su impacto en la consecución de los fines institucionales, incluyendo lo relativo a la desconcentración de competencias y la contratación de servicios de apoyo. Como parte de ello, deben contemplar, entre otros asuntos, los siguientes:

a. La definición de criterios que brinden una orientación básica para la instauración y el funcionamiento de los componentes orgánicos y funcionales del SCI con las características requeridas.

b. El apoyo con acciones concretas, al establecimiento, el funcionamiento y el fortalecimiento de la actividad de auditoría interna, incluyendo la dotación de recursos y las condiciones necesarias para que se desarrolle eficazmente y agregue valor a los procesos de control, riesgo y dirección.

c. La emisión de instrucciones a fin de que las políticas, normas y procedimientos para el cumplimiento del SCI, estén debidamente documentados, oficializados y actualizados, y sean divulgados y puestos a disposición para su consulta.

d. La vigilancia del cumplimiento, la validez y la suficiencia de todos los controles que integran el SCI.

e. La comunicación constante y el seguimiento de los asuntos asignados a los distintos miembros de la institución, en relación con el diseño, la ejecución y el seguimiento del SCI.

f. Las acciones pertinentes para el fortalecimiento del SCI, en respuesta a las condiciones institucionales y del entorno.

g. Una pronta atención a las recomendaciones, disposiciones y observaciones que los distintos órganos de control y fiscalización emitan sobre el particular.

Subcapítulo 5 Responsabilidad de los funcionarios sobre el SCI

De conformidad con las responsabilidades que competen a cada puesto de trabajo, los funcionarios de la institución deben, de manera oportuna, efectiva y con observancia a las regulaciones aplicables, realizar las acciones pertinentes y atender los requerimientos para el debido diseño, implantación, operación, y fortalecimiento de los distintos componentes funcionales del SCI.

Subcapítulo 6 Responsabilidad de la auditoría interna sobre el SCI

La auditoría interna, en cumplimiento de sus funciones, debe brindar servicios de auditoría interna orientados a fortalecer el SCI, de conformidad con su competencia institucional y la normativa jurídica y técnica aplicable.

Subcapítulo 7 Rendición de cuentas sobre el SCI

El jerarca y los titulares subordinados, según sus competencias, deben disponer y ejecutar un proceso periódico, formal y oportuno de rendición de cuentas sobre el diseño, el funcionamiento, la evaluación y el perfeccionamiento del SCI, ante los diversos sujetos interesados.

Subcapítulo 8 Contribución del SCI al gobierno corporativo

El SCI debe contribuir al desempeño eficaz y eficiente de las actividades relacionadas con el gobierno corporativo, considerando las normas, prácticas y procedimientos de conformidad con las cuales la institución es dirigida y controlada, así como la regulación de las relaciones que se producen al interior de ella y de las que se mantengan con sujetos externos.

Subcapítulo 9 Vinculación del SCI con la calidad

El jerarca y los titulares subordinados, según sus competencias, deben promover un compromiso institucional con la calidad y apoyarse en el SCI para propiciar la materialización de ese compromiso en todas las actividades y actuaciones de la organización. A los efectos, deben establecer las políticas y las actividades de control pertinentes para gestionar y verificar la calidad de la gestión, para asegurar su conformidad con las necesidades institucionales, a la luz de los objetivos, y con base en un enfoque de mejoramiento continuo.

Subcapítulo 10 Aplicación de las normas generales en instituciones de menor tamaño

Se consideran instituciones de menor tamaño aquellas que dispongan de un total de recursos que ascienda a un monto igual o inferior a seiscientas mil unidades de desarrollo y que cuenten con menos de treinta funcionarios, incluyendo al jerarca, los titulares subordinados, y todo su personal.

En el caso de tales instituciones, el jerarca y los titulares subordinados, según sus competencias, deben procurar la observancia de las características del SCI definidas en la norma 1.3, en términos del logro de los objetivos de dicho sistema, así como el cumplimiento de las responsabilidades inherentes.

Estas instituciones no están obligadas a contar con una auditoría interna, sin perjuicio de que por decisión propia o por disposición específica de la Contraloría General, se establezca dicha unidad, se implanten controles alternos, o se emprendan ambas medidas.

Por su parte, las instituciones que, disponiendo de un presupuesto según la magnitud indicada, tengan treinta funcionarios o más, incluyendo al jerarca, los titulares subordinados, y todo su personal, deben contar, al menos, con una auditoría interna que funcione con jornada de medio tiempo.

En todo caso, las instituciones de menor tamaño deben fortalecer los componentes funcionales del SCI, de conformidad con lo que se indica en los capítulos correspondientes de estas normas.

