MANUAL ESPECIAL EN MATERIA DE CONTROL INTERNO Y ADMINISTRACIÓN DE RIESGOS.

Transcripción

1 DIRECCIÓN DE PLANEACIÓN DEPARTAMENTO DE DESARROLLO ORGANIZACIONAL MANUAL ESPECIAL EN MATERIA DE CONTROL INTERNO Y ADMINISTRACIÓN DE RIESGOS. ENERO 2016 Este Manual contiene información PÚBLICA y está integrado por: Carátula Hoja de Validación, en la que firman las áreas involucradas en su elaboración, revisión y autorización. Índice Hojas numeradas de las páginas 1-36 () Todas las hojas se encuentran selladas por la unidad resguardante con la leyenda VIGENTE

2

3 ÍNDICE MANUAL ESPECIAL EN MATERIA DE CONTROL INTERNO Y ADMINISTRACIÓN DE RIESGOS CLAVE: I. INTRODUCCIÓN 1 II. ÁMBITO DE APLICACIÓN 2 PAG. III. CAPÍTULO I Control Interno 2 Objetivos del Control Interno 2 Políticas de Operación 3 Procedimiento para Control Interno 6 Flujograma 9 IV. CAPÍTULO II Administración de Riesgos 12 Objetivo de la Administración de Riesgos 12 Materiales 12 Políticas de Operación 14 Procedimiento para la Administración de Riesgos 23 Flujograma 26 V. CAPÍTULO III Riesgos de Corrupción 29 Procedimiento para la Administración de Riesgos de Corrupción 29 PARA SER LLENADO ÚNICAMENTE POR LA DIRECCIÓN DEL ÁREA EMISORA Fecha de Revisión/Aprobación Fecha de Emisión Ubicación del archivo Enero 2016 Enero 2016 U: MANUAL ESPECIAL

4 ÍNDICE MANUAL ESPECIAL EN MATERIA DE CONTROL INTERNO Y ADMINISTRACIÓN DE RIESGOS CLAVE: PAG. Objetivo de la Administración de Riesgos de Corrupción Políticas de Operación 30 Controles Internos para Mitigar los Riesgos 30 Pasos para la Administración de Riesgos de 32 Corrupción Política de Respuesta al Riesgo 34 Informe sobre los Riesgos Detectados VI. GLOSARIO 35 PARA SER LLENADO ÚNICAMENTE POR LA DIRECCIÓN DEL ÁREA EMISORA Fecha de Revisión/Aprobación Fecha de Emisión Ubicación del archivo Enero 2016 Enero 2016 U: MANUAL ESPECIAL

5 INTRODUCCIÓN El 12 de julio de 2010 fue publicado en el Diario Oficial de la Federación el Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno y se expide el Manual Administrativo de Aplicación General en Materia de Control Interno, el cual tiene por objetivo dictar las disposiciones que las Dependencias y Entidades Paraestatales de la Administración Pública Federal deberán observar para la reducción y simplificación de la regulación administrativa en materia de Control Interno, con la finalidad de aprovechar y aplicar de manera eficiente los recursos y los procedimientos técnicos con que cuentan las instituciones. Por otra parte, el Manual Administrativo establece las etapas mínimas de la Administración de Riesgos, en las cuales se fijan el contexto, comunicación y consulta, evaluación, tratamiento y monitoreo de los riesgos asociados con una actividad, función o proceso de una forma que permita a las instituciones identificar oportunidades y evitar o mitigar pérdidas. En este Acuerdo se define al Sistema de Control Interno Institucional como el conjunto de procesos, mecanismos y elementos organizados y relacionados que interactúan entre sí y que se aplican de manera específica por una Institución a nivel de planeación, organización, ejecución, dirección, información y seguimiento de sus procesos de gestión, para dar certidumbre a la toma de decisiones y conducirla con una seguridad razonable al logro de sus objetivos y metas en un ambiente ético, de calidad, mejora continua, eficiencia y de cumplimiento de la ley. Es importante señalar que la Administración de Riesgos, es parte integrante de este Sistema. Derivado de lo anteriormente expuesto, es necesario contar con un Manual Especial que oriente a los y las Titulares de las áreas que integran Centros de Integración Juvenil, A. C. sobre las acciones a realizar para mantener un Sistema de Control Interno Institucional que apoye de una manera efectiva al logro de los objetivos y metas institucionales. Este Manual se actualizó con base en la última reforma del citado Acuerdo, publicado el 2 de mayo de En palabras del Lic. Ricardo Gutiérrez Calderón, Director General de Auditoría y Evaluación a los Sistemas de Control Interno de la Auditoría Superior de la Federación: EL CONTROL INTERNO ES ORDEN Y DISCIPLINA 1 de 36

6 ÁMBITO DE APLICACIÓN Dirección General, áreas que integran la Dirección General Adjunta Operativa y de Patronatos, Dirección General Adjunta Normativa, Dirección General Adjunta Administrativa y Dirección de Planeación de Centros de Integración Juvenil, A. C. Capítulo I Control Interno Objetivos del Control Interno: el Control Interno tiene por objeto proporcionar una seguridad razonable en el logro de objetivos y metas, dentro de las siguientes categorías: I. Eficacia, eficiencia y economía de las operaciones, programas y proyectos; II. Confiabilidad, veracidad y oportunidad de la información financiera, presupuestaria y de operación; III. Cumplimiento del marco jurídico aplicable a las Instituciones, y IV. Salvaguardar, preservar y mantener los recursos públicos en condiciones de integridad, transparencia y disponibilidad para los fines a que estén destinados. 2 de 36

