m
HERRAMIENTA PARA EL MONITOREO DE LA IMPLEMENTACIÓN DEL SISTEMA DE CONTROL INTERNO (SCI) EN EMPRESAS DE LA CORPORACIÓN FONAFE MENÚ PRINCIPAL Introducción M#rco d #!ic#ción E*ui"#!nci#$ ntr COSO I COSO II Entndiminto d !o$ comonnt$ Sub Comonnt$ Comonnt$ d! SCI Monitoro d !# Im!mnt#ción d! SCI
HERRAMIENTA DE MONITOREO DE LA IMPLEMENTACIÓN DEL SCI EN LAS EMPRESAS DE LA CORPORACIÓN FONAFE
Objetivos Generales Establecer y uniformizar criterios para un efectivo monitoreo y diagnóstico del nivel
de implementación del SCI en las Empresas de la Corporación !"AE# proporcionando al Evaluador una herramienta pr$ctica para dicho dicho %n.
Asistir# de manera efectiva# a las organizaciones mediante el monitoreo y
diagnóstico del nivel de implementación del SCI. El &arco C!S! hace hincapi' en el hecho de (ue las Empresas (ue cuenten con sistemas de control interno supervisan su efectividad en el tiempo )de la misma manera (ue una empresa manufacturera supervisa la efectividad continua de sus procedimientos de producción.
!frecer una orientación pr$ctica (ue ilustre el nivel de la Empresa con respecto a la implementación del SCI. En un sistema efectivo de control interno los cinco componentes de C!S! traba*an
en con*unto ofreciendo a la +irección y a la ,erencia una garant-a razonable con
respecto a la consecución de los ob*etivos de la organización. El monitoreo realizado por !"AE a las empresas (ue se encuentran en su alcance# ayuda asegurar (ue el SCI est' funcionando de forma efectiva.
ii)
Equivalencias Relación entre el marco COSO !SC) " COSO !Gestión nte#ral de Ries#os)$
iii)
Marco de re%erencia& Sub componentes del SC 'escripción de cada uno de los sub componentes del SC( as como la manera de su implementación$ Se describe a su s u ve*( las implicancias en caso no se implemente implemente los distintos sub componentes$
iv)
Monitoreo de la implementación del SC Relación de las evidencias de cumplimiento de cada uno de los sub componentes del SC$ Al lado derecho de d e cada evidencia( se encuentran + casillas en blanco( el Evaluador deber, marcar una de ellas con un aspa !-.-) de acuerdo a los criterios de cumplimiento se/alados en la parte superior de cada una de las hojas( para de esta %orma( indicar el #rado de implementación de cada sub componente$
v)
Resultados Puntaje& Resumen " detalle del puntaje obtenido respecto de cada componente del SC( basado en un promedio ponderado de los sub componentes que los inte#ran$ El peso que tiene cada uno de los componentes se ha determinado de acuerdo a la si#uiente tabla& n%ormació Evaluació Actividad de n" Ambiente de control n de control Supervisión comunicaci ries#os #erencial ón 234 564 564 234 264
MO23OREO 'E 0A MP0EME23AC12 MP0EME23AC12 'E0 SC E2 0AS EMPRESAS 'E 0A CORPORAC12 4O2A4E MARCO 'E AP0CAC12 Objetivo& Establecer y uniformizar criterios para un efectivo monitoreo y diagnóstico de la implementación del SCI en las Empresas de la Corporación !"AE# proporcionando al Evaluador# la presente herramienta para dicho %n.
Alcance& 0a presente metodolo#a( permite conocer el #rado de avance o madure* de la mplementación del SC en concordancia con el Códi#o Marco del Control nterno emitido por 4O2A4E( en el ,mbito de las empresas que se encuentran bajo el ,mbito de 4O2A4E$ Estructura& 0a presente herramienta de monitoreo de la implementación del SC comprende un listado de todos los sub componentes del SC( la evidencia de cumplimiento de cada uno de ellos " una escala del 5 al + que muestra la madure* en que se pueden encontrar dichas evidencias de cumplimiento( as como cada
Con la información obtenida de la evaluación de las evidencias de cada sub componente# la presente herramienta realiza# de forma autom$tica# un resumen consolidado a nivel de sub componente# componente y a nivel del SCI de la entidad asignando el nivel de implementación correspondiente de acuerdo a los criterios descritos a continuación:
2ivel de mplementación
Re%erencia
ne7istente
"o eiste evidencia su%ciente de (ue la Empresa haya emprendido esfuerzos para la implementación del SCI.