Capítulo 2 NORMAS SOBRE AMBIENTE DE CONTROL

Subcapítulo 1 Ambiente de control

El jerarca y los titulares subordinados, según sus competencias, deben establecer un ambiente de control que se constituya en el fundamento para la operación y el fortalecimiento del SCI, y en consecuencia, para el logro de los objetivos institucionales. A los efectos, debe contemplarse el conjunto de factores organizacionales que propician una actitud positiva y de apoyo al SCI y a una gestión institucional orientada a resultados que permita una rendición de cuentas efectiva, incluyendo al menos lo siguiente:

a. El compromiso superior con el SCI, que conlleva el cumplimiento de sus responsabilidades con respecto a ese sistema, prestando la atención debida a sus componentes funcionales y orgánicos y dando el ejemplo de adhesión a él mediante sus manifestaciones y sus actuaciones en la gestión diaria.

b. El fortalecimiento de la ética institucional que contemple elementos formales e informales para propiciar una gestión institucional apegada a altos estándares de conducta en el desarrollo de las actividades.

c. El mantenimiento de personal comprometido y con competencia profesional para el desarrollo de las actividades y para contribuir a la operación y el fortalecimiento del SCI.

d. Una apropiada estructura organizativa acorde con las necesidades y la dinámica de las circunstancias institucionales.

Subcapítulo 2 Compromiso superior

El jerarca y los titulares subordinados, según sus competencias, deben apoyar constantemente el SCI, al menos por los siguientes medios:

a. La definición y divulgación de los alcances del SCI, mediante la comunicación de las políticas respectivas y la difusión de una cultura que conlleve la comprensión entre los funcionarios, de la utilidad del control interno para el desarrollo de una gestión apegada a criterios de eficiencia, eficacia, economía y legalidad y para una efectiva rendición de cuentas.

b. Una actuación que demuestre su compromiso y apego al SCI, a los principios que lo sustentan y a los objetivos que le son inherentes, que se evidencie en sus manifestaciones verbales y en sus actuaciones como parte de las labores cotidianas.

c. El fomento de la comunicación transparente y de técnicas de trabajo que promuevan la lealtad, el desempeño eficaz y el logro de los objetivos institucionales, así como una cultura que incentive, entre los miembros de la institución, el reconocimiento del control como parte integrante de los sistemas institucionales.

d. La aplicación de una filosofía y un estilo gerencial que conlleven la orientación básica de las autoridades superiores en la conducción de la institución y la forma como se materializa esa orientación en las actividades. Ambos elementos deben conducir a un equilibrio entre eficiencia, eficacia y control, que difunda y promueva altos niveles de motivación, así como actitudes acordes con la cultura de control.

e. La pronta atención de las recomendaciones, disposiciones y observaciones de los distintos órganos de control y fiscalización para el fortalecimiento del SCI.

Subcapítulo 3 Fortalecimiento de la ética institucional

El jerarca y los titulares subordinados, según sus competencias, deben propiciar el fortalecimiento de la ética en la gestión, mediante la implantación de medidas e instrumentos formales y la consideración de elementos informales que conceptualicen y materialicen la filosofía, los enfoques, el comportamiento y la gestión éticos de la institución, y que conlleven la integración de la ética a los sistemas de gestión.

2.3.1 Factores formales de la ética institucional

El jerarca y los titulares subordinados, según sus competencias, deben establecer y divulgar factores formales orientados a la promoción y el fortalecimiento de la ética institucional, incluyendo al menos los relativos a:

a. La declaración formal de la visión, la misión y los valores institucionales.

b. Un código de ética o similar.

c. Indicadores que permitan dar seguimiento a la cultura ética institucional y a la efectividad de los elementos formales para su fortalecimiento.

d. Una estrategia de implementación tendente a formalizar los compromisos, las políticas y los programas regulares para evaluar, actualizar y renovar el compromiso de la institución con la ética; así como las políticas para el tratamiento de eventuales conductas fraudulentas, corruptas o antiéticas, el manejo de conflictos de interés y la atención apropiada de las denuncias que se presenten ante la institución en relación con esas conductas, y para tramitar ante las autoridades que corresponda las denuncias de presuntos ilícitos en contra de la Hacienda Pública.

2.3.2 Elementos informales de la ética institucional

El jerarca y los titulares subordinados, según sus competencias, deben vigilar y fortalecer el los elementos informales del ambiente ético institucional, a fin de asegurar que apoyen el funcionamiento, en la gestión cotidiana, de los factores formales vigentes. En ese sentido, deben contemplar factores tales como los siguientes:

a. El clima organizacional.

b. El estilo gerencial.

c. Los modelos de toma de decisiones.

d. Los valores compartidos.

e. Las creencias.

f. Los comportamientos de los distintos integrantes de la institución, y su ajuste a los valores y demás mecanismos que sustentan la ética institucional.

2.3.3 Integración de la ética a los sistemas de gestión

Los sistemas de gestión deben incorporar, como parte de las actividades de control, consideraciones de tipo ético que garanticen razonablemente un desempeño ajustado a altos estándares de comportamiento, que permitan una cabal rendición de cuentas ante los sujetos interesados. En ese sentido, debe prestarse especial atención a los sistemas de particular sensibilidad y exposición a los riesgos.