7 POLÍTICAS DE OPERACIÓN: 1. El Coordinador de Control Interno en colaboración con el Enlace del Sistema de Control Interno Institucional, elaborarán el Programa de Trabajo de Control Interno (PTCI) de Centros de Integración Juvenil, A. C., en donde se plasmarán las acciones de mejora comprometidas por las áreas participantes en los procesos sustantivos y adjetivos de la Institución. 2. La Dirección de Planeación, a través del Departamento de Desarrollo Organizacional, dará seguimiento a las acciones de mejora comprometidas en el Programa de Trabajo de Control Interno y presentará en forma trimestral a la Comisión de Vigilancia y a la Junta de Gobierno los avances realizados por las áreas de la Institución que participan en el citado Programa. 3. Las áreas normativas y administrativas de la Institución deberán realizar la evaluación permanente de la información contenida en sus Manuales de Organización y Procedimientos, a fin de actualizar su contenido en caso necesario, notificando a la Dirección de Planeación para que el Departamento de Desarrollo Organizacional lleve a cabo la actualización, formalización y difusión de las modificaciones realizadas a los Manuales. 4. Las evaluaciones a los Manuales de Organización y Procedimientos deberán realizarse a fin de corroborar que las funciones, objetivos, políticas y procedimientos ahí plasmados están orientados hacia el logro de los objetivos y metas institucionales, detectando y corrigiendo las desviaciones que pudieran presentarse. 5. Será responsabilidad de las áreas que participan en el PTCI, la realización en tiempo y forma de las acciones de mejora comprometidas, así como de informar al Enlace del Sistema de Control Interno Institucional, cualquier problemática presentada en su realización, a fin de buscar las medidas correctivas pertinentes. 6. El Enlace del Sistema de Control Interno Institucional, deberá informar al Coordinador de Control Interno, sobre las problemáticas presentadas por los titulares de las áreas que comprometieron acciones de mejora en el PTCI, a fin de buscar las mejores alternativas de solución, favoreciendo el logro de los objetivos institucionales, a través de un control interno efectivo. 3 de 36

8 7. Los Titulares de las áreas responsables de los procesos sustantivos y adjetivos que defina la Institución, participarán anualmente en la Autoevaluación del Sistema de Control Interno Institucional, que envía la Secretaría de la Función Pública, a fin de mantener una gestión eficaz y responsable, sustentada en principios de transparencia y rendición de cuentas. 8. Los titulares de las áreas que participan en el PTCI deberán realizar por lo menos una vez al año, la autoevaluación del control interno implementado en sus áreas de trabajo, notificando cualquier problemática al Enlace del Sistema de Control Interno Institucional. 9. La metodología para llevar a cabo la autoevaluación del control interno en cada área de trabajo es la siguiente: Detectar todas aquellas herramientas que fortalezcan el control interno, tales como: Manuales de Organización, Manuales de Procedimientos, Comités Institucionales, Sistemas, Informes, Reportes, Bitácoras, Minutas, Formatos, y cualquier otro instrumento que permita contar con los elementos para el óptimo desempeño del área y para la adecuada toma de decisiones. Analizar por lo menos una vez al año, la efectividad de cada herramienta, a fin de evaluar la pertinencia de su uso. Llevar a cabo la revisión periódica de estas herramientas, a fin de mantenerlas actualizadas para que respondan a las necesidades propias de la operación de cada área. 10. El Enlace de Control Interno Institucional, será el encargado de enviar el informe anual del estado que guarda el Control Interno Institucional, al Secretario de la Función Pública con copia al Titular del OIC, en la fecha que establezca en el Acuerdo. 11. El Enlace de Control Interno Institucional, presentará el Informe Anual del Estado que guarda el Control Interno Institucional a la Comisión de Vigilancia y a la Junta de Gobierno en la sesión ordinaria que establezca el Acuerdo. 12. Los titulares de las áreas deberán reportar al Enlace del Sistema de Control Interno Institucional, los avances solicitados al PTCI vigente, los aspectos relevantes que pudieran presentarse como resultado de las autoevaluaciones de control interno. 4 de 36

9 13. El Enlace de Control Interno Institucional, será el encargado de difundir a los participantes en actividades de control interno (personal de oficinas centrales, y en su caso, de las Unidades Operativas distribuidas a nivel nacional), la información necesaria para atender los compromisos establecidos por la Institución. 14. El Enlace del Sistema de Control Interno Institucional presentará en forma trimestral ante la Comisión de Vigilancia y Junta de Gobierno los avances del PTCI. 15. Los Titulares de las áreas participarán en la elaboración del PTCI de Centros de Integración Juvenil, A. C., el cual incluirá los objetivos y metas institucionales, el cual se presentará ante la Junta de Gobierno para su autorización. 16. Será responsabilidad de los titulares de las áreas, que los informes que se presentan en forma trimestral a la Comisión de Vigilancia y Junta de Gobierno, den a conocer de forma clara, oportuna y confiable los avances logrados con respecto a los objetivos y metas programadas en el PTCI de Centros de Integración Juvenil, A. C. vigente. 17. Los titulares de las áreas deberán consultar en forma permanente la normatividad propia de su función (Leyes, Reglamentos, Códigos, Manuales Administrativos de Aplicación General, etc.) publicados en el Diario Oficial de la Federación y en la Normateca Federal, a fin de que las actividades realizadas se desarrollen dentro del marco normativo aplicable a la Administración Pública Federal. 18. El Enlace de Control Interno, difundirá la información en materia de Control Interno al personal de Mando de la Institución de Oficinas Centrales y Unidades Operativas de zona metropolitana y foránea, a fin de crear una cultura organizacional en estos temas. 5 de 36

10 RESPONSABLE PROCEDIMIENTO PARA CONTROL INTERNO DESCRIPCION MATERIALES Y/O ANEXOS Titular de la Institución 1. Designa por escrito al Coordinador de Control Interno. Oficio de designación Coordinador/a de Control Interno Enlace del Sistema de Control Interno Institucional 2. Recibe oficio de designación. Designa por escrito al Enlace de Control Interno. Acuerda con el Titular de la Institución las acciones para la instrumentación del Sistema de Control Interno Institucional, en términos de las disposiciones, y solicita al Enlace, la aplicación de la Encuesta. 3. Recibe oficio de designación y, una vez que la SFP puso a disposición la encuesta, inicia la autoevaluación anual, solicitando su aplicación a los servidores públicos responsables por nivel de Control Interno (estratégico, directivo y operativo). Oficio de designación Responsable por nivel de Control Interno Enlace del Sistema de Control Interno Institucional Coordinador/a de Control Interno 4. Recibe requerimiento, contesta encuestas de autoevaluación en la plataforma establecida por la SFP y envía acuse de confirmación emitido por la plataforma al Enlace del Sistema de Control Interno Institucional. 5. Recibe encuestas de autoevaluación consolidadas por niveles de Control Interno (estratégico, directivo y operativo) por parte de la SFP. 6. Elabora propuesta de Informe Anual, encuestas consolidadas y PTCI. Envía al Coordinador de Control Interno para revisión. 7. Recibe propuesta de Informe Anual, las encuestas consolidadas y el PTCI y revisa con el Enlace del Sistema de Control Interno. Encuesta de autoevaluación Acuse Encuesta de autoevaluación Propuesta de Informe Anual Encuestas PTCI Propuesta de Informe Anual Encuestas PTCI 6 de 36