5
nicial
Eiste un esfuerzo aislado o inicial con respecto a la implementación del SCI en la Empresa; se ha podido evidenciar documentación de algunas evidencias de control# sin embargo a/n no han sido debidamente aprobadas por la autoridad respectiva.
8
En proceso de implementaci ón
El SCI se encuentra en proceso de implementación en la Empresa; Algunos elementos de control interno han sido formalizados; sin embargo# falta la difusión de los esfuerzos de control interno realizados a las instancias apropiadas.
6
9
El SCI ha sido implementado en la Empresa; los elementos de Establecido ; control interno se encuentran documentados y han sido mplementad formalizados y difundidos a las instancias apropiadas de la o Empresa. El SCI funciona conforme a las necesidades de la Empresa y el marco regulador. El SCI cuenta con un proceso de me*ora continua; los elementos de control interno se encuentran documentados# formalizados y
elación entre el Sistema de Control nterno " la Gestión nte#ral de Ries#o
COSO & SS3EMA 'E CO23RO0 23ER2O
COSO & GES312 23EGRA0 'E RESGOS Ambiente de Control
Ambiente de Control stablecimiento de Objetivo denti
Evaluación de Ries#os Respuesta al Ries#o
Actividad de Control ó
Actividad de Control ó
ó
ó
Marco de Re%erencia& Entendimiento de Sub Componentes del SC Componente 5& Ambiente de control l
Sub Componente ilosof-a de la +irección
l
'e
l
Suscribiendo un Acta de Compromiso =ver Aneo ">2: &odelo de acta? para la implementación del Control Interno# por el titular y todos los funcionarios de la Empresa. Conformando un Comit' de Control Interno =ver Aneo ">8: ormato de designación de comit'? liderado por la ,erencia de la Empresa e integrado por los principales funcionarios# as- como por e(uipos de traba*o en todos los niveles de la Empresa.
l
l
l
plicancias de no implementa "o se asume el proceso de implementación del control interno como una función propia de la gestión y se confunde el concepto trat$ndolo como una función de auditor-a o de control posterior eclusiva del
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Integridad y @alores ticos
l
'e5: "ormativa (ue regula la actuación 'tica dentro de la función p/blica?.
Metodolo#a de la implementació Aprobando y divulgando un Código de tica de la Empresa de obligatorio cumplimiento por parte de todo el personal# incluido el titular de la Empresa# (ue precise los principios# valores 'ticos# obligaciones y prohibiciones (ue regulan el comportamiento de los funcionarios y servidores.
l
l
l
l
l
Suscribiendo un documento (ue acredite el conocimiento y el compromiso de cumplimiento del Código de tica de la Empresa# 7eglamento Interno de Braba*o y normativa de la Empresa# documento (ue debe ser ad*untado al lega*o personal. 7ealizando seguimiento a los procesos *udiciales por delitos cometidos contra la Empresa =a cargo del 0rocurador 0/blico de la Empresa o Abogado responsable de los procesos *udiciales?. Cumpliendo plazos establecidos para e*ecutar sanciones (ue correspondan =a cargo de las Comisiones Especial y 0ermanente de 0rocesos Adm. +isciplinarios de la Empresa?. Centralizando oportunamente las sanciones impuestas en el $rea de recursos humanos y actualizando la información de los le a os del
plicancias de no implementa Los funcionarios no tienen conocimiento de los valores institucionales y hacen suyos los valores y principios de la gestión de turno. Cada funcionario o traba*ador orienta sus acciones en base a sus propios códigos de conducta o prioridades personales. Los funcionarios de la Empresas hacen referencia a la eistencia de un Código de tica de la función p/blica# pero no conocen sus alcances ni su contenido =Aneo ">9# contiene normativa (ue regula la actuación 'tica dentro de la función p/blica?.
l
Se genera una sensación de impunidad frente a la comisión de delitos o faltas administrativas en per*uicio de la Empresa.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC personal.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Administración Estrat'gica
l
'e
Metodolo#a de la implementació plicancias de no implementa omentando la participación en los "o se logran ob*etivos de procesos de plani%cación mediano y largo plazo# se estrat'gica# en los (ue se haya reproduce la cultura realizado un an$lisis !+A =@er tradicional del corto plazo y la como referente el Aneo ">9: solución de problemas del d-a Lineamientos para la elaboración a d-a. "o es posible disear del an$lisis !+A?# a los propios indicadores de gestión (ue servidores# directivos y autoridades permitan medir resultados# de la Empresa. Las consultor-as (ue efectos o impactos. sean re(ueridas pueden cumplir la función de facilitación y soporte La ausencia de una t'cnico# evitando la sustitución de administración estrat'gica roles o la elaboración de conduce a un gobierno de instrumentos de plani%cación en contingencias y coyunturas. gabinete y sin contacto con la realidad.