Subcapítulo 4 Idoneidad del personal

El personal debe reunir las competencias y valores requeridos, de conformidad con los manuales de puestos institucionales, para el desempeño de los puestos y la operación de las actividades de control respectivas. Con ese propósito, las políticas y actividades de planificación, reclutamiento, selección, motivación, promoción, evaluación del desempeño, capacitación y otras relacionadas con la gestión de recursos humanos, deben dirigirse técnica y profesionalmente con miras a la contratación, la retención y la actualización de personal idóneo en la cantidad que se estime suficiente para el logro de los objetivos institucionales.

Subcapítulo 5 Estructura organizativa

El jerarca y los titulares subordinados, según sus competencias y de conformidad con el ordenamiento jurídico y las regulaciones emitidas por los órganos competentes, deben procurar una estructura que defina la organización formal, sus relaciones jerárquicas, líneas de dependencia y coordinación, así como la relación con otros elementos que conforman la institución, y que apoye el logro de los objetivos. Dicha estructura debe ajustarse según lo requieran la dinámica institucional y del entorno y los riesgos relevantes.

2.5.1 Delegación de funciones

El jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que la delegación de funciones se realice de conformidad con el bloque de legalidad, y de que conlleve la exigencia de la responsabilidad correspondiente y la asignación de la autoridad necesaria para que los funcionarios respectivos puedan tomar las decisiones y emprender las acciones pertinentes.

2.5.2 Autorización y aprobación

La ejecución de los procesos, operaciones y transacciones institucionales debe contar con la autorización y la aprobación respectivas de parte de los funcionarios con potestad para concederlas, que sean necesarias a la luz de los riesgos inherentes, los requerimientos normativos y las disposiciones institucionales.

2.5.3 Separación de funciones incompatibles y del procesamiento de transacciones

El jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que las funciones incompatibles, se separen y distribuyan entre los diferentes puestos; así también, que las fases de autorización, aprobación, ejecución y registro de una transacción, y la custodia de activos, estén distribuidas entre las unidades de la institución, de modo tal que una sola persona o unidad no tenga el control por la totalidad de ese conjunto de labores.

Cuando por situaciones excepcionales, por disponibilidad de recursos, la separación y distribución de funciones no sea posible debe fundamentarse la causa del impedimento. En todo caso, deben implantarse los controles alternativos que aseguren razonablemente el adecuado desempeño de los responsables.

2.5.4 Rotación de labores

El jerarca y los titulares subordinados, según sus competencias, deben procurar la rotación sistemática de las labores entre quienes realizan tareas o funciones afines, siempre y cuando la naturaleza de tales labores permita aplicar esa medida.

Subcapítulo 6 Ambiente de control en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben demostrar su apoyo constante al SCI, mediante sus manifestaciones y actuaciones diarias, y la estricta observancia de valores éticos, lo cual a su vez deben incentivar en todos los funcionarios de la institución. Así también, deben velar porque se disponga de una organización que propicie el logro de los objetivos, mediante la que se definan claramente las relaciones de jerarquía, se asigne la autoridad y responsabilidad de los funcionarios, se utilicen canales de comunicación apropiados y se apliquen procesos que permitan contar con el personal necesario para el cumplimiento de las funciones que se le asignen.

Capítulo 3 NORMAS SOBRE VALORACIÓN DEL RIESGO

Subcapítulo 1 Valoración del riesgo

El jerarca y los titulares subordinados, según sus competencias, deben definir, implantar, verificar y perfeccionar un proceso permanente y participativo de valoración del riesgo institucional, como componente funcional del SCI. Las autoridades indicadas deben constituirse en parte activa del proceso que al efecto se instaure.

Subcapítulo 2 Sistema específico de valoración del riesgo institucional (SEVRI)

El jerarca y los titulares subordinados, según sus competencias, deben establecer y poner en funcionamiento un sistema específico de valoración del riesgo institucional (SEVRI).

El SEVRI debe presentar las características e incluir los componentes y las actividades que define la normativa específica aplicable. Asimismo, debe someterse a las verificaciones y revisiones que correspondan a fin de corroborar su efectividad continua y promover su perfeccionamiento.

Subcapítulo 3 Vinculación con la planificación institucional

La valoración del riesgo debe sustentarse en un proceso de planificación que considere la misión y la visión institucionales, así como objetivos, metas, políticas e indicadores de desempeño claros, medibles, realistas y aplicables, establecidos con base en un conocimiento adecuado del ambiente interno y externo en que la institución desarrolla sus operaciones, y en consecuencia, de los riesgos correspondientes.

Asimismo, los resultados de la valoración del riesgo deben ser insumos para retroalimentar ese proceso de planificación, aportando elementos para que el jerarca y los titulares subordinados estén en capacidad de revisar, evaluar y ajustar periódicamente los enunciados y supuestos que sustentan los procesos de planificación estratégica y operativa institucional, para determinar su validez ante la dinámica del entorno y de los riesgos internos y externos.

