Enlace a Legislación Relacionada
Sin Vigencia
NORMAS TÉCNICAS DE CONTROL INTERNO (NTCI)
NORMAS TÉCNICAS, aprobada el 30 de septiembre de 2004
Publicada en La Gaceta, Diario Oficial N°. 234 del 01 de diciembre de 2004
NORMAS TÉCNICAS DE CONTROL INTERNO (NTCI)
Managua, Agosto de 2004
NORMAS TÉCNICAS DE CONTROL INTERNO
El Consejo Superior de la Contraloría General de la República en Sesión Ordinaria Número Trescientos Sesenta y Seis (366) de las nueve de la mañana del día dos de septiembre de 2004, por unanimidad de votos aprobó lo siguiente: En ejercicio de su atribución como Organismo Rector del Sistema de Control de la Administración Pública y Fiscalización de los Bienes y Recursos del Estado que le confiere los Artículos No. 154 y 155 de la Constitución Política de Nicaragua y en uso de las facultades normativas que le otorgan los Artículos No. 5, 8 num. 1, 10 num.8 y 10 13 32 y 33 de la Ley Orgánica de la Contraloría General de la República, Decreto No. 625 del 22 de Diciembre de 1980.
CONSIDERANDO
1. Que mediante Acuerdo del 15 de Junio de 1995 se emitieron las Normas Técnica de Control Interno (NTCI) para el Sector Público.
2. Que los estándares internacionales han modificado considerablemente la estructura del Control Interno sugerida para el sector público.
3. Que en los últimos ocho años los Sistemas de Control Interno del Sector Público, basados en las NTCI mencionadas, no han contribuido efectivamente a mejorar la calidad y transparencia de la Administración Pública y se impone la definición e implantación de un instrumento que contribuya efectivamente al fortalecimiento y transparencia de la gestión pública.
ACUERDA:
Arto 1.- Aprobar y emitir las siguientes Normas Técnicas de Control Interno (NTCI).
Arto. 2.- Las presentes Normas Técnicas de Control Interno entrarán en vigencia a partir de su publicación en La Gaceta, Diario Oficial. Cada Institución o Entidad deberá emitir su correspondiente Manual de Normas Técnicas.
APÉNDICE I- Normas Sobre Actividades de Control para los Sistemas de Administración
APÉNDICE II - Glosario
Abreviaturas Utilizadas
CGR Contraloría General de la República
CI Control Interno
COSO Comité de Organizaciones Patrocinadoras de la Comisión Treadway
IDS Indicador de Desarrollo del Sistema
IFS Indicador de Fortalecimiento del Sistema
INTOSAI Organización Internacional de Instituciones Superiores de Auditoría
ISA Institución Superior de Auditoría
NAGUN Normas de Auditoría Gubernamental de Nicaragua
NTCI Normas Técnicas de Control Interno
ODICI Oficina para el Desarrollo Institucional del Control Interno
SA Sistema de Administración
SCI Sistema de Control Interno
UAI Unidad de Auditoría Interna
INTRODUCCIÓN
1. OBLIGATORIEDAD Y COMPATIBILIDAD DE LAS NTCI
Las NTCI constituyen el marco de referencia mínimo obligatorio en materia de Control Interno, para que el Sector Público prepare los procedimientos y reglamentos específicos para el funcionamiento de sus Sistemas de Administración y las Unidades de Auditoría Interna (UAI).
Igualmente toda norma, disposición interna o procedimiento administrativo que establezca el Sector Público, deberá estar en concordancia con estas Normas.
Estas Normas aplican en todos los aspectos de la planeación, programación, organización, funcionamiento y evaluación de una Entidad. Sin embargo, no es su propósito limitar o interferir la responsabilidad de la Máxima Autoridad relacionada con el desarrollo de Normas y Políticas a la medida de su Entidad. Por otra parte deben ser entendidas como instrumentos que contribuyen al cumplimiento de las disposiciones vigentes aplicables a finanzas, presupuesto, inversiones, personal y demás sistemas administrativos utilizados en la administración pública.
2. ESTRUCTURA DE LAS NORMAS TÉCNICAS DE CONTROL INTERNO
Las NTCI tienen la siguiente estructura:
a. El Capítulo I, se refiere al Marco Legal sobre el cual se construyen, funcionan y actualizan las NTCI.
b. El Capítulo II desarrolla las siguientes secciones:
i. Definición y objetivos del Control Interno
ii. Conceptos fundamentales sobre Control Interno
iii. Estructura del Control Interno
iv. Normas Generales, las cuales se interrelacionan y regulan el cumplimiento de la finalidad del Control Interno (CI), por tanto, deben considerarse integralmente. Cada norma comprende un enunciado y una declaración interpretativa.
v. Normas Específicas, que consisten en una explicación detallada de las Normas Generales la cual procura aclarar conceptos y ofrecer comentarios sobre la manera como se espera que las instituciones implanten lo dispuesto en el enunciado respectivo, sin obviar la necesidad de analizar su situación particular y determinar cuál es, en sus circunstancias distintivas, la mejor manera de poner en práctica lo dispuesto por la norma correspondiente.
c. El Capítulo III se concentra en los Aspectos básicos para la administración de las NTCI.
d. Apéndice I, que desarrolla las Actividades de Control para los siguientes Sistemas de Administración: Organización Administrativa, Administración de los Recursos Humanos, Planeación y Programación, Presupuesto, Administración Financiera, Contabilidad Integrada, Contratación y Administración de Bienes y Servicios, Inversiones en Proyectos y Programas y Tecnología de la Información.
e. Apéndice II, consistente en un glosario de términos utilizados en la elaboración de las NTCI.
3. FUNDAMENTOS DE LAS NORMAS
Las NTCI han sido actualizadas con base en la estructura propuesta por INTOSAI, la cual se basa en el Informe COSO1 el cual ha sido incorporado por un número importante de Instituciones Superiores de Auditoría (ISAs), en América latina.
4. CONCEPTO DE NTCI
Las NTCI definen el nivel mínimo de calidad o marco general requerido para el CI del Sector Público y proveen las bases para que los Sistemas de Administración (SA) y las UAI puedan ser evaluados. Mediante la correcta aplicación de las Normas se alcanzan los objetivos del CI.
5. OBJETIVOS DE LAS NTCI
1. Servir de marco de referencia para diseñar y/o ajustar los SA de cada Entidad y las UAI, lo cual implica la preparación de reglamentos específicos que incorporen estas Normas.
____________________
El denominado “INFORME COSO”, publicado en EE.UU. en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes sobre Control Interno. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la TREADWAY COMISIÓN, NATIONAL COMISIÓN ON FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo está constituido por representantes de las siguientes organizaciones: · American Accounting Association (AAA), · American Institute of Certified Public Accountants (AICPA), · Financial Executive Institute (FEI), · Institute of Internal Auditors (IIA), · Institute of Management Accountants (IMA). La redacción del informe fue encomendada a Coopers & Lybrand.
2.- Servir de instrumento para la evaluación tanto del diseño como del funcionamiento de los SA y de las UAI, en función del CI, y por consiguiente, suministrar bases objetivas para definir el grado de responsabilidad de los Servidores Públicos en relación con la aplicación de las Normas.
I. marco legal
1. FUNDAMENTO PARA EL DESARROLLO DE LAS NTCI
De conformidad con el artículo 5 de la Ley No. 330 del 18 de Enero del 2000, la cual reformó el artículo 154 de la Constitución Política, “La Contraloría General de la República es el Organismo Rector del Sistema de Control de la Administración Pública y fiscalización de los bienes y recursos del Estado”. Además, el Arto. 155 de la misma dispone que: “ corresponde a la Contraloría General de la República: 1. Establecer el sistema de control que de manera preventiva asegure el uso debido de los fondos gubernamentales” .
El alcance de la atribución mencionada, se explica en los artículos 8, num. 1, 10, num. 8 y 10, 13, 32 y 33 de la Ley Orgánica vigente. Específicamente el Arto. 33 determina la siguiente función de la Contraloría General de la República: “La Contraloría General de la República expedirá las normas técnicas de control interno como disposiciones fundamentales que regularán el control interno de las Entidades y Organismos del sector público”.
De acuerdo con lo anterior, la CGR en cumplimiento de sus funciones constitucionales y legales ha desarrollado las NTCI que se transcribe en el presente documento.
2. FUNDAMENTO PARA EL AJUSTE DE LAS NTCI
Dentro de los deberes, atribuciones y sanciones, desarrollados en el Título VI de la Ley Orgánica, El Art. 154 establece que “... cada Entidad y Organismo del Sector Público responde por el establecimiento de su propia política de Control Interno y por la incorporación, dentro de sus Sistemas administrativos y financieros, de los métodos y procedimientos indispensable para el efecto.”
De igual forma, el Art. 156 establece que “La Máxima Autoridad o el titular de cada Entidad y Organismo tiene, además los siguientes deberes: 1. Asegurar la implantación, funcionamiento y actualización de los Sistemas de administración financiera, de presupuesto, de determinación y recaudación de los recursos financieros, de tesorería y de contabilidad, teniendo cuidado de incorporar el Control Interno dentro de dichos Sistemas, en las áreas de su competencia... 4. Cumplir y hacer cumplir las disposiciones legales y reglamentarias, normas y demás disposiciones expedidas por la Contraloría General de la República...”
