5f146ba7-50d2-443e-bcdc-37d64b803042.jpg

Control de la Implementación

5-control_implementacion.jpg

1. Control operacional

La institución debe definir e implementar controles que contribuyan a reducir los riesgos significativos que puedan afectar el logro de los objetivos hasta niveles tolerables.

El nivel de profundidad, sofisticación y tecnificación de los controles deberá definirse considerando las características de la organización: tamaño, complejidad, tipo de funciones, regulaciones aplicables, nivel de centralización y/o descentralización, nivel tecnológico, etc.

1.1 Políticas operacionales

La institución debe definir políticas operacionales que permitan estructurar y direccionar el buen desempeño del modelo de gestión por procesos.

Las políticas operacionales deben definir los parámetros de diseño de las actividades y tareas requeridas para dar cumplimiento a los objetivos de los procesos.

Los criterios aplicados a la formulación de las políticas operacionales deben incluir:

  1. Coherencia entre las políticas y los lineamientos estratégicos determinados por el componente de Control de la Planificación, en particular con los principios de gestión por procesos y la identificación y evaluación de riesgos;
  2. Incorporación de parámetros que orienten el despliegue de los procesos, la definición de controles y el establecimiento de instrumentos para la evaluación de su cumplimiento;
  3. Definición de acciones a realizar en caso de incumplimiento.

La institución debe asegurar que las políticas operacionales sean revisadas periódicamente para asegurar que permanecen pertinentes y apropiadas.

Las políticas operacionales deben ser aprobadas por la Máxima Autoridad Institucional, a través de un acto administrativo.

La institución debe comunicar las políticas operacionales a todos los niveles de la organización, con la intención de que estén conscientes de sus obligaciones al respecto.

1.2 Procedimientos

La institución debe desarrollar procedimientos documentados para cubrir situaciones en que su ausencia podría afectar la capacidad de control y/o causar desviaciones a las políticas y objetivos definidos.

El desarrollo de los procedimientos debe considerar los siguientes criterios, entre otros:

  1. Hacer efectiva la base legal que rige la operación de los procesos;
  2. Describir la forma o ruta requerida para ejecutar un proceso, y definir los parámetros de operación, las actividades y tareas, que garanticen el cumplimiento del objetivo perseguido;
  3. Definir los flujos de información necesarios para la adecuada gestión u operación de la institución;
  4. Asignar las responsabilidades que le competen a cada funcionario para que la institución desarrolle adecuadamente su función y misión;
  5. Establecer los niveles de autoridad y responsabilidad requeridos en la ejecución de las acciones propias a la operación de la institución;
  6. Canalizar los recursos y capacidades institucionales hacia el cumplimiento eficaz y eficiente de las actividades planificadas.

1.3 Controles

La institución debe diseñar y aplicar controles adecuados para prevenir o reducir el impacto de los eventos que ponen en riesgo la adecuada ejecución de las actividades y tareas requeridas para el logro de sus objetivos.

La institución debe implementar una metodología que permita evaluar la efectividad de los controles nuevos o existentes, para asegurar que los mismos sean suficientes, comprensibles, eficaces, económicos y oportunos. Cuando se determinen los controles, o cambios a controles existentes, la institución debe tener en cuenta la reducción de los riesgos con la siguiente jerarquía:

  1. Prevención, actuando sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia;
  2. Detección, a fin de descubrir tempranamente un evento, irregularidad o un resultado no previsto, generando alertas que permitan tomar medidas inmediatas;
  3. Protección, de manera de neutralizar los efectos de los eventos no deseables y minimizar la propagación de los daños que pudieran ocurrir;
  4. Corrección, para permitir el restablecimiento de una actividad, después de ser detectado un evento no deseable, posibilitando la modificación de las acciones que propiciaron su ocurrencia y permitiendo la mejora del esquema de control establecido.

La institución debe asegurar que los controles determinados sean considerados dentro de su sistema de control y, cuando resulte oportuno, integrarlos en los procesos y procedimientos aplicables.

La institución debe asegurar que los controles establecidos sean revisados periódicamente para asegurar que permanecen pertinentes y apropiados.

2. Competencia, Formación y toma de conciencia

La institución debe asegurarse que los funcionarios sean competentes para la ejecución de las actividades y tareas que puedan causar impacto sobre la capacidad de control interno, tomando como base la educación, formación y/o experiencia adecuadas. Se deben mantener registros que demuestren la satisfacción de tales competencias.

La institución debe identificar las necesidades de formación relacionadas con su operación y de su sistema de control interno, como así también planificar y proporcionar formación, o emprender otras acciones apropiadas, para satisfacer estas necesidades.

La institución debe evaluar la eficacia de las actividades de formación, u otras acciones tomadas, y mantener los registros de dicha evaluación.

La institución debe establecer y mantener uno o varios procedimientos para que los funcionarios bajo su control tomen conciencia de:

  1. Sus funciones y responsabilidades, y la importancia de lograr la conformidad con las políticas, controles y procedimientos establecidos;
  2. Las consecuencias reales y potenciales de desviarse de los controles y procedimientos especificados.

3. Gestión de la información

La institución debe obtener, generar y utilizar información relevante y de calidad para la gestión y el funcionamiento del control interno.