Subcapítulo 4 Valoración del riesgo en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben instaurar prácticas sistemáticas que permitan evaluar según los errores y logros pasados, las eventuales situaciones que puedan afectar el desempeño de la institución, las cuales deben analizarse y priorizarse considerando su importancia y posibilidades de que se vayan a volver a presentar. Con base en ello, deben adoptar las políticas, procedimientos y mecanismos que permitan el manejo apropiado de esas situaciones.

Capítulo 4 NORMAS SOBRE ACTIVIDADES DE CONTROL

Subcapítulo 1 Actividades de control

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos institucionales. Dichas actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan en virtud de los requisitos que deben cumplir para garantizar razonablemente su efectividad.

El ámbito de aplicación de tales actividades de control debe estar referido a todos los niveles y funciones de la institución. En ese sentido, la gestión institucional y la operación del SCI deben contemplar, de acuerdo con los niveles de complejidad y riesgo involucrados, actividades de control de naturaleza previa, concomitante, posterior o una conjunción de ellas. Lo anterior, debe hacer posible la prevención, la detección y la corrección ante debilidades del SCI y respecto de los objetivos, así como ante indicios de la eventual materialización de un riesgo relevante.

Subcapítulo 2 Requisitos de las actividades de control

Las actividades de control deben reunir los siguientes requisitos:

a. Integración a la gestión. Las actividades de control diseñadas deben ser parte inherente de la gestión institucional, e incorporarse en ella en forma natural y sin provocar menoscabo a la observancia de los principios constitucionales de eficacia, eficiencia, simplicidad y celeridad, y evitando restricciones, requisitos y trámites que dificulten el disfrute pleno de los derechos fundamentales de los ciudadanos.

b. Respuesta a riesgos. Las actividades de control deben ser congruentes con los riesgos que se pretende administrar, lo que conlleva su dinamismo de acuerdo con el comportamiento de esos riesgos.

c. Contribución al logro de los objetivos con un costo razonable. Las actividades de control deben presentar una relación satisfactoria de costo-beneficio, de manera que su contribución esperada al logro de los objetivos, sea mayor que los costos requeridos para su operación.

d. Viabilidad. Las actividades de control deben adaptarse a la capacidad de la institución de implantarlas, teniendo presente, fundamentalmente, la disponibilidad de recursos, la capacidad del personal para ejecutarlas correcta y oportunamente, y su ajuste al bloque de legalidad.

e. Documentación. Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.

f. Divulgación. Las actividades de control deben ser de conocimiento general, y comunicarse a los funcionarios que deben aplicarlas en el desempeño de sus cargos. Dicha comunicación debe darse preferiblemente por escrito, en términos claros y específicos.

Subcapítulo 3 Protección y conservación del patrimonio

El jerarca y los titulares subordinados, según sus competencias, deben establecer, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente la protección, custodia, inventario, correcto uso y control de los activos pertenecientes a la institución, incluyendo los derechos de propiedad intelectual. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de tales activos y los riesgos relevantes a los cuales puedan verse expuestos, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.3.1 Regulaciones para la administración de activos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, actualizar y comunicar las regulaciones pertinentes con respecto al uso, conservación y custodia de los activos pertenecientes a la institución.

Deben considerarse al menos los siguientes asuntos:

a. La programación de las necesidades de determinados activos, tanto para efectos de coordinación con las instancias usuarias, como para la previsión de sustituciones, reparaciones y otros eventos.

b. La asignación de responsables por el uso, control y mantenimiento de los activos, incluyendo la definición de los deberes, las funciones y las líneas de autoridad y responsabilidad pertinentes.

c. El control, registro y custodia de la documentación asociada a la adquisición, la inscripción, el uso, el control y el mantenimiento de los activos.

d. El control de los activos asignados a dependencias desconcentradas o descentralizadas.

e. El cumplimiento de requerimientos legales asociados a determinados activos, tales como inscripción, placas y distintivos.

f. Los convenios interinstitucionales para préstamo de activos, así como su justificación y autorización, las cuales deben constar por escrito.

g. El tratamiento de activos obsoletos, en desuso o que requieran reparaciones costosas.

4.3.2 Custodia de activos

La custodia de los activos que cada funcionario utilice normalmente en el desarrollo de sus labores, debe asignársele formalmente. En el caso de activos especialmente sensibles y de aquellos que deban ser utilizados por múltiples funcionarios, la responsabilidad por su custodia y administración también debe encomendarse específicamente, de modo que haya un funcionario responsable de controlar su acceso y uso.

4.3.3 Regulaciones y dispositivos de seguridad

El jerarca y los titulares subordinados, según sus competencias, deben disponer y vigilar la aplicación de las regulaciones y los dispositivos de seguridad que se estimen pertinentes según la naturaleza de los activos y la relevancia de los riesgos asociados, para garantizar su rendimiento óptimo y su protección contra pérdida, deterioro o uso irregular, así como para prevenir cualquier daño a la integridad física de los funcionarios que deban utilizarlos.