11 RESPONSABLE PROCEDIMIENTO PARA CONTROL INTERNO DESCRIPCION MATERIALES Y/O ANEXOS Coordinador de Control Interno y Enlace del Sistema de Control Interno Institucional 8. Analizan y seleccionan con base en las Encuestas Consolidadas, las áreas de oportunidad y acuerdan acciones de mejora a comprometer en la actualización del PTCI, y envía al Titular para su aprobación. Propuesta de Informe Anual Titular de la Institución Titular del OIC Titular de la Institución Coordinador de Control Interno y Enlace del Sistema de Control Interno Institucional 9. Aprueba el Informe Anual, encuestas consolidadas PTCI. 10. Presenta al Secretario de la Función Pública, al titular del OIC y a la Junta de Gobierno el Informe Anual, Encuestas Consolidas y PTCI. 11. Conoce el Informe Anual, las Encuestas Consolidadas y el PTCI, y realiza la evaluación de los mismos. 12. Elabora y remite el Informe de Resultados de la Evaluación al Informe al Titular de la Institución. 13. Recibe Informe de Resultados de la Evaluación, los valora y, en su caso, instruye la actualización del PTCI. 14. Reciben instrucción, en su caso, actualizan el PTCI e instruyen su implementación. Informe Anual Informe Anual Informe de Resultados de la Evaluación Oficio con Informe de Resultados de la Evaluación Informe de Resultados de la Evaluación Propuesta de PTCI actualizado 7 de 36

12 RESPONSABLE PROCEDIMIENTO PARA CONTROL INTERNO DESCRIPCION MATERIALES Y/O ANEXOS Coordinador de Control Interno y Enlace del Sistema de Control Interno Institucional 15. Efectúa el seguimiento, y se reporta el Avance Trimestral del PTCI al Titular de la Institución para su aprobación. Reporte Trimestral PTCI Titular de la Institución Titular del OIC 16. Aprueba el Reporte de Avance Trimestral del PTCI y el resultado de las acciones implementadas y efectúa su verificación. 17. Conoce el Reporte de Avance Trimestral del PTCI y resultados de las acciones implementadas y efectúa su verificación. 18. Presenta al Titular de la Institución y a la Junta de Gobierno el informe de verificación al Reporte de Avances Trimestral. 19. Termina procedimiento. Reporte Trimestral PTCI Informe de verificación al Reporte de Avances Trimestral. Informe de verificación al Reporte de Avances Trimestral. 8 de 36

13 MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN PARA EL SISTEMA DE CONTROL INTERNO INSTITUCIONAL PROCEDIMIENTO PARA CONTROL INTERNO Enlace del Sistema de Control Interno Titular de la Institución Coordinador/a de Control Interno Responsable de Control Interno Institucional Coordinador de Control Interno y Enlace del Sistema de Control Interno Institucional Titular del OIC Inicia Designa por escrito al Coordinador de Control Interno. 1 Recibe oficio de designación. Designa por escrito a los Enlaces de cada uno de los procesos. Acuerda con el Titular de la Institución las acciones para la instrumentación del Sistema de Control Interno Institucional, en términos de las disposiciones, y solicita al Enlace del Sistema de Control Interno Institucional la aplicación de la Encuesta. 2 Recibe oficio de designación y, una vez que la SFP puso a disposición la encuesta, inicia la autoevaluación anual, solicitando su aplicación a los servidores públicos responsables por nivel de Control Interno (estratégico, directivo y operativo). 3 Recibe requerimiento, aplica encuestas de autoevaluación y las envía al Enlace del Sistema de Control Interno Institucional. 4 Oficio Oficio Oficio Encuesta 5 Recibe encuestas de autoevaluación consolidadas por niveles de Control Interno (estratégico, directivo y operativo) por parte de la SFP. Encuesta 7 6 Recibe propuesta de Informe Anual, las encuestas consolidadas y el PTCI y revisa con el Enlace del Sistema de Control Interno. Elabora propuesta de Informe Anual, encuestas consolidadas y PTCI. Envía al Coordinador de Control Interno para revisión. Prop. Informe Encuesta PTCI Prop. Informe Encuesta PTCI Analizan y seleccionan con base en las Encuestas Consolidadas, las áreas de oportunidad y acuerdan acciones de mejora a comprometer en la actualización del PTCI, y envía al Titular para su aprobación. 8 Prop. Informe A 9 de 36

14 MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN PARA EL SISTEMA DE CONTROL INTERNO INSTITUCIONAL PROCEDIMIENTO PARA CONTROL INTERNO Enlace del Sistema de Control Interno Titular de la Institución Coordinador/a de Control Interno Responsable de Control Interno Institucional Coordinador de Control Interno y Enlace del Sistema de Control Interno Institucional Titular del OIC A 9 Aprueba el Informe Anual, encuestas consolidadas PTCI. Informe Anual Presenta al Secretario de la Función Pública, al titular del OIC y a la Junta de Gobierno el Informe Anual, Encuestas Consolidas y PTCI. Conoce el Informe Anual, las Encuestas Consolidadas y el PTCI, y realiza la evaluación de los mismos. Informe Anual Informe Resul Recibe Informe de Resultados de la Evaluación, los valora y, en su caso, instruye la actualización del PTCI. Elabora y remite el Informe de Resultados de la Evaluación al Informe al Titular de la Institución. 14 Informe Resul. Informe Resul. Reciben instrucción, en su caso, actualizan el PTCI e instruyen su implementación. Prop. PTCI B 10 de 36