De acuerdo con lo anterior:
1. El diseño y funcionamiento del Control Interno de cada Entidad, constituyen deberes de la Máxima Autoridad o el Titular de cada Entidad.
2. La Máxima Autoridad o el Titular de cada Entidad debe cumplir y hacer cumplir lo previsto en las NTCI, por constituir una Norma expedida por la CGR. Por consiguiente deberá ordenar y cerciorarse de que se efectúen los ajustes correspondientes como acatamiento de dicha Norma.
3. INCUMPLIMIENTO DE LAS NTCI
Dentro del Título VI, Capítulo II de la Ley Orgánica correspondiente a Sanciones Administrativas se establece: “Art. 171 Sanción por incorrección. Sin perjuicio de las responsabilidades civil y penal a que hubiere lugar, serán condenados a multa no menor de un monto equivalente a un mes de salario, ni mayor de un monto equivalente a seis veces su salario mensual, y podrán ser además destituidos de sus cargos, los funcionarios o Servidores Públicos del sector público que se encuentre en uno o más de los siguientes casos: ...5. Permitir, por negligencia o por intención, la violación de la Ley, o incumplir las disposiciones reglamentarias, los manuales y las normas específicas de las Entidades u Organismos o aquellas de carácter generalmente obligatorio, expedidas por la Contraloría General de la República o por el Ministro de Finanzas. ...43. No establecer y mantener el Control Interno, de acuerdo con las disposiciones de esta Ley”.
De acuerdo con lo anterior:
1. No ajustar los SA y las UAI a lo previsto en las NTCI es un incumplimiento de la Ley Orgánica y del presente Acuerdo de la CGR.
2. La Máxima Autoridad o el Titular de cada Entidad, podrán hacerse acreedores a las sanciones previstas en la Ley Orgánica, por negligencia o intención al no ordenar y cerciorarse de que hayan hecho los ajustes correspondientes de acuerdo con lo establecido en las NTCI, en forma correcta y oportuna. Para la aplicación de las sanciones, se tomará en cuenta el marco de referencia previsto en el Título V de la Ley Orgánica sobre Determinación de Responsabilidades.
4. RESPONSABILIDADES
4.1 Responsabilidades de la CGR
1. Establecer el Sistema de Control que de manera preventiva asegure el uso debido de los fondos gubernamentales. El Sistema de Control fue establecido por la Ley Orgánica de la CGR y explicado en mayor detalle para la adecuada asimilación del sector público por estas NTCI.
2. Proporcionar asesoría técnica a las Entidades, con respecto a la implantación de las NTCI y materias que le competen.
3. Proporcionar inducción y coordinar la capacitación técnica de los Servidores Públicos de las Entidades para el ajuste a las NTCI.
4. Verificar, mediante el control externo posterior, entre otros, sí el sector público ha establecido y tiene en funcionamiento SA y UAI, articulados con las NTCI y con la Ley Orgánica.
5. Hacer públicos los resultados de su trabajo, revelando sí el sector público ha establecido y tiene en funcionamiento SA y UAI de acuerdo con las NTCI.
6. En caso de incumplimiento de la Ley y el no-acatamiento de este Acuerdo, debe imponer las sanciones previstas por incumplimiento de las responsabilidades, en caso de que no lo hagan los Ministros o Autoridades Nominadoras.
4.2 Responsabilidades del Sector Público
1. Efectuar los ajustes y diseños necesarios en sus SA y en las UAI, a fin de que se articulen a la Ley y a las NTCI.
2. Poner en funcionamiento sus SA y constituir o fortalecer las UAI.
3. Auto evaluar periódicamente sus SA y las UAI, introduciendo los cambios necesarios para su mejoramiento continuo.
4. Facilitar tanto a sus Auditores Internos como a los delegados de la CGR la información que les permita establecer la existencia y funcionamiento de las NTCI en los SA.
5. Emitir una certificación con destino a la CGR, comunicándole que han completado el proceso de ajuste de sus SA y de las UAI, de acuerdo con las NTCI. Dicha certificación deberá emitirse de acuerdo con los plazos establecidos en el presente Acuerdo.
6. Emitir una certificación con destino a la CGR, al término de cada auto evaluación periódica, comunicándole que sus SA y las UAI, continúan cumpliendo con los requerimientos previstos en las NTCI. Dicha certificación deberá emitirse de acuerdo con los plazos establecidos en el presente Acuerdo.
5. ÁMBITO
Las NTCI se aplican a todas las Entidades que de acuerdo con el num. 3) del Art. 155 de la Constitución y el Art. 178 de la Ley Orgánica conforman el Sector Público.
El alcance de las NTCI incluye los Controles Internos incorporados en los Sistemas de Administración para planificar y programar, organizar, ejecutar y controlar las operaciones y las UAI, exceptuando el control externo posterior, el cual se desarrolla con las metodologías previstas en las NAGUN.
Forman parte integral de las NTCI todos los componentes y conceptos descritos en los capítulos y apéndices del presente documento.
II. Aspectos TÉCNICOS
1. DEFINICIÓN Y OBJETIVOS DEL CONTROL INTERNO
La siguiente definición y otros conceptos generalmente aceptados, proveen los fundamentos de las NTCI.
Control interno es un proceso diseñado y ejecutado por la Administración y otro personal de una Entidad para proporcionar seguridad razonable con miras a la consecución de los siguientes objetivos:
1. Administración eficaz, eficiente y transparente de los recursos del Estado.
2. Confiabilidad de la rendición de cuentas
3. Cumplimiento de las leyes y regulaciones aplicables.
El Control Interno está presente en la mayor parte de la Administración de una Entidad. Comprende los planes métodos y procedimientos utilizados para cumplir la misión, alcanzar las metas y objetivos y respaldar la gerencia basada en resultados y principios de servicio público. La categoría de objetivo administración eficaz, eficiente y transparente de los recursos del Estado está relacionada con las metas y objetivos así como con el uso de los recursos, lo cual conlleva a la protección de los activos y a la prevención de errores e irregularidades.
En resumen el Control Interno es sinónimo de control gerencial y de sistema de control interno y ayuda al Sector Público a lograr los resultados deseados mediante un efectivo manejo de sus recursos.
2. CONCEPTOS FUNDAMENTALES SOBRE CONTROL INTERNO
En la definición de Control Interno se destacan los siguientes aspectos fundamentales:
a. El Control Interno es un proceso. Constituye un medio para un fin, no un fin en sí mismo. Incluye una serie de acciones que ocurren en el desarrollo de las operaciones de la Entidad. El Control Interno debe reconocerse como una parte integral de los sistemas que utiliza la Administración para regular y guiar sus operaciones, en vez de un sistema separado dentro de la Entidad. En este sentido, el Control se construye dentro de una Entidad como una parte de su infraestructura para ayudar a la Administración en el manejo de la Entidad y para lograr sus objetivos y metas.
b. El Control Interno es ejecutado por personas. No son solamente Manuales de Políticas y formas, sino personas en cada nivel de una organización. Las personas hacen que el Control Interno funcione. La responsabilidad por un buen Control Interno tiene que ver en principio con los Directivos. La Administración fija los objetivos, coloca los mecanismos y actividades de control en marcha y evalúa el funcionamiento del Control. Sin embargo, todo el personal en la Organización tiene un rol importante para que esto suceda.
c. Del Control Interno puede esperarse que proporcione solamente seguridad razonable, no-seguridad absoluta, a la Administración de una Entidad. Razones como la relación beneficio-costo y la influencia de factores externos pueden limitar la eficacia del control.
d. El Control Interno está engranado para la consecución de objetivos en una o más categorías separadas pero interrelacionadas.
e. El Control Interno se debe estructurar, teniendo en cuenta que la Administración Pública está al servicio de los intereses generales y se desarrolla con fundamento en los principios de equidad, ética, eficacia, eficiencia, economía, rendición de cuentas y preservación del medio ambiente.
2.1.1 Un proceso
El Control Interno no es un mecanismo, evento o circunstancia, sino una serie de acciones que se incorporan en las actividades de una Entidad. En general las Entidades se administran mediante un proceso básico gerencial de dirección, planeación, organización, ejecución y evaluación (seguimiento). El Control Interno es parte de ese proceso y está integrado al mismo. Es un medio que facilita el funcionamiento y seguimiento. Es una herramienta usada por la Administración, no un sustituto de la Administración.
2.1.2 Dirección
El Nivel Directivo define las políticas, objetivos y metas institucionales, como marco de referencia para la definición de los planes operativos.
2.1.3 Planeación
La planeación es una herramienta gerencial que integra y orienta las acciones de la Entidad, para el logro de los objetivos institucionales. A partir de la planeación, se va haciendo tangible el papel del Control Interno, puesto que a través de ella se dispone de un instrumento para orientar la gestión, sirviendo posteriormente para verificar sí se logró lo propuesto.
Las herramientas mínimas de planeación adoptadas en el Estado, aplicables de manera flexible en los diferentes sectores y niveles de la administración pública, de acuerdo con la naturaleza y necesidades institucionales se enmarcan en el Plan Estratégico del Gobierno y los Planes de Acción correspondientes.
La planeación debe incluir las siguientes dos características: Haberse originado de un ejercicio participativo y concertado y haberse dado a conocer en forma amplia a todos los niveles de la institución. De acuerdo con lo anterior, en el contexto de Control Interno, la planeación debe entenderse como una responsabilidad institucional, tanto en su preparación como en su ejecución y evaluación.