Subcapítulo 4 Exigencia de confiabilidad y oportunidad de la información

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente que se recopile, procese, mantenga y custodie información de calidad sobre el funcionamiento del SCI y sobre el desempeño institucional, así como que esa información se comunique con la prontitud requerida a las instancias internas y externas respectivas. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.4.1 Documentación y registro de la gestión institucional

El jerarca y los titulares subordinados, según sus competencias, deben establecer las medidas pertinentes para que los actos de la gestión institucional, sus resultados y otros eventos relevantes, se registren y documenten en el lapso adecuado y conveniente, y se garanticen razonablemente la confidencialidad y el acceso a la información pública, según corresponda.

4.4.2 Formularios uniformes

El jerarca y los titulares subordinados, según sus competencias, deben disponer lo pertinente para la emisión, la administración, el uso y la custodia, por los medios atinentes, de formularios uniformes para la documentación, el procesamiento y el registro de las transacciones que se efectúen en la institución. Asimismo, deben prever las seguridades para garantizar razonablemente el uso correcto de tales formularios.

4.4.3 Registros contables y presupuestarios

El jerarca y los titulares subordinados, según sus competencias, deben emprender las medidas pertinentes para asegurar que se establezcan y se mantengan actualizados registros contables y presupuestarios que brinden un conocimiento razonable y confiable de las disponibilidades de recursos, las obligaciones adquiridas por la institución, y las transacciones y eventos realizados.

4.4.4 Libros legales

El jerarca y los titulares subordinados, según sus competencias, deben asegurar que se disponga de los libros contables, de actas y otros requeridos por el bloque de legalidad, según corresponda, y que se definan y apliquen actividades de control relativas a su apertura, mantenimiento, actualización, disponibilidad, cierre y custodia.

4.4.5 Verificaciones y conciliaciones periódicas

La exactitud de los registros sobre activos y pasivos de la institución debe ser comprobada periódicamente mediante las conciliaciones, comprobaciones y otras verificaciones que se definan, incluyendo el cotejo contra documentos fuentes y el recuento físico de activos tales como el mobiliario y equipo, los vehículos, los suministros en bodega u otros, para determinar cualquier diferencia y adoptar las medidas procedentes.

Subcapítulo 5 Garantía de eficiencia y eficacia de las operaciones

El jerarca y los titulares subordinados, según sus competencias, deben establecer actividades de control que orienten la ejecución eficiente y eficaz de la gestión institucional. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.5.1 Supervisión constante

El jerarca y los titulares subordinados, según sus competencias, deben ejercer una supervisión constante sobre el desarrollo de la gestión institucional y la observancia de las regulaciones atinentes al SCI, así como emprender las acciones necesarias para la consecución de los objetivos.

4.5.2 Gestión de proyectos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, vigilar el cumplimiento y perfeccionar las actividades de control necesarias para garantizar razonablemente la correcta planificación y gestión de los proyectos que la institución emprenda, incluyendo los proyectos de obra pública relativos a construcciones nuevas o al mejoramiento, adición, rehabilitación o reconstrucción de las ya existentes.

Las actividades de control que se adopten para tales efectos deben contemplar al menos los siguientes asuntos:

a. La identificación de cada proyecto, con indicación de su nombre, sus objetivos y metas, recursos y las fechas de inicio y de terminación.

b. La designación de un responsable del proyecto con competencias idóneas para que ejecute las labores de planear, organizar, dirigir, controlar y documentar el proyecto.

c. La planificación, la supervisión y el control de avance del proyecto, considerando los costos financieros y los recursos utilizados, de lo cual debe informarse en los reportes periódicos correspondientes. Asimismo, la definición de las consecuencias de eventuales desviaciones, y la ejecución de las acciones pertinentes.

d. El establecimiento de un sistema de información confiable, oportuno, relevante y competente para dar seguimiento al proyecto.

e. La evaluación posterior, para analizar la efectividad del proyecto y retroalimentar esfuerzos futuros.

4.5.3 Controles sobre fondos concedidos a sujetos privados

El jerarca y los titulares subordinados, según sus competencias, deben establecer los mecanismos necesarios para la asignación, el giro, el seguimiento y el control del uso de los fondos que la institución conceda a sujetos privados. Lo anterior, para asegurar el debido cumplimiento del destino legal y evitar abusos, desviaciones o errores en el empleo de tales fondos; todo lo cual deberá contemplarse en las regulaciones contractuales, convenios, acuerdos u otros instrumentos jurídicos que definan la relación entre la administración que concede y los sujetos privados.