15 MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN PARA EL SISTEMA DE CONTROL INTERNO INSTITUCIONAL PROCEDIMIENTO PARA CONTROL INTERNO Enlace del Sistema de Control Interno Titular de la Institución Coordinador/a de Control Interno Responsable de Control Interno Institucional Coordinador de Control Interno y Enlace del Sistema de Control Interno Institucional Titular del OIC B Aprueba el Reporte de Avance Trimestral del PTCI y el resultado de las acciones implementadas y efectúa su verificación. Efectúa el seguimiento, y se reporta el Avance Trimestral del PTCI al Titular de la Institución para su aprobación. Reporte Trim. Reporte Trim. 17 Conoce el Reporte de Avance Trimestral del PTCI y resultados de las acciones implementadas y efectúa su verificación. Informe 18 Presenta al Titular de la Institución y a la Junta de Gobierno el informe de verificación al Reporte de Avances Trimestral. Informe Termina 11 de 36

16 Capítulo II Administración de Riesgos Procedimiento para la Administración de Riesgos Institucionales Objetivo de la Administración de Riesgos Establecer las etapas mínimas que observarán las áreas operativas, normativas y administrativas de Centros de Integración Juvenil, A. C., para identificar, evaluar, jerarquizar, controlar y dar seguimiento a sus riesgos, a efecto de asegurar en forma razonable el logro de los objetivos y metas institucionales. MATERIALES Formato de Matriz de Riesgos Institucional. Mapa de Administración de Riesgos Institucional. Programa de Trabajo de Administración de Riesgos (PTAR) Institucional. Reporte de Avances de las Acciones del PTAR Institucional Trimestral. Reporte Anual del comportamiento de los Riesgos. 12 de 36

17 La Administración de Riesgos se lleva a cabo mediante el diseño de un programa destinado para tal objetivo, el cual, debe contener los procedimientos y formas de identificar, evaluar y analizar, responder, controlar, supervisar y comunicar los riesgos institucionales. Para implantar un programa de Administración de Riesgos exitoso, se necesita involucrar a todos los niveles de la Institución, con el objetivo de identificar los riesgos que podrían afectar potencialmente los logros y proporcionar una seguridad razonable del cumplimiento de los objetivos estratégicos. 13 de 36

18 Los objetivos estratégicos requieren la implementación de controles generales que deben observarse para todos los miembros que intervengan en los procesos, es necesario identificar, evaluar, analizar, responder, controlar, supervisar y comunicar los riesgos que amenazan el logro de los objetivos. El diseño, implantación y mediación de la eficacia de los controles a nivel proceso, es el siguiente paso para dar respuesta a los riesgos identificados. Es importante señalar que esta actividad es responsabilidad principal de los dueños de los procesos. POLÍTICAS DE OPERACIÓN. 1. El Coordinador de Control Interno supervisará el proceso de Administración de Riesgos y será el canal de comunicación e interacción con el Titular de la Institución y el Enlace designado. 2 Los Titulares de las áreas que participen en el PTAR, serán responsables de dar seguimiento en tiempo y forma a las estrategias y actividades establecidas en el Programa, así como de informar al Enlace de Administración de Riesgos, cualquier problemática presentada en su realización, a fin de buscar las medidas correctivas pertinentes. 3 El Enlace de Administración de Riesgos, presentará en forma anual ante la Comisión de Vigilancia y la Junta de Gobierno el PTAR Institucional, Matriz de Administración de Riesgos Institucional, Mapa de Riesgos Institucional y el Reporte Anual del comportamiento de los Riesgos. 4 El Enlace de Administración de Riesgos, presentará en forma trimestral ante la Comisión de Vigilancia y la Junta de Gobierno el avance del PTAR Institucional. 5 El Enlace de Administración de Riesgos, difundirá la información en materia de Administración de Riesgos al personal de mando de la Institución de Oficinas Centrales y Unidades Operativas de zona metropolitana y foránea, a fin de crear una cultura organizacional en estos temas. 6 Los titulares de las áreas que participan en los procesos de Administración de Riesgos, informarán a los mandos superiores sobre los factores de riesgo detectados en los procesos a su cargo y las acciones de control aplicables, así como su seguimiento, para evitar la materialización del riesgo. 14 de 36

19 7 Los responsables de cada uno de los procesos deberán informar a sus superiores sobre los posibles riesgos que se puedan presentar en el desempeño de sus funciones, incluyendo los de corrupción, abusos y fraudes potenciales en las operaciones que puedan afectar los procesos a su cargo. 8 Los titulares de las áreas responsables de los procesos sustantivos y adjetivos, deberán identificar los riesgos potenciales que impidan el logro de metas y objetivos institucionales, incluirlos dentro del PTAR, valorarlos e incorporarlos en la Matriz de Riesgos establecida por la Secretaría de la Función Pública. 9 Los titulares de las áreas participantes en el PTAR, definirán las estrategias y actividades a realizar, dándole seguimiento dentro de la periodicidad establecida y soportándola con los medios de verificación correspondientes. 10 El Enlace de Administración de Riesgos Institucional, a través del Departamento de Evaluación, solicitará a los diferentes responsables del logro de los objetivos estratégicos, incorporen en sus informes, el surgimiento de nuevos riesgos, derivados de la modificación de las condiciones internas o externas, que puedan impactar a los objetivos y metas institucionales. 11 La Dirección de Planeación, a través del Departamento de Evaluación, solicitará mensualmente a las Unidades Operativas que conforman Centros de Integración Juvenil, A. C. (CIJ, UH y UTHU), que incorporen su información estadística (acciones y coberturas) en el Sistema Integral de Información (SIIE), dentro de los tres primeros días siguientes a la fecha de corte, a fin de que mediante el Sistema se generen los reportes de los diferentes indicadores, mismos que se envían a las áreas sustantivas para que definan las acciones conducentes de acuerdo a los resultados obtenidos. Lo anterior, a fin de que los mandos medios cuenten con información que les permita detectar factores de riesgo que impidan el logro de los objetivos y metas institucionales. 12 De acuerdo a las fechas establecidas por los Órganos Concentradores: Comisión Coordinadora de Institutos Nacionales de Salud y Hospitales de Alta Especialidad (CCINSHAE), CENADIC y Secretaría Salud, se incorporan en los portales o vía correo electrónico, los resultados y explicaciones conducentes de indicadores para que los incorporen dentro del ámbito de su competencia y de esta manera se cuente con información suficiente para la adecuada toma de decisiones, para el cumplimiento de metas y objetivos. 15 de 36