2.1.4 Organización
Mediante este proceso de la Administración, se realiza la división y distribución de funciones y competencias asignadas, para lograr los fines y objetivos institucionales. Este es un principio fundamental para la definición de responsabilidad y por consiguiente para la rendición de cuentas.
2.1.5 Ejecución
Mediante la aplicación y/o combinación adecuada de recursos tales como: talento humano, métodos, procedimientos, sistemas de información y comunicación, etc., comprende el desarrollo de las actividades de la organización, de acuerdo con el proceso de planeación.
2.1.6 Evaluación
Este proceso consiste en la verificación y seguimiento a la gestión, para introducir cambios necesarios, respaldando la toma de decisiones y la reorientación de las acciones para mejorar la probabilidad de alcanzar los objetivos y metas o en su momento para medirlos.
Entender el Control Interno como un proceso o una multiplicidad de procesos es diferente de la perspectiva de algunos observadores quienes lo conciben como un agregado a las actividades de la Entidad, o carga necesaria, impuesta por los Entes de Control o por Directivos excesivamente disciplinados.
El CI está entrelazado con las actividades de operación de una Entidad y fundamentalmente existe como producto de la necesidad de alcanzar los objetivos institucionales. Los controles internos son más efectivos cuando se construyen dentro de la infraestructura de la Entidad y son parte de la esencia de la misma. Deben ser construidos en mucho más que construidos sobre.
Los controles construidos en, pueden influir directamente en la capacidad de una Entidad para alcanzar sus objetivos y soportar las iniciativas de calidad de sus actividades. La búsqueda de calidad está directamente relacionada con la manera como se dirigen y controlan las actividades. Las iniciativas de calidad hacen parte de la estructura de operación de una Entidad, lo cual se puede observar cuando:
i. Los ejecutivos principales buscan asegurar que los valores de calidad se construyan en concordancia con las actividades de la Entidad.
ii. Establecen objetivos de calidad basados en la recolección y análisis de información de la Entidad y otros procesos.
iii. Se utiliza el conocimiento de prácticas competitivas y expectativas de los clientes o usuarios internos y externos para dirigir el mejoramiento continuo de la calidad.
Esos factores de calidad van paralelos en los SA efectivos. De hecho, el Control Interno no está solamente integrado a los programas de calidad, sino que usualmente es fundamental para su éxito.
La construcción de controles también tiene implicaciones importantes en los costos involucrados y en el tiempo de respuesta. Los crecientes requerimientos de eficiencia y eficacia aumentan la presión para reducir los costos y gastos de operación. Cuando se agregan nuevos procedimientos separados de los existentes, se añaden costos. Por el contrario, cuando se enfocan los análisis a las operaciones existentes y a su contribución al Control Interno efectivo, se construyen y depuran controles dentro de las actividades de operaciones básicas, haciendo a la Entidad más flexible y competitiva.
2.2 Personas
El Control Interno es ejecutado por la Administración, la cual comprende a la Máxima Autoridad, los Ejecutivos y otro personal de una Entidad. En consecuencia, son personas, entre ellas los integrantes de la Alta Gerencia, quienes establecen los objetivos de la Entidad, los llevan a cabo y diseñan y ejercen los controles necesarios.
Por otra parte, el Control Interno afecta las acciones de la gente. Las personas no siempre comprenden, comunican o se desempeñan de una manera consistente. Cada individuo lleva a su lugar de trabajo un trasfondo y unas habilidades técnicas únicas y tiene necesidades y prioridades diferentes.
Tales realidades afectan y son afectadas por el Control Interno. La gente debe conocer sus responsabilidades y sus límites de autoridad. De acuerdo con ello, deben existir una relación clara y profunda entre los objetivos de la Entidad, los deberes de la gente y la manera como se llevan a cabo.
2.3 Seguridad razonable
El Control Interno, solamente puede proporcionar seguridad razonable a la Administración de conseguir los objetivos de una Entidad.
La probabilidad de alcanzar los objetivos está afectada por las limitaciones inherentes a todos los SA. Dichas limitaciones consideran realidades como:
a. Los juicios humanos en la toma de decisiones pueden ser defectuosos.
b. Las personas responsables del establecimiento de controles necesitan considerar sus costos y beneficios relativos.
c. El fracaso puede provenir de fallas humanas tales como errores o irregularidades o la capacidad de la Administración para desbordar su propio Sistema.
2.4 Objetivos
Cada Entidad fija su misión, estableciendo los objetivos que espera alcanzar y las estrategias para conseguirlos. Los objetivos pueden ser para la Entidad, como un todo, o específicos para las actividades dentro de la Entidad. Aunque muchos objetivos pueden ser específicos para una Entidad particular, algunos son ampliamente participativos. Por ejemplo, los objetivos comunes a casi todas las Entidades son la consecución y el mantenimiento de una reputación positiva dentro de la comunidad, proporcionando estados financieros confiables y operando en cumplimiento de las leyes y regulaciones.
Los objetivos se ubican dentro de tres categorías:
a. Operaciones, relacionadas con el uso eficaz, eficiente y transparente de los recursos de la Entidad.
b. Rendición de Cuentas, relacionada con la preparación de estados financieros, ejecución presupuestal y otra información financiera, operativa, etc., confiable y oportuna.
c. Cumplimiento, relacionado con el acatamiento de las leyes y regulaciones aplicables por parte de la Entidad.
Esta categorización sitúa el énfasis en aspectos separados del Control Interno. Tales categorías distintas pero interrelacionadas (un objetivo particular se puede ubicar en más de una categoría) orientan diversidad de necesidades y pueden ser responsabilidades directas de ejecutivos diferentes.
Esta categorización también permite distinguir lo que se puede esperar de cada categoría de Control Interno.
Del CI se puede esperar que proporcione una seguridad razonable para la consecución de los objetivos relacionados con la confiabilidad de la información financiera y con el cumplimiento de leyes y regulaciones. El cumplimiento de tales objetivos, en gran parte basados en estándares impuestos por sectores externos, depende de cómo se desempeñen las actividades dentro del control de la Entidad.
Sin embargo, la consecución de los objetivos de operación -tales como un retorno particular sobre la inversión, atención de necesidades de la población, equidad en la distribución de ingresos, costos y gastos- no siempre está bajo el control de la Entidad.
El Control Interno no puede prevenir juicios o decisiones incorrectas, o eventos externos que puedan causar una falla para la consecución de sus objetivos de operación. Para lograr estos objetivos, el CI puede proporcionar seguridad razonable solamente si los mecanismos de dirección y supervisión, están siendo acatados de manera correcta y oportuna.
2.5 Principios
2.5.1 Equidad
Las actividades de las Entidades deben estar orientadas hacia el interés general, sin privilegios otorgados a personas o grupos especiales. Es decir que en la administración de los recursos público nadie deberá sentirse afectado tendenciosamente en sus intereses o ser objeto de discriminación.
2.5.2 Ética
Se refiere a que las operaciones para la Administración Pública deben ser realizadas no solo acatando las Normas Constitucionales y Legales, sino los principios éticos o de conducta que deben regir la Sociedad.
Este principio se fundamenta en los valores que deben prevalecer en las Entidades como una barrera contra el flagelo de la corrupción y otras prácticas irregulares.
2.5.3 Eficacia
Se debe disponer de planes estratégicos y de acción en los cuales se identifiquen claramente objetivos y metas para el corto, mediano y largo plazo. De igual forma, se deben estructurar y poner en marcha sistemas apropiados que faciliten el logro de dichos objetivos y metas, así como su medición respectiva.
2.5.4 Eficiencia
Se deben organizar y poner en marcha procesos de trabajo que soporten los objetivos y metas, en la búsqueda permanente de óptimos resultados a costos razonables, evitando el desperdicio o uso indiscriminado de los recursos. La supresión de trámites engorrosos, la fijación de tiempos de respuesta oportuna, los requerimientos de calidad, entre otros, son ejemplos de la eficiencia como principio para una apropiada Administración.
2.5.5 Economía
Este principio promueve que los resultados se obtengan a un costo razonable, es decir que se consigan las mejores opciones financieras sin afectar la calidad, cantidad y oportunidad requeridas para alcanzar tales resultados. La economía obtenida siempre debe ser demostrable.
2.5.6 Rendición de cuentas
Este principio se refiere a la obligación de los Servidores Públicos de revelar en forma oportuna y confiable el cumplimiento de sus responsabilidades y de administrar en forma transparente la información que se utiliza para el análisis de su gestión pública. La rendición de cuentas, no se debe asociar únicamente con la presentación oportuna y confiable de Estados Financieros. Los informes y comunicaciones que se deben exponer a los ciudadanos, poderes y otros estamentos del estado, sobre la forma, resultado e impactos obtenidos en la administración de los recursos públicos, así como la calidad, oportunidad y transparencia de los mismos, representan formalmente la rendición pública de cuentas.
2.5.7 Preservación del medio ambiente
Según este principio el Sector Público, debe organizar sus operaciones con una firme orientación hacia la preservación, conservación y recuperación del medio ambiente y de los recursos naturales.
2.6 Forma de Ejecución del Control Interno
El Control Interno Se ejecuta en forma previa y posterior.