l
l
l
l l
l
Comunicando y difundiendo entre todo el personal y de manera visible a trav's de a%ches o recordatorios# la visión# misión y ob*etivos estrat'gicos de la Empresa. 0romoviendo la elaboración del 0lan de +esarrollo Institucional como instrumento de plani%cación estrat'gica de la Empresa. Este instrumento debe nacer articulado con el 0lan de +esarrollo Concertado y formularse para un per-odo de cuatro aos como base.
Se produce ine%ciencias en las acciones y en la asignación presupuestaria al no haber propósitos de%nidos de mayor alcance.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Estructura !rganizacional
l
'e
Metodolo#a de la implementació plicancias de no implementa Analizando y actualizando de forma La organización de la periódica el 7eglamento de Empresa y los instrumentos !rganización y unciones =7!?# la normativos de gestión no estructura org$nica =!rganigrama?# pueden responder con el Cuadro Anal-tico de 0ersonal efectividad a los desaf-os de =CA0?# el &anual de !rganización y la misión y propósitos unciones =&!?# los &anuales de institucionales. 0rocedimientos =&A07!?# entre otros documentos normativos de Se limita la capacidad de gestión; de tal forma (ue reDe*en adaptación de la Empresa las actividades (ue realmente se ante los nuevos problemas e*ecutan y las (ue ser$n necesarias (ue surgen y ante contetos realizar en función a la misión cambiantes. La institucional. El rediseo desactualización de estos organizacional deber$ observar la instrumentos genera real carga de traba*o de cada $rea y com/nmente rutinas e inercia llevar a cabo una adecuada en los funcionarios y segregación de funciones. servidores de la Empresa.
l
l
l
l
Identi%cando de manera progresiva los procesos (ue re(uieren especial atención en la Empresa# el inicio y %n de cada proceso# sus ob*etivos# sus actividades secuenciales y sus responsables.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Administración de 7ecursos umanos
l
'e
Metodolo#a de la implementació plicancias de no implementa "o centrando la gestión de los El personal se encuentra recursos humanos /nicamente con desmotivado y poco temas de asistencia# puntualidad y comprometido con los permanencia del personal; se debe propósitos institucionales. incorporar procedimientos diferenciados para la selección# inducción# capacitación y otros Las capacidades temas (ue aseguren el desarrollo profesionales se estancan o del personal de la Empresa. se reducen en per*uicio de la Empresa y de la calidad de los servicios p/blicos (ue se presta. Asignando# de ser el caso# un presupuesto orientado al desarrollo El desempeo institucional se de las capacidades del personal o ve limitado y afectado por la promoviendo alianzas con desactualización de los instituciones privadas de servidores p/blicos o el cooperación# universidades u desconocimiento de temas organismos sin %nes de lucro# (ue importantes para la gestión permitan acceder a programas de de la Empresa. capacitación y asistencia t'cnica a ba*os costos.
l
l
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Competencia 0rofesional
l
Metodolo#a de la implementació plicancias de no implementa 'e
l
l
Las brechas entre el per%l de competencias y el per%l real del funcionario (ue ocupa un cargo# constituyen fuentes de riesgos para una buena gestión institucional y el logro de ob*etivos.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Asignación de Autoridad y 7esponsabilidad
l
Metodolo#a de la implementació plicancias de no implementa 'e
l
l
l
l
+e%niendo claramente los niveles de autorización de algunos procesos claves para la Empresa. Estableciendo claramente los niveles de autorización (ue se tiene sobre determinados procesos claves =e*emplo: autorización para los procesos de ad(uisiciones# para la emisión de licencias de funcionamiento# para las comisiones de servicio# para el uso de veh-culos de la Empresa# entre otros?.
0oca competencia para resolver procedimientos administrativos# as- como inde%nición en las responsabilidades de los funcionarios y servidores. "o se puede determinar con claridad las responsabilidades de los funcionarios y servidores ante la evidencia de alguna de%ciencia o acto ilegal. Se podr-a abusar de la autoridad asignada.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente
l
'e
Metodolo#a de la implementació plicancias de no implementa Las Empresas su*etas al Sistema La omisión o incumplimiento deben contar con un !CI# cuya de la implantación e responsabilidad de implantación e implementación del !CI implementación recae en el Bitular constituye infracción su*eta a de la Empresa. la potestad sancionadora de la Contralor-a ,eneral# conforme a lo previsto en el art-culo 98F literal b? de la Ley.