Al respecto, se debe considerar que esos fondos se utilicen conforme a criterios de legalidad, contables y técnicos, para lo cual, entre otros, deben verificarse los requisitos sobre la capacidad legal, administrativa y financiera, y sobre la aptitud técnica del sujeto privado; así también, para comprobar la correcta utilización y destino de todos los fondos que se les otorga, deben definirse los controles que se ejercerán y los informes periódicos que deberá rendir el sujeto privado.

En todo caso, debe documentarse la gestión realizada por la institución que concede, con respecto a tales fondos por parte de los sujetos privados.

4.5.4 Controles sobre fondos girados a fideicomisos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, mantener, perfeccionar y evaluar las actividades de control necesarias en relación con la planificación, la asignación, el giro y la verificación del uso de los recursos administrados bajo la figura del fideicomiso. Como parte de ello, se deben definir los mecanismos de seguimiento y rendición de cuentas periódicos, que se aplicarán a los fideicomisarios, para comprobar el logro de los objetivos planteados y su conformidad con las regulaciones atinentes, así como para la determinación de los riesgos asociados a dichos fondos. Todo lo anterior deberá contemplarse en las regulaciones contractuales, convenios, acuerdos u otros instrumentos jurídicos que definan la relación entre la administración fideicomitente y los fideicomisarios.

4.5.5 Control sobre bienes y servicios provenientes de donantes externos

El jerarca y los titulares subordinados, según sus competencias, deben establecer, mantener, perfeccionar y evaluar las actividades de control necesarias en relación con los bienes y servicios provenientes de donantes externos, sean estos obtenidos bajo la modalidad de donación, cooperación técnica o cooperación financiera no reembolsable. Lo anterior, de manera que sobre esos bienes o servicios se ejerzan los controles de legalidad, contables, financieros y de eficiencia que determina el bloque de legalidad.

Como parte del control ejercido, deben velar porque tales bienes y servicios cumplan con la condición de satisfacer fines públicos y estén conformes con los principios de transparencia, rendición de cuentas, utilidad, razonabilidad y buena gestión administrativa.

Subcapítulo 6 Cumplimiento del ordenamiento jurídico y técnico

El jerarca y los titulares subordinados, según sus competencias, deben establecer las actividades de control que permitan obtener una seguridad razonable de que la actuación de la institución es conforme con las disposiciones jurídicas y técnicas vigentes. Las actividades de control respectivas deben actuar como motivadoras del cumplimiento, prevenir la ocurrencia de eventuales desviaciones, y en caso de que éstas ocurran, emprender las medidas correspondientes. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.

Las subnormas que se incluyen a continuación no constituyen un conjunto completo de las actividades de control que deba ser observado por la totalidad de las instituciones del sector público con ese propósito; por consiguiente, corresponde a los jerarcas y titulares subordinados determinar su pertinencia en cada caso y establecer las demás actividades que sean requeridas.

4.6.1 Control sobre la rendición de cauciones

El jerarca y los titulares subordinados, según sus competencias, deben establecer, actualizar y divulgar las regulaciones y demás actividades de control pertinentes para promover y vigilar el cumplimiento, en todos sus extremos, de las obligaciones relacionadas con la rendición de garantías a favor de la Hacienda Pública o de la institución por los funcionarios encargados de recaudar, custodiar o administrar fondos y valores institucionales.

4.6.2 Informe de fin de gestión

El jerarca y los titulares subordinados deben presentar a las instancias pertinentes, un informe de fin de gestión, donde se resuman entre otros asuntos, las actividades realizadas durante su período de funciones, los logros obtenidos —incluyendo los relativos al SCI—, el estado de las recomendaciones de la auditoría interna y las disposiciones de la CGR y otros órganos con competencias, y sus sugerencias para la marcha futura de la institución, así como los asuntos en proceso o que deben ser asumidos. Asimismo, deben realizar la entrega formal de los bienes institucionales que les hayan sido asignados.

Subcapítulo 7 Actividades de control en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben establecer las políticas, procedimientos y mecanismos correspondientes para obtener una seguridad razonable de que el SCI contribuye al logro de los objetivos. A los efectos, deben implantar las prácticas necesarias para documentar, actualizar y dar a conocer a todos los funcionarios, los procedimientos y demás regulaciones atinentes al funcionamiento del SCI, así como las relativas a los siguientes asuntos:

a. Manejo y protección de activos.

b. Uso de documentos y registros para la debida anotación de las operaciones, incluyendo los libros legales que correspondan.

c. Verificaciones y comprobaciones periódicas de la exactitud de los registros, incluyendo arqueos, inventarios, conciliaciones u otros similares.

d. Controles atinentes al uso de sistemas computadorizados, cuando corresponda.

e. La rendición de las cauciones, la presentación de los informes de fin de gestión y la entrega formal del ente u órgano a sus sucesores.