20 13 Se identificarán los riesgos de corrupción, abusos y fraudes, que impidan el cumplimiento de las metas y objetivos de la Institución, mediante la actualización, supervisión y seguimiento de las actividades realizadas en cada uno de los procesos y que se encuentran plasmadas en los Manuales de Procedimientos, Manuales Especiales y Guías Técnicas, Código de Ética y de Conducta y su difusión. 14 Se identificaran los riesgos de corrupción, abusos y fraudes que puedan afectar el logro de metas y objetivos, mediante la aplicación de encuestas de satisfacción y calidad a los usuarios de los servicios prestados por la Institución. 15 El Enlace de Administración de Riesgos, difundirá mediante circular el Manual Especial en Materia de Control Interno y Administración de Riesgos, una vez una vez que haya sido formalizado y publicado en la Intranet. 16 En el caso de detectarse nuevos riesgos, las áreas operativas, normativas y administrativas que intervienen en los procesos, deberán observar las etapas mínimas de la Administración de Riesgos en el siguiente orden, registrándolas anualmente en la Matriz de Administración de Riesgos Institucional: I. COMUNICACIÓN Y CONSULTA. a) Identificar y definir tanto los objetivos y metas de la institución como los actores directamente involucrados en el proceso de Administración de Riesgos, y b) Definir las bases y criterios que se deberán considerar para la identificación de las causas y efectos de los riesgos, así como las acciones que se adopten para su tratamiento. Lo anterior debe tener como propósito: 1. Establecer un contexto apropiado; 2. Asegurar que los objetivos y metas de la Institución sean comprendidos y considerados por los responsables de instrumentar el proceso de administración de riesgos; 16 de 36

21 3. Asegurar que los riesgos sean identificados correctamente, y 4. Constituir un grupo de trabajo en donde estén representadas todas las áreas sustantivas de la institución para el adecuado análisis de los riesgos. II. CONTEXTO. a) Describir el entorno externo social, político, legal, financiero, tecnológico, económico, ambiental y de competitividad, según sea el caso, de la institución, a nivel internacional, nacional y/o regional, y b) Describir las situaciones intrínsecas a la institución relacionadas con su estructura, atribuciones, procesos, objetivos y estrategias, recursos humanos, materiales y financieros, así como su capacidad tecnológica, bajo las cuales se pueden identificar sus fortalezas y debilidades para responder a los riesgos que sean identificados. III. EVALUACIÓN DE RIESGOS. a) Identificación, selección y descripción de riesgos: Se realizará con base en los objetivos y metas institucionales, lo cual constituirá el inventario de Riesgos institucional. En la descripción de los Riesgos, se deberá considerar la siguiente estructura general: verbo en participio y, adjetivo o adverbio o complemento circunstancial negativo. b) Clasificación de los riesgos: Se realizará en congruencia con la descripción del riesgo que se determine, de acuerdo a la naturaleza de Institución. c) Identificación de factores de riesgo: Se describirán los factores que puedan contribuir a la materialización de un Riesgo, considerándose como parte de los insumos las causas que den origen, entre otros, a las observaciones determinadas recurrentemente por las instancias de fiscalización. d) Identificación de los posibles efectos de los riesgos: Se describirán los impactos; 17 de 36

22 e) Valoración del grado de impacto antes de la evaluación de controles: La asignación se determinará con una escala de valor del 0 al 10 y en función de los efectos. La Institución establecerá un criterio específico para cada escala de valor, y f) Valoración de la probabilidad de ocurrencia antes de la evaluación de controles: La asignación se determinará con una escala de valor del 0 al 10, y en función de los factores de riesgo. La Institución establecerá un criterio específico para cada escala de valor, considerando la frecuencia con la que se ha materializado el riesgo en el pasado. g) La valoración del grado de impacto y de la probabilidad de ocurrencia antes de la evaluación de controles: se determinará sin considerar los controles existentes para administrar los riesgos, a fin de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no atenderlos adecuadamente. Para la valoración del impacto y de la probabilidad de ocurrencia antes y después de la evaluación de controles, el Titular de la Institución podrá utilizar metodologías, modelos y/o teorías basados en cálculos matemáticos, tales como puntajes ponderados, cálculos de preferencias, proceso de jerarquía analítica y modelos probabilísticos, entre otros. IV. EVALUACION DE CONTROLES. Se realizará conforme a lo siguiente: a) Comprobar la existencia o no de controles para los factores de riesgo y, en su caso, para sus efectos; b) Describir los controles existentes para administrar los factores de riesgo y, en su caso, para sus efectos; c) Determinar el tipo de control: preventivo, correctivo y/o detectivo; d) Identificar en los controles lo siguiente: 1. Deficiencia: cuando no reúna alguna de las siguientes condiciones: que esté documentado, autorizado, operando con evidencias de cumplimiento y es efectivo, y 2. Suficiencia: cuando esté documentado, autorizado, operando con evidencias de cumplimiento y es efectivo, y 18 de 36