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC Componente 8& Evaluación de Ries#os l
l
Sub Componente 0laneamiento de la Administración de 7iesgos
Sub Componente Identi%cación de 7iesgos
l
l
'e
'e
Metodolo#a de la implementació plicancias de no implementa +esignando un e(uipo de traba*o "o se conocen los riesgos =Comit' de 7iesgos? integrado por potenciales# su probabilidad funcionarios clave# capacit$ndolo en de ocurrencia# y el grado de administración de riesgos y sus efectos negativos en la encarg$ndole la elaboración de un gestión de la Empresa. 0lan de Administración de 7iesgos# en el cual se consignen las acciones# cronograma# recursos "o se puede plani%car la necesarios y responsabilidades. prevención y mitigación de estos factores.
l
l
l
Metodolo#a de la implementació plicancias de no implementa Se debe realizar un inventario de La Empresa (ueda a los riesgos m$s signi%cativos (ue epensas de los riesgos y con ha enfrentado# enfreta y pueda alta incertidumbre respecto al enfrentar la Empresa. =@er Aneo "> logro de sus ob*etivos. 3 ) 0rincipios b$sicos para la identi%cación de riesgos?.
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
l
Sub Componente @aloración de 7iesgos
Sub Componente 7espuesta al riesgo
l
l
'e
'e
Metodolo#a de la implementació plicancias de no implementa @alorando los riesgos identi%cados "o se puede priorizar las =estrat'gicos# operativos# acciones de control# al no %nancieros# de cumplimiento y de tener una idea clara de la tecnolog-a? en función a su magnitud de los diferentes posibilidad de ocurrencia y el nivel ries os. de impacto de cada uno. Se fortalece la pr$ctica tradicional de atender las contingencias y problemas seg/n vayan surgiendo.
l
l
l
Metodolo#a de la implementació plicancias de no implementa Se debe utilizar el criterio El cumplimiento de ob*etivos profesional y medir el costo) se vuelve vulnerable por la bene%cio para dar una respuesta presencia de riesgos apropiada a cada riesgo. identi%cados pero ante los cu$les no se ha tomado La respuesta al riesgo debe acción alguna. documentarse# y ser informada a las personas relacionadas. Se refuerza una cultura (ue minimiza el control preventivo# distray'ndose +isponiendo acciones de control esfuerzos y recursos en la preventivo para minimizar los solución de los problemas riesgos. urgentes y descuid$ndose los Asignando una estrategia de temas importantes. respuesta al riesgo# de acuerdo con la prioridad o valoración otorgada al riesgo y al apetito o tolerancia de riesgos de la Empresa. inalizado el Los riesgos potenciales son proceso indicado# se sugiere m$s dif-ciles de mane*ar al completar la &atriz de 7iesgos y momento de presentarse# sus Controles donde se consigne la efectos se producen con toda información de este proceso =@er su magnitud# con Aneo "> G ) E*emplo de &atriz de consecuencias negativas para 7iesgos y Controles?. la gestión de la Empresa y el logro de sus ob*etivos.
l
l
l
l
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC Componente 9& Actividades de Control Gerencial l
Sub Componente 0rocedimientos de Autorización y Aprobación
l
'e
Metodolo#a de la implementació plicancias de no implementa Identi%cando previamente los Al no estar establecidos procesos# tareas y actividades# en formalmente los el &A07! o un instrumento procedimientos# se producen e(uivalente. =Este instrumento desórdenes o errores en la debidamente concordado con el e*ecución de tareas y 7! y el &!# establece los actividades dentro de los procedimientos a seguir# el procesos de la Empresa. funcionario encargado de autorizar dicho procedimiento y el funcionario (ue lo aprueba.? Se fomenta la discrecionalidad de los funcionarios p/blicos en las Elaborando este instrumento de decisiones y acciones# asgestión de acuerdo a la realidad y como la inde%nición en tamao de la Empresa# para lo cual cuanto a sus se recomienda tomar como responsabilidades. referencia los diferentes manuales a los cuales se accede v-a los portales Heb de las Empresas.