3.1 Sistema de información

Para el establecimiento de su sistema de información, la institución debe determinar las fuentes de información internas y externas, y procurar que los datos procesados se encuentren ordenados, sistematizados y estructurados en forma adecuada y oportuna. Deben implementarse mecanismos para mantener la calidad de la información, desde la obtención de los datos, procurando que la misma sea:

  1. Accesible: debe resultar sencillo obtener la información para cada área, de acuerdo a sus requerimientos de información. Los usuarios deben saber qué información está disponible y en qué sistema de información pueden acceder a ella;
  2. Correcta: los datos utilizados como base deben ser confiables y completos. Los sistemas de información deberían contener validaciones que contribuyan a la integridad y confiabilidad de la información;
  3. Actualizada: los datos deben obtenerse de fuentes vigentes y actualizarse con la frecuencia necesaria;
  4. Protegida: se debe restringir el acceso a la información crítica de modo que sólo las personas autorizadas puedan acceder a ella. Para esto, se deben implementar mecanismos apropiados de clasificación de la información;
  5. Suficiente: la información debe resultar apta, y debe presentar el nivel de detalle necesario considerando los requerimientos de información relevante;
  6. Oportuna: la información debe estar disponible en los momentos en que sea requerida;
  7. Válida: la información debe ser obtenida de fuentes autorizadas de acuerdo a procedimientos preestablecidos y debe reflejar con precisión los hechos;
  8. Verificable: la información debe contar con respaldos de evidencia desde el inicio;
  9. Conservable: la información debe mantenerse disponible por el período de tiempo necesario, de modo de respaldar las acciones, permitir una apropiada rendición de cuentas y responder ante eventuales revisiones o auditorías.

3.2. Control de documentos

La información documentada requerida por el sistema de control interno se debe controlar para asegurarse de que:

  1. esté disponible y adecuada para su uso, dónde y cuándo se necesite;
  2. esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado o pérdida de integridad).

Para el control de la información documentada, la institución debe tratar las siguientes actividades, según sea aplicable:

  1. Definición de niveles de aprobación;
  2. Distribución, acceso, recuperación y uso;
  3. Almacenamiento y preservación, incluida la preservación de la legibilidad;
  4. Control de cambios (por ejemplo, control de versión);
  5. Retención y disposición.

La información documentada de origen externo, que la institución ha determinado que es necesaria para la planificación y operación del sistema de control interno, debe ser identificada y controlada, según sea adecuado.

4. Comunicación

La comunicación debe garantizar la circulación fluida y transparente de la información interna y externa de la entidad a los diferentes grupos de interés, facilitando el cumplimiento de sus objetivos institucionales y sociales, mejorando su nivel de apertura, receptividad y capacidad de interlocución con la ciudadanía y permitiendo la publicidad, visibilidad de su gestión y de sus resultados, generando confianza y posicionamiento ante la sociedad.

4.1. Comunicación interna

La organización debe comunicar internamente tanto los objetivos como las responsabilidades por el control interno.

Deben implementarse políticas y mecanismos para comunicar clara y oportunamente la información dentro de la organización, contemplando:

  • Valores;
  • Políticas y procedimientos;
  • Objetivos;
  • Importancia, relevancia y beneficios de los controles internos efectivos;
  • Roles y responsabilidades de las autoridades y demás funcionarios en la ejecución de los controles;
  • Mecanismos para que todos los funcionarios puedan reportar internamente cualquier desvío o evento que pudiera comprometer el funcionamiento del control interno.

Los mecanismos de comunicación establecidos al interior de la institución deben asegurar que los distintos niveles de decisión reciban información oportuna y adecuada para poder ejercer la supervisión sobre la gestión y el funcionamiento del control interno, permitiendo a las autoridades detectar desvíos de manera oportuna.

Los criterios aplicados al establecer los procesos de comunicación deben:

  1. Definir qué información será comunicada a cada uno de los grupos de interés internos de la institución, asignando niveles de responsabilidades adecuados;
  2. Fomentar la identidad institucional, procurando crear en los funcionarios una clara conciencia de su pertenencia y compromiso con los propósitos misionales;
  3. Incorporar mecanismos que permitan a los funcionarios expresar sus opiniones y sugerencias, logrando su motivación y compromiso con la Institución, y haciendo que se sientan parte importante dentro del proceso de mejoramiento institucional.

La institución debe revisar periódicamente la efectividad de los mecanismos de comunicación utilizados.

4.2. Comunicación externa

La institución debe tener en cuenta el control interno en las comunicaciones con sus diferentes grupos de interés.

Deben establecerse políticas y mecanismos para realizar oportuna y adecuadamente las comunicaciones desde y hacia afuera de la institución, contemplando:

  1. Canales oportunos y adecuados para informar sobre la gestión a los organismos de control externo;
  2. Canales apropiados para interactuar con otras instituciones para la ejecución de las funciones que se encuentren relacionadas;
  3. Canales adecuados para su relacionamiento con medios de prensa y comunicación;
  4. Canales adecuados con los organismos de regulación, según corresponda;
  5. Canales adecuados para interactuar con proveedores y otras organizaciones con las que se hayan suscripto convenios específicos (ej. universidades, empresas proveedoras de determinados servicios, etc.);
  6. Canales apropiados para informar a la ciudadanía sobre las actividades organizacionales y, en los casos que corresponda, recibir sugerencias, reclamos, comentarios, denuncias, etc, por parte de éstos.

4.3. Rendición de cuentas

La institución debe desarrollar e implementar uno o más procedimientos para mantener informada a la sociedad sobre los proyectos a emprender, el uso de los recursos que le fueron confiados, el rendimiento de su gestión y los resultados logrados en términos del cumplimento de los objetivos institucionales, y su contribución a la finalidad social del Estado.

La metodología aplicada para la rendición de cuentas debe tener en cuenta los siguientes criterios:

  1. Definición de frecuencia, alcance y ejes temáticos;
  2. Establecimiento de métodos, recursos e instrumentos aplicables;
  3. Establecimiento de roles y responsabilidades para la ejecución y seguimiento.

La rendición de cuentas es responsabilidad de la Máxima Autoridad Institucional, y debe ser realizada en forma periódica, en acuerdo a las frecuencias y modalidades establecidas en la normativa legal vigente.