23 e) Determinar si el riesgo está controlado suficientemente, cuando al menos todos sus factores cuentan con controles suficientes. V. VALORACION FINAL DE RIESGOS RESPECTO A CONTROLES. Se realizará conforme a lo siguiente: a) Se dará valor final al impacto y probabilidad de ocurrencia del riesgo con la confronta de los resultados de las etapas de evaluación de riesgos y de controles, y b) La Institución establecerá los criterios necesarios para determinar la valoración final del impacto y probabilidad de ocurrencia del riesgo, así como su ubicación en el cuadrante correspondiente del Mapa de Riesgos Institucional, a partir de la suficiencia, deficiencia o inexistencia de los controles. Para lo anterior, se podrán considerar los criterios siguientes: 1. Los controles son suficientes.- La valoración del riesgo pasa a una escala inferior. El desplazamiento depende de si el control incide en el impacto y/o la probabilidad; 2. Los controles son deficientes.- Se mantiene el resultado de la valoración del riesgo antes de controles, y 3. Inexistencia de controles.- Se mantiene el resultado de la valoración del riesgo antes de controles. VI. MAPA DE RIESGOS INSTITUCIONAL. a) Elaboración del Mapa de Riesgos Institucional. Los riesgos se ubicarán por cuadrantes en la Matriz de Administración de Riesgos Institucional y se graficarán en el Mapa de Riesgos, en función de la valoración final del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje vertical. La representación gráfica del Mapa de Riesgos Institucional deberá contener los cuadrantes siguientes: 19 de 36

24 Cuadrante I. Riesgos de Atención Inmediata.- Son críticos por su alta probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor mayor a 5 y hasta 10 de ambos ejes; Cuadrante II. Riesgos de Atención Periódica.- Tienen alta probabilidad de ocurrencia ubicada en la escala de valor mayor a 5 y hasta 10 y bajo grado de impacto de 0 y hasta 5; Cuadrante III. Riesgos Controlados.- Son de baja probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor de 0 y hasta 5 de ambos ejes, y Cuadrante IV. Riesgos de Seguimiento.- Tienen baja probabilidad de ocurrencia con valor de 0 y hasta 5 y alto grado de impacto mayor a 5 y hasta 10. VII DEFINICION DE ESTRATEGIAS Y ACCIONES PARA LA ADMINISTRACION DE RIESGOS. a) Las estrategias constituirán las opciones para administrar los riesgos, basados en su valoración respecto a controles, permitirá determinar las acciones de control a implementar por factor. Algunas de las estrategias que pueden considerarse independientemente, interrelacionadas o en su conjunto, son las siguientes: 1. Evitar el riesgo.- Se aplica antes de asumir cualquier riesgo. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejora, rediseño o eliminación, resultado de controles suficientes y acciones emprendidas; 2. Reducir el riesgo.- Se aplica preferentemente antes de optar por otras medidas más costosas y difíciles. Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia (acciones de prevención) y el impacto (acciones de contingencia), tales como la optimización de los procedimientos y la implementación de controles; 3. Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en el cuadrante III, y puede aceptarse sin necesidad de tomar otras medidas de control diferentes a las que se poseen, o cuando no se tiene opción para abatirlo y sólo pueden establecer acciones de contingencia, y 20 de 36

25 4. Transferir o compartir el riesgo.- Implica la administración del riesgo con un tercero que tenga la experiencia y especialización necesaria para asumirlo, y b) Las acciones de control para administrar los Riesgos se definirán a partir de las estrategias determinadas para los factores de Riesgo, las cuales se incorporarán en el PTAR institucional. Seguimiento de Estrategias y Acciones Para la implementación y seguimiento de las estrategias y acciones, se elaborará el PTAR Institucional, debidamente firmado por el Titular de la Institución, el Coordinador de Control Interno y el Enlace de Administración de Riesgos, el cual podrá realizarse con base en el formato e instructivo que se encuentran disponibles en el portal de la Normateca Federal e incluirá: a) Los riesgos; b) Los factores de riesgo; c) Las estrategias para administrar los riesgos, y d) Las acciones de control registradas en la Matriz de Administración de Riesgos Institucional, las cuales deberán identificar: 1. Unidad administrativa 2. Valores numéricos del impacto y probabilidad de ocurrencia y cuadrante de ubicación del riesgo; 3. Responsable de su implementación; 4. Las fechas de inicio y término, y 5. Medios de verificación. El Reporte de Avances Trimestral del PTAR contendrá al menos lo siguiente: I. Resumen de acciones comprometidas, cumplidas y en proceso, así como sus porcentajes de avance; II. Descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones en proceso y propuestas de solución para consideración de la Junta de Gobierno, y III. Resultados alcanzados en relación con los esperados. IV. Firmas del Coordinador de Control Interno y del Enlace de Administración de Riesgos. 21 de 36

26 El Reporte de Avances Trimestral del PTAR deberá presentarse por el Coordinador de Control Interno en las sesiones ordinarias de la Junta de Gobierno como sigue: a) Reporte de Avances del primer trimestre en la segunda sesión; b) Reporte de Avances del segundo trimestre en la tercera sesión; c) Reporte de Avances del tercer trimestre en la cuarta sesión, y d) Reporte de Avances del cuarto trimestre en la primera sesión de cada año. De los documentos descritos en los incisos anteriores se deberá entregar copia al Titular del OIC, recabando el acuse correspondiente. La evidencia documental y/o electrónica suficiente, competente, relevante y pertinente que acredite la implementación y avances reportados, será resguardada por los servidores públicos responsables de las acciones comprometidas en el PTAR institucional y estará a disposición de los órganos fiscalizadores. Respuesta al Riesgo Residual El riesgo residual es aquel que permanece después de que la Institución ha llevado a cabo las actividades para responder a los riesgos; refleja el riesgo remanente una vez que se han implantado de manera eficaz las acciones planificadas por la Institución para enfrentar el riesgo inherente. Estas acciones pueden incluir las políticas y procedimientos que establezcan límites, autorizaciones y otros protocolos; es decir se ven reflejadas en actividades de control. A partir de las estrategias definidas, se describirán las acciones viables jurídica, técnica, institucional y presupuestalmente, tales como la implementación de políticas, optimización de programas, proyectos, procesos, procedimientos y servicios, entre otras. 22 de 36