l
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Segregación de unciones
l
'e
Metodolo#a de la implementació plicancias de no implementa Evitando (ue un mismo funcionario Surgen potenciales riesgos o servidor centralice varias para la gestión institucional funciones dentro de un mismo ya (ue se pueden generar proceso (ue puedan generar fraudes contra la Empresa por riesgos para la Empresa. falta de controles. 0or e*emplo# si una misma persona realiza las 0artiendo del an$lisis y evaluación cotizaciones# aprueba la de los potenciales conDictos compra y da la conformidad funcionales o la incompatibilidad de del servicio# se corre el riesgo funciones al momento de asignar de sobrevaluación de los competencias para la autorización y precios y la comisión de la aprobación en un determinado irregularidades; lo mismo procedimiento y al momento de su suceder-a si el Besorero formalización. =Entre las funciones realiza los registros contables# (ue deben ser separadas tenemos: ya (ue podr-a incluir u omitir la autorización# el procesamiento# la mayores ingresos o gastos; revisión# el control# la custodia# el igualmente si la persona (ue registro de operaciones# el archivo gira los che(ues tambi'n de documentación# entre otros. realiza la conciliación bancaria# se pierde el control =@er un e*emplo de &atriz de de los che(ues girados y Segregación de unciones en el podr-a validar salidas de Aneo "F# para realizar el referido dinero no autorizadas# entre an$lisis?. otros casos.
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Evaluación Costo)Jene%cio
l
'e
Metodolo#a de la implementació plicancias de no implementa 7ealizando# antes de la Los controles implementados implementación de actividades y pueden resultar m$s costosos procedimientos de control (ue los recursos protegidos. adicionales# una evaluación de su =0or e*emplo la compra de un costo para evitar (ue sea mayor a e(uipo de cómputo de /ltima los bene%cios esperados. generación para el control de eistencias en el almac'n (ue solo re(uiere de una ho*a de c$lculo# o para el control de las Actas de Sesiones de Conce*o (ue sólo re(uiere de un procesador de tetos; la compra de un sistema de gestión o de administración de colas# cuando no se registra gran aDuencia de p/blico?.
l
l
l
Los recursos no van acordes a las necesidades. =0or e*emplo# cuando al $rea de 7entas u !bras se le asigna una m$(uina obsoleta (ue no soporta ning/n sistema; la carencia de un sistema automatizado de control de asistencia# no obstante la gran cantidad de personal; y la obsolescencia de un sistema de marcación manual.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Controles sobre el Acceso a los 7ecursos y Archivos
l
'e
Metodolo#a de la implementació plicancias de no implementa ormalizando procedimientos de Los archivos y bienes de la control y niveles de acceso a los Empresa se eponen a bienes y recursos susceptibles de riesgos de p'rdida# deterioro mal uso# p'rdida o robo. 0or o sustracción. Se e*emplo# los niveles de acceso a los desperdician los recursos# se ambientes de Besorer-a# Ca*a# deterioran los activos o se Almac'n# Archivos. hace mal uso de ellos. =0or e*emplo# el uso de la fotocopiadora con acceso abierto# una camioneta utilizada sin autorización# una l-nea de tel'fono sin control# la ausencia de ar(ueos de Ca*a Chica# el retiro de bienes del Almac'n sin un registro# entre otros# constituyen riesgos potenciales (ue afectan a la gestión de la Empresa.?
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
l
Sub Componente @eri%caciones y Conciliacion
Sub Componente Evaluación de +esempeo
l
l
'e
'e
Metodolo#a de la implementació +ando instrucciones epresas y formales para (ue los funcionarios y servidores de la Empresa realicen# como pr$ctica saludable# la veri%cación y conciliación periódica de los principales procesos o procesos clave# actividades o tareas# con la %nalidad de detectar posibles errores# vac-os o inconsistencias normativas para corregirlas oportunamente.
l
Metodolo#a de la implementació Se debe identi%car el Du*o del proceso a evaluar# para de esta forma# sealar la actividades cr-ticas (ue deber$n ser medidas. Se medir$ el desempeo de dichas actividades con metas de desempeo previamente establecidas. Se identifcar$n a las partes responsables para informar el desempeo actual y de ser el caso las acciones correctivas correspondientes.
l
plicancias de no implementa ay una alta probabilidad de ocurrencia de errores u omisiones en las tareas# actividades y procesos. =0or e*emplo# pueden surgir diferencias en los saldos de eistencias en el Almac'n# en Cuentas por 0agar a 0roveedores# en las deudas de los contribuyentes# en los saldos de Ca*a Chica# entre otros; as- como omisiones en la información o en la atención de tr$mites administrativos.? Se generan p'rdidas o sobrecostos.
l
plicancias de no implementa Eiste una alta probabilidad a no corregir errores con la debida oportunidad generando sobre costos y reprocesos a la Empresa.