2.6.1 Control Interno Previo
Los Servidores Públicos responsables de las operaciones, en cada una de las Unidades Organizacionales de las Entidades, deberán ejercer el Control Interno previo, entendiéndose por éste el conjunto de métodos y procedimientos diseñados en los procesos de operación y aplicados antes de que se autoricen o ejecuten las operaciones o actividades o de que sus actos causen efecto, con el propósito de establecer su legalidad, veracidad, conveniencia y oportunidad, en función de los fines, programas y presupuestos de la Entidad.
En ningún caso las Unidades de Auditoría Interna ni personas o Entidades externas, ejercerán controles previos. Tampoco podrá crearse una Unidad específica con tal propósito.
2.6.2 Control Interno Posterior
Los Directores o Ejecutivos de cada Unidad de una Entidad serán los responsables de ejercer control posterior sobre las metas, objetivos o resultados alcanzados por las operaciones o actividades bajo su directa competencia, con el propósito de evaluarlas para mejorarlas en el futuro. El sentido de posterior no debe entenderse como alejado del tiempo real en que ocurren las operaciones. Los sistemas de administración deben contemplar en los procedimientos que se utilizan para tramitar las operaciones, normas específicas para asegurar que al tiempo que se cumplen las transacciones, se obtiene seguridad de que se alcanzan los resultados esperados. Por ejemplo, al adquirir bienes y servicios, debe obtenerse evidencia suficiente y competente de que los mismos se recibieron en las condiciones ordenadas.
Por otra parte, la evaluación independiente (Control Interno Posterior independiente) de los Sistemas de administración e información y de los controles internos incorporados a ellos, así como el examen financiero y operacional efectuado con posterioridad a la ejecución de las operaciones y actividades de cualquier Unidad o de la Entidad en general, estará a cargo de la respectiva Unidad de Auditoría Interna.
El Control Interno Posterior independiente, es un componente importante de la Norma de Control Interno sobre Monitoreo. Es decir que la UAI forma parte del Control Interno y debe considerarse como factor para el mantenimiento y preservación del mismo en el tiempo.
PRINCIPIOS
5. NORMAS ESPECÍFICAS
5.1 Normas Específicas de Ambiente de Control
La esencia de cualquier Entidad son las personas, sus atributos individuales, incluyendo la integridad, los valores éticos, su competencia y el ambiente en que operan.
El ambiente de control es fundamental para las demás Normas, provee estructura y disciplina, así como un clima apropiado que influye en la calidad del control interno. Los siguientes factores contribuyen a la creación de un ambiente de control positivo:
1. Integridad y valores éticos
2. Competencia del personal
3. Filosofía y estilo de operación de la Administración
4. Máxima Autoridad y Comité de Auditoría
5. Auditoría Interna
5.1.1 Integridad y Valores Éticos
La Máxima Autoridad y sus Ejecutivos deben mantener un tono ético en la Organización, suministrando guías para la conducta apropiada, invalidando oportunidades para conductas no éticas e impartiendo la disciplina correspondiente.
Los objetivos de una Entidad y la manera como se logren están basados en preferencias, juicios de valor y estilos administrativos. Tales preferencias y juicios de valor trasladados a estándares de conducta reflejan la integridad de los Administradores y su compromiso con los valores éticos. Puesto que la buena reputación se valora de la anterior forma, el estándar de conducta debe ir más allá del solo cumplimiento de la Ley. La sociedad espera más que eso.
Aunque la integridad y los valores éticos no se pueden garantizar mediante Leyes, Reglamentos, etc. El Sector Público Nicaragüense como mínimo deberá estructurar, divulgar y confirmar y evaluar el Código de Conducta debidamente articulado con la Ley de Probidad de los Servidores Públicos.
5.1.1.1 Estructura del Código de Conducta
Mediante el Código de Conducta la Máxima Autoridad, desarrolla con mayor amplitud la Ley de Probidad y comunica a los Servidores Públicos bajo su responsabilidad y en general, a la comunidad con la cual se relacionan, las siguientes políticas generales sobre prohibiciones o advertencias, sin perjuicio de otras que se consideren necesarias para coadyuvar a la transparencia de la gestión pública:
1. Conflicto de interés
2. Aceptación de regalos, agasajos y otros incentivos
3. Oferta y entrega de regalos, agasajos y otros incentivos
4. Confidencialidad y precisión de la información
5. Uso de los activos de la Entidad
6. Cuidado y vigilancia para la protección del medio ambiente
7. Relaciones con la competencia y partes interesadas en hacer negocios con la Entidad (sí aplica)
8. Contribuciones a campañas políticas y donaciones
9. Obligación de revelar irregularidades
5.1.1.2 Divulgación y Confirmación del Código de Conducta
Una vez terminado el Código de Conducta se debe editar, debidamente firmado por la Máxima Autoridad. Cada Entidad tomará las medidas necesarias para que todos sus Servidores Públicos reciban explicación razonable sobre los objetivos, alcance y contenido del Código de Conducta.
En general el Código de Conducta debe ser entregado a todos los Servidores Públicos adscritos a una Entidad, teniendo el cuidado de obtener de cada uno de ellos certificación formal, donde conste que conocen y entienden las políticas allí señaladas y no se encuentran incursos en situación alguna que les impida el cumplimiento de las mismas.
Este procedimiento debe cumplirse cada vez que se contrate a un nuevo Servidor Público y se debe realizar para todos al menos una vez al año. °
5.1.1.3 Evaluación del Código de Conducta y acciones relacionadas.
La Máxima Autoridad deberá asignar en la Unidad Organizacional encargada de la Administración de Recursos Humanos, la responsabilidad por la actualización y el manejo relativo a los asuntos del Código de Conducta. Dicha Unidad se encargará de:
1. Tramitar y coordinar las actualizaciones
2. Evaluar e informar apropiadamente
3. Verificar que se han tomado las acciones disciplinarias pertinentes, cuando se presente cualquier infracción considerada importante.
4. Ejecutar las medidas dentro de su ámbito o competencia.
15.1.2 Competencia del Personal
La Máxima Autoridad y sus Ejecutivos deben planificar, seleccionar, contratar y desarrollar a las personas, de tal forma que se alcance la competencia necesaria para que todas las operaciones puedan llevarse a cabo exitosamente. La competencia debe reflejar el conocimiento y las habilidades necesarias para realizar las tareas que definen los trabajos individuales. Qué tan bien se requiere que se cumplan esas tareas, es generalmente una decisión de la Administración, quien considerará los objetivos de la Entidad, las estrategias y los planes para la consecución de los objetivos.
La Administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimientos y habilidades. Los conocimientos y las habilidades necesarios podrán a su turno depender de la inteligencia, entrenamiento y experiencia de los individuos.
Para lograr la competencia requerida, entre otros, se debería disponer de:
1. Planes para el Recurso Humano
2. Manuales de Organización en los cuales se explique los requerimientos de cada cargo y las funciones y responsabilidades individuales
3. Programas de entrenamiento y capacitación
4. Métodos apropiados de supervisión
5. Métodos formales para la evaluación del desempeño
5.1.3 Filosofía y Estilo de Operación de la Administración
La filosofía y el estilo de operación de la Administración se relaciona con la forma en que se maneja una Entidad incluyendo:
1. El grado de formalidad o informalidad en sus políticas, normas y procedimientos
2. La manera como se formulan y controlan los objetivos y metas
3. La manera como se identifica y gestiona el riesgo
4. La actitud frente a la información financiera y otros componentes del sistema de información
5. La definición de áreas clave de autoridad y responsabilidad, incluyendo la rendición de cuentas
6. La centralización o descentralización para la toma de decisiones
La Máxima Autoridad y sus Ejecutivos deben ser conscientes y tomar las acciones pertinentes para que las operaciones de sus Entidades consulten las características anteriores en función de los requerimientos específicos del tipo de actividades a su cargo y en lo posible, se formalicen y utilicen instrumentos modernos para la administración.
5.1.4 Máxima Autoridad y Comité de Auditoría
El ambiente de control puede ser altamente influenciado por la Máxima Autoridad y el Comité de Auditoría de la Entidad, quienes mediante sus evaluaciones y sugerencias, pueden contribuir a un entorno más seguro y confiable.
Los siguientes son factores que contribuyen a una mejor participación de la Máxima Autoridad y del Comité de Auditoría:
1. Independencia frente a los Administradores
2. Experiencia y profesionalismo de sus Miembros
3. Extensión de su participación y revisiones
4. Frecuencia y calidad de las acciones derivadas de estos Organismos
5. Interacción entre la Máxima Autoridad y el Comité de Auditoría
5.1.4.1 Máxima Autoridad
Las funciones de la Máxima Autoridad generalmente están incluidas en el documento de constitución de las Entidades. La Máxima Autoridad puede estar representada por un Ministro, la Junta Directiva o un Presidente, Titular o Gerente de una Entidad. La Máxima Autoridad no debe perder de vista su responsabilidad por el direccionamiento de las políticas generales de la Entidad y por la vigilancia del logro de objetivos y metas, lo cual revela su profunda implicación en el Control Interno.
5.1.4.2 Comité de Auditoría
El Comité de auditoría es una instancia del más alto nivel que se empleará para proporcionar consejo a la Máxima Autoridad en el fortalecimiento del Control Interno, con énfasis en la evaluación de riesgos. No constituye una Unidad funcional, es un instrumento de asesoría, no tiene remuneración ni dependencia funcional o administrativa de la administración de las Entidades y Organismos.