Capítulo 5 NORMAS SOBRE SISTEMAS DE INFORMACIÓN

Subcapítulo 1 Sistemas de información

El jerarca y los titulares subordinados, según sus competencias, deben disponer los elementos y condiciones necesarias para que de manera organizada, uniforme, consistente y oportuna se ejecuten las actividades de obtener, procesar, generar y comunicar, en forma eficaz, eficiente y económica, y con apego al bloque de legalidad, la información de la gestión institucional y otra de interés para la consecución de los objetivos institucionales. El conjunto de esos elementos y condiciones con las características y fines indicados, se denomina sistema de información, los cuales pueden instaurarse en forma manual, automatizada, o ambas.

Subcapítulo 2 Flexibilidad de los sistemas de información

Los sistemas de información deben ser lo suficientemente flexibles, de modo que sean susceptibles de modificaciones que permitan dar respuesta oportuna a necesidades cambiantes de la institución.

Subcapítulo 3 Armonización de los sistemas de información con los objetivos

La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI.

La adecuación de tales sistemas a los objetivos institucionales involucra, entre otros, su desarrollo de conformidad con el plan estratégico institucional, y con el marco estratégico de las tecnologías de información, cuando se haga uso de estas para su funcionamiento.

Subcapítulo 4 Gestión documental

El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información propicien una debida gestión documental institucional, mediante la que se ejerza control, se almacene y se recupere la información en la organización, de manera oportuna y eficiente, y de conformidad con las necesidades institucionales.

Subcapítulo 5 Archivo institucional

El jerarca y los titulares subordinados, según sus competencias, deben implantar, comunicar, vigilar la aplicación y perfeccionar políticas y procedimientos de archivo apropiados para la preservación de los documentos e información que la institución deba conservar en virtud de su utilidad o por requerimiento técnico o jurídico. En todo caso, deben aplicarse las regulaciones de acatamiento obligatorio atinentes al Sistema Nacional de Archivos.

Lo anterior incluye lo relativo a las políticas y procedimientos para la creación, organización, utilización, disponibilidad, acceso, confidencialidad, autenticidad, migración, respaldo periódico y conservación de los documentos en soporte electrónico, así como otras condiciones pertinentes.

Subcapítulo 6 Calidad de la información

El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información contemplen los procesos requeridos para recopilar, procesar y generar información que responda a las necesidades de los distintos usuarios. Dichos procesos deben estar basados en un enfoque de efectividad y de mejoramiento continuo.

Los atributos fundamentales de la calidad de la información están referidos a la confiabilidad, oportunidad y utilidad.

5.6.1 Confiabilidad

La información debe poseer las cualidades necesarias que la acrediten como confiable, de modo que se encuentre libre de errores, defectos, omisiones y modificaciones no autorizadas, y sea emitida por la instancia competente.

5.6.2 Oportunidad

Las actividades de recopilar, procesar y generar información, deben realizarse y darse en tiempo a propósito y en el momento adecuado, de acuerdo con los fines institucionales.

5.6.3 Utilidad

La información debe poseer características que la hagan útil para los distintos usuarios, en términos de pertinencia, relevancia, suficiencia y presentación adecuada, de conformidad con las necesidades específicas de cada destinatario.

Subcapítulo 7 Calidad de la comunicación

El jerarca y los titulares subordinados, según sus competencias, deben establecer los procesos necesarios para asegurar razonablemente que la comunicación de la información se da a las instancias pertinentes y en el tiempo propicio, de acuerdo con las necesidades de los usuarios, según los asuntos que se encuentran y son necesarios en su esfera de acción. Dichos procesos deben estar basados en un enfoque de efectividad y mejoramiento continuo.

5.7.1 Canales y medios de comunicación

Deben establecerse y funcionar adecuados canales y medios de comunicación, que permitan trasladar la información de manera transparente, ágil, segura, correcta y oportuna, a los destinatarios idóneos dentro y fuera de la institución.

5.7.2 Destinatarios

La información debe comunicarse a las instancias competentes, dentro y fuera de la institución, para actuar con base en ella en el logro de los objetivos institucionales.

5.7.3 Oportunidad

La información debe comunicarse al destinatario con la prontitud adecuada y en el momento en que se requiere, para el cumplimiento de sus responsabilidades.

5.7.4 Seguridad

Deben instaurarse los controles que aseguren que la información que se comunica resguarde sus características propias de calidad, y sea trasladada bajo las condiciones de protección apropiadas, según su grado de sensibilidad y confidencialidad. Así también, que garanticen razonablemente su disponibilidad y acceso por parte de los distintos usuarios en la oportunidad y con la prontitud que la requieran.

Subcapítulo 8 Control de sistemas de información

El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter.

Subcapítulo 9 Tecnologías de información

El jerarca y los titulares subordinados, según sus competencias, deben propiciar el aprovechamiento de tecnologías de información que apoyen la gestión institucional mediante el manejo apropiado de la información y la implementación de soluciones ágiles y de amplio alcance. Para ello deben observar la normativa relacionada con las tecnologías de información, emitida por la CGR. En todo caso, deben instaurarse los mecanismos y procedimientos manuales que permitan garantizar razonablemente la operación continua y correcta de los sistemas de información.