27 PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS Titular de la Institución Coordinador/a de Control Interno Enlace de Administración de Riesgos Áreas de la Institución Enlace de Administración de Riesgos Coordinador/a de Control Interno Coordinador/a de Control Interno 1. Instruye a las Áreas de la Institución, al Coordinador/a de Control Interno y al Enlace de Administración de Riesgos iniciar el proceso de Administración de Riesgos. 2. Acuerda con el/la Titular de la Institución la metodología de Administración de Riesgos, las acciones para su aplicación y los objetivos y metas institucionales a los que se deberá alinear el proceso, y comunicarlo a las Áreas de la Institución por conducto del Enlace de Administración de Riesgos. 3. Informa y orienta a las Áreas de la Institución sobre el establecimiento de la metodología de Administración de Riesgos, las acciones para su aplicación, y los objetivos y metas institucionales, para que documenten su propuesta de riesgos en la Matriz de Administración de Riesgos. 4. Documenta sus propuestas de riesgos en la Matriz de Administración de Riesgos, en función de las etapas mínimas establecidas. 5. Revisa y analiza la información proporcionada por las Áreas de la Institución en forma integral, define con el Coordinador/a de Control Interno los proyectos de Matriz de Administración de Riesgos y Mapa de Riesgos Institucionales. 6. Revisa los proyectos de Matriz de Administración de Riesgos y Mapa de Riesgos Institucional. 7. Acuerda con el/la Titular de la Institución, los Riesgos Institucionales y los comunica a las Áreas de la Institución por conducto del Enlace de Administración de Riesgos. Oficio/correo electrónico Oficio/correo electrónico Oficio/correo electrónico/forma to de Matriz de Administración de Riesgos Proyecto de Matriz de Administración de Riesgos Proyecto de Matriz de Administración de Riesgos/Mapa de Riesgos Proyecto de Matriz de Administración de Riesgos/Mapa de Riesgos Proyecto de Matriz de Administración de Riesgos/Mapa de Riesgos 23 de 36

28 PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS Enlace de Administración de Riesgos Coordinador/a de Control Interno Coordinador/a de Control Interno Enlace de Administración de Riesgos Coordinador/a de Control Interno 8. Elabora y presenta al Coordinador/a de Control Interno el proyecto del PTAR Institucional. 9. Revisa el proyecto PTAR Institucional. 10. Presenta anualmente para autorización del/la Titular de la Institución, la Matriz de Administración de Riesgos, el Mapa de Riesgos y el PTAR y los firma de forma conjunta con el Enlace de Administración de Riesgos, difunde dichos documentos e instruye la implementación del PTAR a los responsables de las acciones de control comprometidas y al Enlace de Administración de Riesgos. 11. Da seguimiento permanente al PTAR, elabora y presenta al Coordinador/a de Control Interno el proyecto institucional del Reporte de Avances Trimestral del PTAR con la información proporcionada por las Áreas de la Institución. 12 Revisa el proyecto de Reporte de Avances Trimestral del PTAR y concluido el mismo, lo autoriza y firma en conjunto con el Enlace de Administración de Riesgos. Proyecto de PTAR Proyecto de PTAR Matriz de Administración de Riesgos/Mapa de Riesgos/PTAR Proyecto de Reporte de Avances Trimestral Reporte de Avances Trimestral Enlace de Administración de Riesgos Coordinador/a de Control Interno 13 Elabora y presenta al Coordinador/a de Control Interno el proyecto institucional del Reporte anual del comportamiento de Riesgos. 14 Revisa el proyecto de RAC, firma de manera conjunta con el Enlace de Administración de Riesgos y lo presenta para autorización y firma del/la Titular de la Institución. Proyecto del Reporte anual del comportamiento de Riesgos Reporte anual del comportamiento de Riesgos 24 de 36

29 PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS Enlace de Administración de Riesgos Áreas de la Institución Titular de la Institución Coordinador/a de Control Interno Coordinador/a de Control Interno 15 Incorpora en el Sistema Informático (SICOCODI), la Matriz de Administración de Riesgos, Mapa de Riesgos Institucional, PTAR Institucional, Reporte de Avances Trimestral del PTAR y reporte anual del comportamiento de los riesgos; resguardando los documentos firmados y sus respectivas actualizaciones. 16 Resguarda la evidencia documental y/o electrónica suficiente, competente, relevante y pertinente que acredite la implementación y avances reportados. 17 Informa en la primera sesión ordinaria, de cada ejercicio fiscal, de la Junta de Gobierno el reporte anual del comportamiento de los riesgos. 18 Supervisa que la Matriz de Administración de Riesgos, Mapa de Riesgos y PTAR Institucionales, así como el Reporte de Avances Trimestral del PTAR y Reporte anual de comportamiento de los riesgos, se presenten en la primera sesión ordinaria de la Junta de Gobierno, y las actualizaciones en las sesiones subsecuentes; e informar en los asuntos del orden del día, los avances de las metas y objetivos institucionales utilizados en el proceso de Administración de Riesgos. 19 Comunica al Enlace de Administración de Riesgos los riesgos adicionales o alguna actualización a la Matriz de Riesgos, el Mapa de Riesgos y el PTAR Institucionales determinada en la Junta de Gobierno. 20 Agrega a la Matriz de Administración de Riesgos, el Mapa de Riesgos y el PTAR Institucionales, riesgos adicionales y alguna actualización determinada en la Junta de Gobierno. Termina procedimiento. Matriz de Administración de Riesgos/Mapa de Riesgos/PTAR Institucionales/Re porte de Avances Trimestral del PTAR/Reporte anual del comportamiento de riesgos Evidencia documental Reporte anual de comportamiento de riesgos Matriz de Administración de Riesgos/Mapa de Riesgos/PTAR Institucionales/Re porte de Avances Trimestral del PTAR/Reporte anual del comportamiento de riesgos Oficio/Correo electrónico Matriz de Administración de Riesgos/Mapa de Riesgos/PTAR 25 de 36