Las Entidades deberán constituir los Comités de Auditoría, de acuerdo con los siguientes requerimientos básicos, sin perjuicio de la reglamentación separada que emitirá la CGR para la constitución y funcionamiento de los mismos:
1. Integrado por la Máxima Autoridad quien actuará como Presiente del Comité y cuando aplique por dos Miembros de la Junta Directiva o en su caso por un delegado del Presidente de la República, Ministro o Alcalde, elegidos por un período mínimo de un año y el Auditor Interno quién no tendrá derecho a voto y actuará como Asesor técnico del Comité, así como cualquier otra persona que en concepto del Presidente del Comité deba formar parte del mismo, en calidad de invitado, sin derecho a voto y tendiendo en cuenta las necesidades surgidas de las funciones del Comité.
1.- Las siguientes serán sus funciones principales:
a. Recomendar pautas para la determinación, implantación, adaptación, complementación y mejoramiento permanente de conformidad con las NTCI y las características propias de cada Entidad.
b. Evaluar la pertinencia de las certificaciones periódicas que debe enviar la Máxima Autoridad a la CGR para informar que ha incorporado las NTCI a los SA y a la UAI y que éstos funcionan apropiadamente.
c. Conocer las funciones y actividades de Auditoría Interna con el objeto de verificar su alcance e independencia. Esta revisión no debe entenderse como un reemplazo de las atribuciones de la CGR respecto a la UAI. NI debe entenderse que las UAI dependen del Comité.
d. Verificar que las observaciones y recomendaciones provenientes de la CGR, Auditoría Interna y otros Entes de control sean tenidas en cuenta en forma correcta y oportuna. e. Solicitar los informes necesarios para el cumplimiento de sus funciones.
1- Para el adecuado cumplimiento de sus funciones el Comité de Auditoría deberá conocer:
a. El CI de la Entidad formalizado en sus Manuales e instructivos.
b. Los informes de la CGR, los Auditores Internos, sugerencias de las Unidades Organizacionales y otros informes.
c. Los Planes de Auditoría Interna.
d. Los Estados Financieros.
e. Los Planes Estratégicos e informes de gestión.
f. Otros en las circunstancias
1. El Comité deberá reunirse como mínimo seis (6) veces al año y adicionalmente cuantas veces sea necesario, cuando se identifiquen deficiencias materiales en la estructura y funcionamiento del CI.
1. Las observaciones e informes del Comité deberán quedar consignados en Actas que serán presentadas a la Máxima Autoridad y enviadas a la CGR, a más tardar diez (10) días calendario después de la fecha de reunión del Comité.
5.1.5 Auditoría Interna
La existencia y correcto funcionamiento de la función de Auditoría Interna contribuye al desarrollo permanente del CI, mediante una relación altamente productiva de las personas con la Auditoría Interna.
En general el ambiente de control se ve fortalecido cuando se dispone de una Auditoría Interna que interactúe con el personal y contribuya a la identificación de oportunidades de mejoramiento para el Sistema.
La Sección II, Título III de la Ley Orgánica de la CGR establece los requerimientos para la organización y funcionamiento de la Auditoría Interna.
En la norma sobre Monitoreo se amplían detalles sobre los objetivos y el alcance de la Auditoría Interna.
5.2 Normas Específicas de Evaluación de Riesgos
Cada Entidad enfrenta una variedad de riesgos derivados de fuentes externas e internas, los cuales deben evaluarse. Una condición previa a la evaluación de riesgos es el establecimiento de objetivos, enlazados en niveles diferentes y consistentes internamente. Por ejemplo, los objetivos formulados en la Planeación Estratégica y los Planes de Acción. Dado que las condiciones económicas, industriales, reguladoras y de operación continuarán cambiando, se necesitan mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.
5.2.1 Definición de Objetivos
La definición de objetivos es una parte clave del proceso administrativo y un prerrequisito para hacer posible el Control Interno.
La definición de objetivos puede ser un proceso altamente estructurado o informal. Los objetivos a menudo están representados por la Misión de la Entidad y por la Declaración de Valores. El conocimiento de las fortalezas y debilidades de la Entidad y de las oportunidades y amenazas conducen hacia una estrategia global. Generalmente el Plan Estratégico es establecido de manera amplia, haciendo énfasis en la asignación de recursos y prioridades.
De la estrategia amplia de la Entidad fluyen objetivos más específicos, los cuales impulsan la realización de actividades. Los objetivos específicos también son conocidos como metas, siendo su característica más importante la cuantificación y la definición de tiempos para los resultados.
Definiendo objetivos generales y específicos o por actividad, una Entidad puede identificar sus factores críticos de éxito. Dichos factores son aplicables a la Entidad, una Unidad de servicio, una Función, un Departamento o un Individuo. La definición de objetivos le facilita a la Administración identificar los criterios de medición del desempeño, centrándose en los factores críticos de éxito.
Tomando en cuenta los objetivos generales del SCI, se deben establecer ciertas categorías principales de objetivos así:
1. Objetivos de Operaciones. Hacen referencia a la eficiencia y eficacia de las operaciones de la Entidad, incluyendo objetivos de desempeño y rentabilidad pública (beneficios para la comunidad en la gestión de los recursos), así como recursos de protección contra pérdidas y obtención de información no financiera confiable y oportuna.
2. Objetivos de Información Financiera. Hacen referencia a la preparación de información financiera, presupuestaria y contable confiable y oportuna. Estos objetivos no se limitan a los estados financieros y a las notas explicativas e información complementaria sobre los mismos. Puede incluir otra información financiera considerada relevante y para informar a terceros, como por ejemplo los informes de ejecución presupuestal.
3. Objetivos de Cumplimiento. Estos objetivos se refieren a la adhesión a las Leyes y Regulaciones a las cuales la Entidad está sujeta, dependen de factores externos que pueden ser particulares para la Entidad o similares para grupos de Entidades o toda la comunidad del Servicio Público, según el caso.
Las Entidades deberán definir sus objetivos globales y específicos basados en su Planeación Estratégica y sus Planes de Acción. Dichos objetivos deberán documentarse y constituirán la base para la evaluación de riesgos.
5.2.2 Definición de Riesgos El proceso de identificación y análisis de riesgos es un proceso interactivo y componente crítico del SCI efectivo. Los Administradores Públicos se deben centrar cuidadosamente en los riesgos importantes para todos los niveles de la Entidad y planificar y ejecutar las acciones necesarias para administrarlos.
Básicamente el riesgo se define como la probabilidad de que ocurra un evento no deseado. Por ejemplo la probabilidad o amenaza de que no se alcance una meta u objetivo.
El desempeño de una Entidad puede estar en riesgo a causa de factores internos o externos.
Los factores externos pueden ser:
1. Desarrollos tecnológicos
2. Necesidades o expectativas cambiantes en la comunidad
3. Modificaciones en la Legislación y Regulación
4. Catástrofes naturales
5. Cambios económicos
Los factores internos pueden ser:
1. Debilidades en el sistema de información
2. Calidad del personal vinculado y de los métodos de entrenamiento y motivación
3. Cambios en las responsabilidades de la Administración
4. Naturaleza de las actividades de la Entidad y acceso de los Empleados a los activos
5. Calidad de la gestión de la Máxima Autoridad y el Comité de Auditoría.
5.2.3 Evaluación de Riesgos
Existen muchas técnicas para evaluar riesgos. Particularmente, la Administración puede usar métodos cualitativos o cuantitativos para priorizar e identificar las actividades altamente riesgosas. También ayudan las revisiones periódicas de los factores económicos relacionados con la Entidad, revisiones de la Planeación Estratégica y comparaciones con otros países o Entidades dentro del país.
Una vez identificados los riesgos, deben analizarse. La metodología para analizar los riesgos puede variar ampliamente porque muchos riesgos son difíciles de cuantificar. Sin embargo, el proceso deberá incluir:
1. Estimación del significado del riesgo (importancia de los efectos sobre la Entidad)
2. Valoración de la probabilidad o frecuencia de ocurrencia del riesgo
3. Estrategia para administrar el riesgo, es decir la determinación de acciones que deben ser tomadas.
La evaluación del riesgo debe tener en cuenta los cambios constantes en las Entidades y su entorno. Dichos cambios pueden presentarse en el ambiente de operación, nuevos Servidores Públicos, nuevos sistemas de información o sistemas reestructurados, crecimiento rápido, tecnología nueva, líneas, servicios, productos o actividades nuevas, reestructuraciones organizacionales, nuevas relaciones con el entorno.
El método de evaluación del riesgo es una decisión particular de cada Entidad. Esta norma requiere que se deje constancia formal de dicho método o métodos y evidencia de su utilización y los cambios que genera.
5.3 Normas Específicas de Actividades de Control
Las actividades de control son políticas y procedimientos, ejecutados por las personas para implementar las directivas de la Administración. Estas se presentan a todo lo largo y ancho de la Organización, en todos los niveles y en todas las funciones e incluyen un rango tan diverso como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisión del desempeño de operaciones, seguridad de activos y segregación de responsabilidades, entre otros.
Las actividades de control también se pueden clasificar teniendo en cuenta la naturaleza de los objetivos con las cuales se relacionan: operaciones, información financiera o cumplimiento.