Subcapítulo 10 Sistemas de información en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben establecer los procedimientos manuales, automatizados o ambos, necesarios para obtener, procesar, controlar, almacenar y comunicar la información sobre la gestión institucional y otra relevante para la consecución de los objetivos institucionales. Dicha información debe ser de fácil acceso y estar disponible en un archivo institucional que, de manera ordenada y conforme a las regulaciones que en esa materia establece el Sistema Nacional de Archivos, pueda ser consultado por usuarios internos o por parte de instancias externas.

Capítulo 6 NORMAS SOBRE SEGUIMIENTO DEL SCI

Subcapítulo 1 Seguimiento del SCI

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, actividades permanentes y periódicas de seguimiento para valorar la calidad del funcionamiento de los elementos del sistema a lo largo del tiempo, así como para asegurar que las medidas producto de los hallazgos de auditoría y los resultados de otras revisiones se atiendan de manera efectiva y con prontitud.

Subcapítulo 2 Orientaciones para el seguimiento del SCI

El jerarca y los titulares subordinados, según sus competencias, deben definir las estrategias y los mecanismos necesarios para el efectivo funcionamiento del componente de seguimiento del SCI. Dichas orientaciones deben ser congruentes y estar integradas a las gestiones relacionadas con la operación, mantenimiento y perfeccionamiento del SCI, ser de conocimiento de todos los funcionarios, estar disponibles para su consulta y ser revisadas y actualizadas periódicamente.

Como parte de tales orientaciones, entre otros, se deben establecer formalmente, mecanismos y canales de comunicación que permitan la detección oportuna de deficiencias y desviaciones del SCI, y que quienes las detecten informen con prontitud a la autoridad competente para emprender las acciones preventivas o correctivas que procedan, de acuerdo con la importancia y riesgos asociados.

Subcapítulo 3 Actividades de seguimiento del SCI

Las actividades de seguimiento del SCI, deben incluir:

a. La comprobación durante el curso normal de las operaciones, de que se estén cumpliendo las actividades de control incorporadas en los procesos y ordenadas por la jerarquía correspondiente.

b. Autoevaluaciones periódicas en las que se verifiquen el cumplimiento, validez y suficiencia del SCI.

6.3.1 Seguimiento continuo del SCI

Los funcionarios en el curso de su labor cotidiana, deben observar el funcionamiento del SCI, con el fin de determinar desviaciones en su efectividad, e informarlas oportunamente a las instancias correspondientes.

6.3.2 Autoevaluación periódica del SCI

El jerarca y los titulares subordinados, según sus competencias, deben disponer la realización, por lo menos una vez al año, de una autoevaluación del SCI, que permita identificar oportunidades de mejora del sistema, así como detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos.

Las estrategias y los mecanismos para la autoevaluación periódica, deben estar definidos como parte de las orientaciones a que se refiere la norma 6.2. En todo caso, se debe procurar que sea ejecutada sistemáticamente y que sus resultados se comuniquen a las instancias idóneas para la correspondiente toma de acciones y seguimiento de implementación.

El jerarca y los titulares subordinados, según sus competencias, deben constituirse en parte activa del proceso que al efecto se instaure.

Subcapítulo 4 Acciones para el fortalecimiento del SCI

Cuando el funcionario competente detecte alguna deficiencia o desviación en la gestión o en el control interno, o sea informado de ella, debe emprender oportunamente las acciones preventivas o correctivas pertinentes para fortalecer el SCI, de conformidad con los objetivos y recursos institucionales. Así también, debe verificar de manera sistemática los avances y logros en la implementación de las acciones adoptadas como producto del seguimiento del SCI.

En el caso de las disposiciones, recomendaciones y observaciones emitidas por los órganos de control y fiscalización, la instancia a la cual éstas son dirigidas debe emprender de manera efectiva las acciones pertinentes dentro de los plazos establecidos.

Subcapítulo 5 Contratación de auditorías externas

El jerarca y los titulares subordinados, según sus competencias y con fundamento en las necesidades, posibilidades y características de la institución y los riesgos que enfrenta, deben contratar auditorías externas que lleven a cabo evaluaciones con base en las cuales se establezca la calidad de la información recopilada, procesada y comunicada, así como sobre la validez, suficiencia y cumplimiento del SCI. A los efectos, deben evitar duplicidades, interferencias o menoscabo de la actividad de auditoría interna, en aras del uso eficiente de los recursos institucionales.

Subcapítulo 6 Seguimiento del SCI en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben vigilar que las políticas, los procedimientos y los mecanismos establecidos sean aplicados por todos los funcionarios en la gestión diaria, instaurar la práctica anual de autoevaluar el estado del SCI institucional y tomar las acciones pertinentes para su fortalecimiento, y atender con la debida oportunidad las recomendaciones, observaciones y disposiciones que emitan los órganos de control y fiscalización.