30 PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS 26 de 36

31 PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS Titular de la Institución Coordinador/a de Control Interno Enlace de Administración de Riesgos Áreas de la Institución A 9 Revisa el proyecto PTAR Institucional. Proyecto PTAR 10 Presenta anualmente para autorización del/la Titular de la Institución la Matriz de Administración de Riesgos, el Mapa de Riesgos y el PTAR y firmarlos de forma conjunta con el Enlace de Administración de Riesgos, difunde dichos documentos e instruye la implementación del PTAR a los responsables de las acciones de control comprometidas y al Enlace de Administración de Riesgos. Matriz Mapa PTAR RAT 11 Da seguimiento permanente al PTAR, elaborar y presenta al Coordinador/a de Control Interno el proyecto institucional del Reporte de Avances Trimestral del PTAR con la información proporcionada por las Áreas de la Institución Revisa el proyecto de Reporte de Avances Trimestral del PTAR y concluido el mismo lo autoriza y firma en conjunto con el Enlace de Administración de Riesgos. Elabora y presenta al Coordinador/a de Control Interno el proyecto institucional del Reporte anual del comportamiento de Riesgos. Proyecto RAT RAT Proyecto de RAC B 27 de 36

32 PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS Titular de la Institución Coordinador/a de Control Interno Enlace de Administración de Riesgos Áreas de la Institución B 14 Revisa el proyecto de RAC, firma de manera conjunta con el Enlace de Administración de Riesgos y lo presenta para autorización y firma del/la Titular de la Institución. 15 Incorpora en el Sistema Informático la Matriz de Administración de Riesgos, Mapa de Riesgos Institucional, PTAR Institucional, Reporte de Avances Trimestral del PTAR y reporte anual del comportamiento de los riesgos; resguardando los documentos firmados y sus respectivas actualizaciones. 16 Resguarda la evidencia documental y/o electrónica suficiente, competente, relevante y pertinente que acredite la implementación y avances reportados. Proyecto de RAC RAC Matriz Mapa PTAR RAT RAC Evidencia RAC 17 Informa en la primera sesión ordinaria, de cada ejercicio fiscal, de la Junta de Gobierno el reporte anual del comportamiento de los riesgos. 18 Supervisa que la Matriz de Administración de Riesgos, Mapa de Riesgos y PTAR Institucionales, así como el Reporte de Avances Trimestral del PTAR y Reporte anual de comportamiento de los riesgos, se presenten en la primera sesión ordinaria de la Junta de Gobierno, y las actualizaciones en las sesiones subsecuentes; e informar en los asuntos del orden del día, los avances de las metas y objetivos institucionales utilizados en el proceso de administración de riesgos. Matriz Mapa PTAR RAT RAC Comunica al Enlace de Administración de Riesgos los riesgos adicionales o alguna actualización a la Matriz de Riesgos, el Mapa de Riesgos y el PTAR Institucionales determinada en la Junta de Gobierno. Agrega a la Matriz de Administración de Riesgos, el Mapa de Riesgos y el PTAR Institucionales, riesgos adicionales y alguna actualización determinada en la Junta de Gobierno. Oficio Matriz Mapa PTAR Termina 28 de 36

33 Capítulo III.- Riesgos de Corrupción Procedimiento para la Administración de Riesgos de Corrupción INTRODUCCIÓN La Administración de Riesgos de Corrupción es un proceso que permite identificar, analizar, clasificar y mitigar aquellos eventos que, en caso de materializarse, impactarían negativamente a la Institución en lo que refiere al entorno de valores y principios éticos, y al logro de objetivos en este ámbito. En este sentido, la Administración de Riesgos debe considerar los posibles cambios, tanto en el entorno externo como en el contexto interno de la Institución, que pueden incidir en el logro de las metas y objetivos institucionales en materia de integridad. Por lo tanto, los involucrados en los procesos sustantivos y adjetivos deberán conocer y aplicar las siguientes etapas para la identificación y establecimiento de acciones que ayuden a reducir los riesgos de corrupción, abusos y fraudes potenciales que puedan afectar a la Institución. 29 de 36

34 Objetivo de la Administración de Riesgos de Corrupción Proporcionar un aseguramiento razonable contra la posibilidad de que un evento contrario a la ética o a la legalidad se materialice, a fin de contar con una mejor ejecución de los programas y servicios, así como un uso más eficiente de los recursos y mejoras generales de desempeño, reduciendo los desperdicios, las irregularidades y la corrupción. POLÍTICAS DE OPERACIÓN 1. Los responsables de los procesos sustantivos y adjetivos identificarán, evaluarán y administrarán los riesgos de corrupción, garantizando que las actividades estén alineadas con las metas y objetivos institucionales. 2. Los Titulares de las áreas y responsables de los procesos, fortalecerán los controles internos existentes, tomando en cuenta el siguiente listado: Controles Internos para Mitigar los Riesgos Asignación de funciones o responsabilidades Capacitación en Control Interno Códigos de Ética y Conducta Capacitación Indicadores y normas de desempeño Facultades de autorización Manual de Organización Personal competente Políticas y Procedimientos Programas y Presupuestos Automatización de transacciones Evaluación de riesgos Registro de transacciones Salvaguarda y acceso de restringido a los activos Auditoría interna y externa 30 de 36

35 Comparación Conciliación Evaluación de resultados o desempeño Inspección Supervisión del personal Verificación o revisión de funciones 3. Los Titulares de las áreas y los responsables de los procesos deberán mantener los controles internos eficaces y de la ejecución del procedimiento de riesgos de corrupción. 4. Los Titulares de las áreas comunicarán oportunamente a los servidores públicos de los diferentes niveles de responsabilidad, los cambios en las políticas y/o procedimientos con la finalidad de que se apliquen de manera adecuada y oportuna. 5. Los Titulares de las áreas y los responsables de los procesos, en caso de materializarse un riesgo, deberán implementar las acciones conducentes a la mitigación del riesgo a fin de evitar que vuelva a materializarse posteriormente. 31 de 36

36 Pasos para la administración de Riesgos de Corrupción 1.- Establecimiento de objetivos: Es la base para desarrollar de manera eficiente los nueve restantes. La Institución debe establecer los objetivos y metas de integridad los cuales deben estar relacionados y alineados con los establecidos en el Plan Estratégico Institucional. 2.- Identificación de riesgos: En esta actividad la Institución debe determinar cuáles son los tipos de riesgo a la integridad existentes y cuál es su influencia en las actividades de la Institución. Es importante conocer las fuentes de riesgo, realizar un inventario de riesgos y analizar las causas de los eventos que los generan. 32 de 36