Si bien algunos controles se relacionan únicamente con un área, con frecuencia se sobreponen. Por ejemplo, los controles de operación pueden ayudar a obtener información financiera confiable y los controles de información financiera pueden contribuir al cumplimiento legal, etc.
Las siguientes categorías de actividades de control deberán desarrollarse en las Entidades:
1. Revisiones de alto nivel sobre el desempeño
2. Evaluación de las funciones y actividades administrativas
3. Administración del recurso humano
4. Sistema de información
5. Control físico sobre activos vulnerables
6. Indicadores de desempeño
7. Segregación de funciones incompatibles
8. Ejecución apropiada de las transacciones
9. Seguridad y oportunidad en el registro de las transacciones y eventos
10. Restricciones de acceso a los recursos y registros
11. Documentación apropiada de las transacciones y del control interno en forma de flujo gramas o equivalentes.
5.3.1 Revisiones de Alto Nivel sobre el Desempeño
La Máxima Autoridad y sus Ejecutivos deberán comparar el desempeño actual con los objetivos y metas previstos en la Planeación Estratégica y en los planes de acción. Esta comparación deberá conducirles a tomar decisiones sobre cambios para el mejoramiento cuando sea necesario. De la anterior gestión se debe dejar constancia escrita, bajo la responsabilidad de la Máxima Autoridad.
5.3.2 Evaluación de las Funciones y Actividades Administrativas
Cada responsable de Unidad Organizacional debe preparar informes sobre la evaluación de sus objetivos y metas individuales, frente al desempeño. Esta comparación, que debe incluir un análisis de causas y efectos con los Servidores Públicos de la Unidad relacionados, deberá conducirles a tomar decisiones sobre cambios para el mejoramiento cuando sea necesario.
De la anterior gestión se debe dejar constancia escrita, bajo la responsabilidad del Director de la Unidad.
5.3.3 Administración del Recurso Humano
La administración efectiva del recurso humano es esencial para evaluar los resultados y es parte vital del Control Interno. La Administración debe ver el recurso humano como un activo y no como un costo o gasto. El éxito de las operaciones se logra cuando se ha conseguido el personal correcto para el trabajo y se la ha suministrado entrenamiento, herramientas, incentivos y responsabilidades.
La Administración debe asegurar que el recurso humano es continuamente evaluado y que la Entidad está en condiciones de requerir y obtener los recursos humanos necesarios para lograr los objetivos organizacionales. Deberá suministrarse entrenamiento y capacitación adecuados para desarrollar y retener aquellos recursos humanos necesarios para la Organización y supervisar en forma constante las labores de las personas, así como evaluar periódicamente su desempeño para asegurar que se alcancen los objetivos del control. La evaluación del desempeño y su realimentación, complementados con un sistema efectivo de compensación, deben ayudar a que los Servidores Públicos entiendan la conexión entre su desempeño y el éxito de la Entidad. Estas actividades de control deben ser concordantes con lo previsto en la Ley del Servicio Civil y de la Carrera Administrativa.
5.3.4 Sistema de Información
Existe una variedad de actividades de control para el proceso de información. Tales actividades sirven para verificar que las transacciones estén completas, autorizadas y libres de error o irregularidad.
La mayoría de Entidades emplean computadores en el procesamiento del sistema de información. Los procesos manejados con estos instrumentos, pueden incluir también elementos manuales. Tales elementos deben controlarse utilizando los mecanismos previstos en estas normas.
Los controles sobre los sistemas de información se deben agrupar en dos categorías:
1. Controles generales y
2. Controles de aplicación
5.3.4.1 Controles Generales
Los controles generales incluyen comúnmente los controles sobre las operaciones del centro de datos, la adquisición y mantenimiento del software del sistema, las seguridades de acceso y el desarrollo y mantenimiento de las aplicaciones del sistema.
Estos controles aplican a todos los sistemas, mainframe, microcomputadores y ambientes de computación de usuario final.
La siguiente es una descripción de los tipos de controles generales que deben implementarse:
1. Controles a las operaciones del centro de datos. Incluyen trabajos de implementación y rutina, acciones del operador, copias de seguridad y procedimientos de recuperación así como planeación de contingencias para la recuperación por desastres entre otros.
2. Controles al software del sistema. Incluyen controles sobre adquisición, implementación y mantenimiento efectivo del software del sistema, compuesto por el sistema operativo, los sistemas de administración de bases de datos, el software de telecomunicaciones, el software de seguridad y los utilitarios, los cuales operan el sistema y permiten que las aplicaciones funcionen.
3. Controles de seguridad de acceso. Estos controles pueden proteger el sistema de acceso inapropiado y de uso no autorizado.
4. Controles de desarrollo y mantenimiento de aplicaciones del sistema. De acuerdo con el tamaño y necesidades de las Entidades, estas pueden requerir desarrollar software para propósitos específicos, especialmente cuando éste no se consigue en el mercado. Estos controles proveen una estructura para diseñar e implementar sistemas, definiendo fases específicas, requerimientos de documentación, aprobaciones y chequeos para controlar el desarrollo o mantenimiento de proyectos. La metodología también sirve para controlar los cambios al sistema, lo cual puede implicar autorizaciones de cambio requeridas, revisión de los cambios, aprobaciones, prueba de resultados y protocolos de implementación, para asegurar que los cambios se hacen adecuadamente.
5.3.4.2 Controles de Aplicación
Los controles de aplicación están diseñados para las aplicaciones durante su utilización, ayudando a asegurar que el procesamiento sea completo y exacto y que las transacciones estén autorizadas y verificadas.
Debe prestarse atención particular a las interfases de aplicación, puesto que ellas a menudo están vinculadas con otros sistemas que a su vez necesitan control, para asegurar que todas las entradas se reciban y validen para procesamiento y todas las salidas sean correctas y se distribuyan apropiadamente.
La mayoría de controles de aplicación dependen de controles computarizados. Estos, se componen de formato, existencia, razonabilidad y otros chequeos sobre los datos que se incorporan en cada aplicación durante su desarrollo.
Los controles generales y los de aplicación están interrelacionados. Los controles generales respaldan el funcionamiento de los de aplicación y ambos son necesarios para asegurar que la información se procese en forma segura y completa. Si los controles generales son inadecuados, los controles de aplicación tienen un riesgo alto para su funcionamiento apropiado.
Debido a los rápidos cambios en la tecnología de información, los controles relativos deben evolucionar para no perder su eficacia. Los cambios en la tecnología y sus aplicaciones al comercio electrónico y la expansión del Internet cambiarán las actividades específicas de control que deban utilizarse y a la forma en que deben implantarse. Sin embargo, los requerimientos básicos de control no cambiarán. En la media en que aumenta el poder de los computadores se deberá colocar más responsabilidad por el procesamiento de los datos en manos de los usuarios finales y se deberán identificar los controles necesarios.
5.3.5 Control Físico sobre Activos Vulnerables
Deberán establecerse controles para proteger los activos vulnerables ello incluye seguridad para que haya acceso limitado a activos tales como efectivo y otras especies en caja, inversiones, inventarios y propiedad y equipo que pueda ser vulnerable al riesgo de pérdida o uso no autorizado. Tales activos deberán ser periódicamente contados y comparados contra los registros contables y otros registros de control si los hubiere.
5.3.6 Indicadores de Gestión
Se deberá implementar una metodología para el control de gestión, la cual se base en la utilización de indicadores de gestión. Mediante dichos indicadores se analizan comportamientos operativos o financieros, o se establecen relaciones entre ellos que contribuyen a medir el desempeño de un proceso, programa o proyecto. Mediante esta metodología se conocerá oportunamente e investigarán resultados inesperados o tendencias poco usuales, identificando las circunstancias en las que el desarrollo de los objetivos está en riesgo o no está siendo conseguido.
5.3.7 Segregación de Funciones Incompatibles
Las responsabilidades clave necesitan ser divididas o separadas entre diferentes personas para reducir el riesgo de error o irregularidad.
Esto debe incluir responsabilidades separadas para autorizar, procesar, registrar y revisar las transacciones, así como por el manejo de los activos relacionados. Ningún individuo debería controlar todos los aspectos clave de un evento o transacción.
5.3.8 Ejecución apropiada de las Transacciones
Las transacciones y otros eventos significativos deberán ser autorizados y ejecutados únicamente por personas habilitadas dentro del alcance de su autoridad. Esta es la manera principal de asegurar que solamente se han iniciado y tramitado transacciones válidas de intercambio, transferencia, utilización, compromiso sobre los recursos y otros eventos. Las autorizaciones deberán ser claramente comunicadas a todos los Servidores Públicos de la Entidad.
5.3.9 Seguridad y Oportunidad en el Registro de Transacciones y Eventos
Las transacciones deberán ser oportunamente registradas para que constituyan una herramienta de importancia para la Administración en el control de las operaciones y en la toma de decisiones.
Lo anterior aplica al proceso completo o ciclo de vida de una transacción o evento desde su iniciación o autorización hasta su clasificación final en los registros contables u otros registros. Adicionalmente, las actividades de control ayudan a asegurar que todas las transacciones están completas y correctamente registradas.
3.3.10 Restricciones de Acceso a los Recursos y Registros
El acceso a los recursos y registros deberá estar limitado a individuos autorizados y la responsabilidad por su custodia y utilización deberá ser asignada y mantenida.
Deberán hacerse comparaciones de los recursos con los registros contables para reducir el riesgo de errores e irregularidades, uso incorrecto o alteraciones no autorizadas.
5.3.11 Documentación apropiada de las Transacciones y del Control Interno
Todas las transacciones y eventos significativos y en cuanto sea posible las actividades de control, deberán ser claramente documentadas y la documentación deberá estar disponible rápidamente para ser examinada.
La documentación es establecida o proviene de las directivas y políticas de la Entidad o de los Manuales de Procedimientos y puede estar en papel o en forma electrónica. Toda la documentación y los registros deberán estar adecuadamente administrados y conservados. Debe tenerse en cuenta la utilización de flujo gramas para ilustrar tanto los procesos de operación como las actividades de control.
De esta forma se contribuye, a la comprensión y eficiencia en la ejecución de los procesos y el cumplimiento del control Las anteriores son una descripción general de una amplia variedad de actividades de control que pueden utilizar las Entidades. Ellas no deben tomarse como las únicas que pueda necesitar una Entidad. El CI debe ser flexible y diseñarse a la medida de cada Entidad de acuerdo con sus necesidades.
Dichas actividades pueden ser diferentes dependiendo de varios factores, entre ellos, el ambiente de riesgos, los objetivos, el juicio gerencial, el tamaño y complejidad de la Organización, la sensibilidad y el valor de los datos y los requerimientos de confiabilidad, disponibilidad y desempeño.
En el Apéndice I se encontrará una guía detallada de las Actividades de Control que como mínimo deberían diseñarse y ejecutarse en cada Sistema de Administración.
5.4 Normas Específicas de Información y Comunicación
El sistema de información produce documentos que contienen información operacional, financiera y relacionada con el cumplimiento, la cual hace posible operar y controlar la Entidad. Dicha información se relaciona no solamente con los datos generados internamente, sino también sobre sucesos, actividades y condiciones externas necesarios para la toma de decisiones. También debe darse una comunicación efectiva en un sentido amplio, que fluya en todas las direcciones de la Organización. Todo el personal debe recibir un mensaje claro por parte de la Máxima Autoridad y sus Ejecutivos respecto a que las actividades de control deben asumirse seriamente. El personal debe entender su propio papel en el CI, así como la relación de sus actividades individuales con las de los demás.
Para cumplir con esta Norma la Máxima Autoridad debe asegurarse que se disponga de un sistema de información integrado para el desarrollo correcto y oportuno de las operaciones y la rendición de cuenta mediante informes apropiados que permitan revelar la situación financiera, el desempeño, el cumplimiento de las Normas y otros asuntos al interior de la Entidad y cuando aplique para terceros interesados.
5.4 La Información
La información deberá planificarse de tal forma que se dispongan mecanismos para su calidad, seguridad, utilización y conservación.
1. La calidad se refiere al contenido apropiado, la oportunidad, la actualidad y la exactitud.
2. La seguridad se refiere a la importancia o prioridad, privacidad o confidencialidad, las cuales deberán ser analizadas, a fin de clasificar la información según su sensibilidad y los riesgos involucrados sí hay acceso indiscriminado tanto a la preparación, lectura, toma de decisiones y conservación.
3. La utilización se refiere a quienes prepararán y manejarán la información. El objetivo es lograr eficiencia en los recursos que se emplean para el proceso de información, evitando desperdicio y aprovechando al máximo el talento y experiencia de aquellos individuos que estén en condiciones obtener, relacionar los datos, interpretarlos y utilizar la información resultante para mejorar la calidad y oportunidad de las decisiones y por consiguiente el control interno relacionado.
4. La conservación se refiere a las medidas para proteger la información tanto del acceso no autorizado como de la influencia de las condiciones ambientales. En este campo deben integrarse los esfuerzos previstos en los planes de contingencias provenientes de las actividades de control para la información computarizada.
5.4.2 La Comunicación
La comunicación es inherente a los sistemas de información, los sistemas de información sirven como medio de comunicación al personal para que pueda cumplir sus responsabilidades de operación, información financiera y cumplimiento. Pero las comunicaciones también deben darse en un sentido amplio, relacionándose con las expectativas, las responsabilidades de los individuos y de los grupos y otros asuntos importantes.
Internamente además de recibir datos relevantes para desarrollar sus actividades, todo el personal, particularmente aquel que tiene responsabilidades importantes, debe recibir un mensaje claro de parte de la Máxima Autoridad respecto a la seriedad del Control Interno. En este caso, la claridad con la cual se comunique el mensaje es clave para la eficacia. El significado de la comunicación va más allá de la existencia de Manuales o instrucciones formales. La comunicación implica un ejercicio activo conducente a verificar o convalidar que los individuos han entendido sus responsabilidades, no están limitados para cumplirlas y están en condiciones de confirmar explícitamente tal situación.
Debe proveerse al personal de medios para comunicar información significativa hacia arriba, de tal manera que no se aíslen los distintos niveles de la Organización. Lo anterior supone una disposición abierta para escuchar y el suministro de apoyo y soluciones cuando sea necesario. A pesar de que la tecnología puede suministrar herramientas ágiles de comunicación como el intranet, no debe perderse de vista el uso racional de mecanismos de participación las reuniones de grupo primario y los comités con clara definición de propósitos y resultados.
También es necesario que se diseñen y ejecuten mecanismos de comunicación apropiada hacia el exterior. Mediante canales de comunicación abiertos, los usuarios, clientes, proveedores y otros pueden proporcionar datos de entrada altamente significativos que lleguen a influir positivamente en los objetivos de la organización. Con frecuencia dicha comunicación tiene relación con la manera cómo funciona el control interno y contribuye a su mejoramiento.
5.5 Normas Específicas de Monitoreo
Los SCI cambian con el tiempo. La manera como se aplican los controles tiene que evolucionar. Los controles pueden perder efectividad por la llegada de personal nuevo, disminución o variación del entrenamiento, capacitación, supervisión, presiones por metas, modificaciones en los recursos, la tecnología y otras variables. Además, las circunstancias para las cuales se diseñó el SCI pueden ir modificándose, a tal punto que el mismo deje de ser suficiente para anticiparse a los riesgos originados por nuevas condiciones. Debido a lo anterior, la Administración necesita determinar sobre una base de tiempo, si el SCI continúa vigente.
El monitoreo permite llegar a conclusiones sobre la vigencia del SCI. Este proceso implica la valoración por parte del personal apropiado, del diseño y la operación de los controles en una adecuada base de tiempo.
El monitoreo puede hacerse de dos maneras: mediante acciones durante el curso de las operaciones o mediante evaluaciones separadas. Los SCI usualmente se estructurarán para hacerse monitoreo a sí mismos durante su ejecución. A mayor grado de efectividad de este tipo de monitoreo se necesitan menos evaluaciones separadas. La frecuencia de las evaluaciones separadas, necesarias para que la Administración tenga una seguridad razonable es asunto del juicio de la Administración y no debe perjudicar las decisiones independientes por evaluar el sistema de los Auditores Internos y por supuesto de la CGR.
5.5.1 Monitoreo sobre la Marcha
Son múltiples las actividades que sirven para monitorear la efectividad del control interno en el curso ordinario de las operaciones. Incluyen actos regulares de administración y supervisión, comparaciones, conciliaciones y otras acciones rutinarias. Como mínimo deberán realizarse las siguientes actividades de monitoreo sobre la marcha:
1. Plan de conciliaciones entre reportes de operación, informes financieros y otros registros.
2. Supervisión periódica de la labor de los subordinados, incluyendo la verificación del cumplimiento de programas de operación.
3. Análisis y disposición de las observaciones provenientes de la iniciativa de los Servidores Públicos con responsabilidades por el control.
4. Obtención y disposición de las observaciones provenientes de informes recibidos de terceros en los cuales se identifiquen problemas de control.
5. Evaluación de resultados provenientes de recuentos rutinarios de activos comparados con registros y otra información.
6. Evaluación de resultados provenientes de Auditoría Interna en tiempo real (al momento de las operaciones), siempre que sea posible.
7. Seminarios de entrenamiento, sesiones de planeación y otras reuniones donde se traten asuntos de control.
8. Observaciones surgidas de la inducción, ejecución y actualización del Código de Conducta.
5.5.2 Monitoreo mediante evaluaciones separadas
Las evaluaciones separadas pueden presentarse en forma de auto evaluaciones o como revisiones del diseño y comprobación directa de los controles. Las evaluaciones separadas también pueden ser llevadas a cabo por miembros de la Administración en línea, Auditores Internos o la CGR. Para estos dos últimos ello forma parte de sus obligaciones de acuerdo con las NAGUN.
5.5.2.1 Monitoreo mediante evaluaciones separadas utilizando la Auditoría Interna Naturaleza y Objetivos de la Auditoría Interna
La Unidad de Auditoría Interna (UAI) es una instancia administrativa, asesora de la Máxima Autoridad y responsable por la evaluación independiente del diseño y funcionamiento del Control Interno. Dicha Unidad deberá organizarse y funcionar conforme a lo previsto en la Sección II de la Ley Orgánica de la CGR.
La UAI es parte integral del SCI de la Entidad y tendrá por objetivos específicos:
1. Establecer que el SCI cumple con los lineamientos de las NTCI, suministrando, cuando aplique, las sugerencias necesarias para que exista concordancia.
2. Confirmar el funcionamiento del SCI, verificando que las normas y componentes del Sistema en la práctica se cumplen, suministrando, cuando aplique, las sugerencias necesarias para que se tomen los correctivos relacionados con los incumplimientos identificados.
En el anterior sentido la UAI, si bien no reemplaza las responsabilidades de la Máxima Autoridad y sus Ejecutivos, sí contribuye a que el SCI no pierda vigencia y continúe en el tiempo cumpliendo sus objetivos.
Alcance de la Auditoría
Interna El alcance de Auditoría Interna debe incluir el examen y evaluación de lo adecuado y efectivo del SCI de la organización y la calidad del desempeño de las responsabilidades asignadas. El alcance del trabajo de la Auditoría Interna como especifica esta norma, incluye qué trabajo deberá ser realizado. La Auditores Internos obtienen y analizan información para formarse conclusiones y formular recomendaciones constructivas para el mejoramiento de la administración. La obtención de información se hace con un enfoque selectivo y rara vez extendido a la totalidad de operaciones, ya que ello haría la Auditoría Interna anti económica y por consiguiente se obtendría una relación negativa de beneficio-costo.
Debido a que el trabajo de auditoría consiste en examinar o evaluar menos de la totalidad de la información para proyectar una conclusión sobre el comportamiento de toda ella, no se debe considerar que dicho trabajo y sus conclusiones son infalibles y suficientes para sacar a la luz todos los posibles errores e irregularidades que hayan ocurrido en una Entidad.
En el anterior sentido, la Auditoría Interna debe entenderse como un esfuerzo de la Administración para verificar y mantener razonablemente la calidad del SCI.
El objetivo de la revisión de lo adecuado del SCI es determinar si el sistema establecido provee razonable seguridad de que los objetivos y metas de la organización serán alcanzados eficiente y económicamente.
El propósito de la revisión de la efectividad del SCI es determinar si los sistemas están funcionando como se espera que funcionen.
El propósito de la revisión de la calidad de ejecución es determinar si los objetivos y metas han sido alcanzados.
La Auditoría Interna deberá tener los siguientes alcances en relación con los objetivos del SCI:
1. Eficiencia y eficacia de las operaciones
a. Eficiencia
La Máxima Autoridad es responsable de establecer normas operacionales para medir el uso eficiente de los recursos de una actividad.
La Auditoría Interna evalúa la eficiencia con la cual son administrados los recursos públicos, para lo cual debe determinar sí:
1. Se han establecido normas operacionales para medir la eficiencia.
2. Las normas operacionales establecidas son entendibles y están siendo alcanzadas.
3. Las desviaciones de las normas operacionales son identificadas, analizadas y comunicadas a aquellos responsables de la acción correctiva.
4. Las acciones correctivas han sido tomadas.
Las auditorías relacionadas con el uso eficiente de los recursos deben identificar entre otras, condiciones tales como:
1. Subutilización de recursos.
2 Trabajo improductivo.
3. Procedimientos cuyos costos no son justificados.
4. Sobre o subempleo de personal.
a. Eficacia
La Máxima Autoridad es responsable de establecer objetivos o programas operacionales, desarrollar e implementar procedimientos de control y obtener los resultados programados.
La Auditoría Interna evalúa si los objetivos o programas son compatibles con los de la Entidad y si se cumplen. Para tal propósito debe:
1. Proveer asistencia a los Ejecutivos que estén desarrollando objetivos, metas y sistemas, al determinar si las suposiciones hechas son apropiadas, si están utilizando la información precisa, segura, actualizada y relevante y si se han incorporado controles adecuados en las operaciones o programas
2. Verificar que las operaciones o programas están siendo llevados a cabo como se planearon.
3. Establecer que los resultados de las operaciones o programas son consistentes con los objetivos y metas.
La evaluación de la eficiencia y eficacia está íntimamente relacionada con la protección de los activos de la Entidad o de terceros que puedan estar en su poder. Por consiguiente la Auditoría Interna debe:
1. Revisar las medidas utilizadas para proteger los activos de los diferentes tipos de riesgo tales como aquellos que resultan de robo, incendio, actividades impropias o ilegales y exposición al medio ambiente.
2. Verificar la existencia física y condición de los mismos.
2. Confiabilidad de la información
La Auditoría Interna debe determinar la confiabilidad e integridad de la información financiera y operacional y de los medios usados para identificar, medir, clasificar y reportar tal información. Sus evaluaciones contribuirán a la calidad y transparencia de la rendición de cuentas.
Los sistemas de información proveen datos para toma de decisiones, y para el control y cumplimiento de los requerimientos externos. Por lo tanto, la Auditoría Interna debe examinar los sistemas de información y en forma apropiada cerciorarse sí:
1. Los registros y reportes financieros y operacionales contienen información segura, confiable, oportuna, completa, benéfica y concordante con las disposiciones existentes para su preparación.
2. Los controles sobre los registros y reportes son adecuados y efectivos.
3. Cumplimiento de las leyes y regulaciones aplicables
La Máxima Autoridad es responsable por el establecimiento de Sistemas de Administración y Control a fin de asegurar el cumplimiento de requerimientos tales como políticas, procedimientos, leyes y regulaciones aplicables.
La Auditoría Interna es responsable por:
1. Determinar si los sistemas son adecuados en su diseño.
2. Revisar los sistemas establecidos para establecer el cumplimiento de las políticas, planes, procedimientos, leyes y regulaciones, que podrían tener un impacto significativo sobre las operaciones e informes y determinar si la organización está cumpliéndolas.
Las deficiencias encontradas durante el monitoreo sobre la marcha o a través de evaluaciones separadas deberán ser comunicadas a los individuos responsables por las áreas o procesos examinados y al nivel a que éstos reportan. Aquellos asuntos materiales deberán ser informados a la Máxima Autoridad.
El monitoreo debe incluir políticas y procedimientos para asegurar que los hallazgos de auditoría y otras revisiones son resueltos oportunamente, sin perjuicio de las funciones del Comité de Auditoría. La Máxima Autoridad o sus Ejecutivos deberán:
1. Evaluar oportunamente los hallazgos de auditoría y otras revisiones incluidos aquellas deficiencias y recomendaciones reportados por Auditores y otros que hayan evaluado las operaciones de las Entidades.
2. Determinar acciones apropiadas en respuesta a los hallazgos y recomendaciones mencionados.
3. Cumplir y hacer cumplir los programas o planes de corrección. En lo que corresponde a su competencia la Máxima Autoridad deberá evaluar el alcance y frecuencia del monitoreo del Control Interno, dejando constancia escrita de ello.
III. ASPECTOS ADMINISTRATIVOS
1. VERIFICACIÓN DE LA APLICACIÓN DE LAS NTCI
La aplicación de las NTCI, será verificada por la Unidad de Auditoría Interna de cada Entidad y por la CGR, en el ejercicio del control externo posterior, sin perjuicio de las gestiones que realizará la Oficina de Desarrollo Institucional del Control Interno (ODICI) con el propósito de facilitar el ajuste y actualización correspondiente de las NTCI.
2. TÉRMINO DE APLICACIÓN
Las Entidades comprendidas dentro del Ámbito, deberán ajustar sus Sistemas de Control Interno de conformidad con las Normas y otros requerimientos previstos en las NTCI, durante el período de un (1) año calendario, a partir de la vigencia de este Acuerdo.
El Consejo Superior de la CGR, podrá conceder plazos adicionales mediante disposición motivada sobre las razones para dicha ampliación.
3. CERTIFICACIONES
La Máxima Autoridad, deberá enviar a la CGR certificaciones sobre:
1. El grado de ajuste de su SCI, en concordancia con las NTCI, al terminar cada trimestre contado a partir de la vigencia de este Acuerdo y durante el período de ajuste mencionado en el numeral 2 anterior.
2. La concordancia del diseño de su SCI con las NTCI y el funcionamiento de acuerdo con los objetivos del Sistema. Dicha certificación será emitida con una periodicidad semestral, a partir del vencimiento del plazo para efectuar los ajustes.
3. La CGR proveerá reglamentos para la expedición de las certificaciones mencionadas en esta sección.
4.-DEROGACIÓN Y DISPOSICIÓN TRANSITORIA
Derogase, a partir de la fecha en que el presente Acuerdo entre en vigencia, el Acuerdo del quince de junio de mil novecientos noventa y cinco emitido por el Ingeniero Arturo Harding Lacayo, Contralor General de la República. Las presentes Normas Técnicas de Control Interno entrarán en vigencia a partir de su publicación en La Gaceta, Diario Oficial para implementarlas dentro del plazo de un año contenido en el número dos (Término de Aplicación) en que cada Institución deberá emitir su propio manual de normas técnicas y aplicarán transitoriamente mientras las emiten y hasta el vencimiento de este plazo las Normas Técnicas de Control Interno anteriores.
Dado en la ciudad de Managua, a los treinta días del mes de septiembre de dos mil cuatro. Lic. Juan A. Gutiérrez Herrera, Presidente del Consejo Superior - Dr. José Pasos Marciacq, Vicepresidente del Consejo Superior, Lic. Francisco Ramírez Torres, Miembro Propietario del Consejo Superior, Dr. Guillermo Argüello Poessy, Miembro Propietario del Consejo Superior, Lic. Luis Ángel Montenegro Espinoza, Miembro Propietario del Consejo Superior.