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente 7endición de Cuentas
l
'e
Metodolo#a de la implementació plicancias de no implementa +ando pautas formales a los "o se cuenta con información responsables de las unidades sobre el desempeo de la org$nicas o $reas de la Empresa gestión. para (ue se organicen y elaboren información pertinente para las rendiciones de cuentas. Estas "o se brinda información a rendiciones no se limitan solo a los los usuarios aspectos presupuestarios# sino (ue incluyen el reporte de los ob*etivos institucionales logrados# las acciones realizadas y los indicadores de logro. Kn espacio conocido de rendición de cuentas es el proceso del presupuesto participativo. Las Empresas y sus titulares est$n obligados a rendir cuentas de acuerdo a la 7esolución de Contralor-a "F 558)866) C,. Bambi'n es una manera de rendición de cuentas la presentación oportuna de información %nanciera y presupuestal y la &emoria Institucional.
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente +ocumentación de 0rocesos# Actividades y
l
Metodolo#a de la implementació plicancias de no implementa 'e
l
l
l
l
l
Sub Componente 7evisión de 0rocesos# Actividades y Bareas
l
'e
Metodolo#a de la implementació plicancias de no implementa 0romoviendo y disponiendo (ue los "o se detectan a tiempo procesos y procedimientos de%ciencias o ale*amientos de e*ecutados sean revisados los ob*etivos institucionales. periódicamente para asegurar (ue se enmar(uen dentro de la normativa vigente y promuevan el Se pierde la oportunidad de cumplimiento de los ob*etivos introducir correctivos o institucionales. me*oras a las acciones (ue realizan las diferentes $reas de la Empresa.
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Controles para las Becnolog-as de la Información y Comunicaciones
l
'e
Metodolo#a de la implementació plicancias de no implementa Cumpliendo de manera gradual la "o se dar$ el uso correcto a normativa emitida por la !%cina las Becnolog-as de "acional de ,obierno Electrónico en Información y lo (ue respecta a las BIC. Comunicaciones# no se garantizar$ la %abilidad de la información y de los sistemas "ormando los procesos de y aplicativos inform$ticos# con desarrollo de sistemas y aplicativos el riesgo de dar un uso inform$ticos y de los aspectos. indebido de la base de datos e información institucional# "ormando los aspectos m$s eponi'ndola a daos# importantes de seguridad de la p'rdida y sustracción =0or información. e*emplo# cuando las claves de acceso de usuarios del SIA o el SEACE son compartidas# +ocumentando el desarrollo de los cuando las computadoras no sistemas y aplicativos inform$ticos# tienen claves de acceso# as- como# los procedimientos de cuando no se genera una seguridad de la información. copia de respaldo de la información importante?. Asegurando (ue los sistemas inform$ticos de las Empresas cuenten como m-nimo con usuarios y claves de acceso.
l
l
l
l
l
l
l
l
Asegurando (ue se cuente con procedimientos de respaldo =bacup? de la información cr-tica de las Empresas. Sensibilizando al personal de la Empresa a trav's de charlas sobre el buen uso de las BIC y sobre la seguridad de la información.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC Componente : & n%ormación " Comunicación l
l
Sub Componente unciones y caracter-sticas de la información
Sub Componente Información y responsabilid
l
l
'e
'e
Metodolo#a de la implementació plicancias de no implementa La información deber$ estar El hecho de no tener un diseada para cada uno de los sistema de comunicación en niveles de Empresa# y ordenada la Empresa con las para facilitar su acceso y utilización caracteristicas (ue se plantea y cubrir tanto aspectos %nancieros implicar-a (ue no se como de gestión. transmitir$n clara y oportunamente los ob*etivos de la Empresa# las acciones Asimismo# se podr$ considerar correctivas# las estrat'gias algunas pol-ticas de información comerciales# generando un (ue ayudar$n a la implantación del caos en la Empresa. presente sub componente.
l
l
l
Metodolo#a de la implementació plicancias de no implementa 0ara ello se sugiere aplicar las +escon%anza y temor a siguientes pol-ticas: represalias por comunicar Se enfatizar$ la utilización de la noticias (ue puedan estar comunicación directa con el afectando el correcto ; personal# cuando sea posible; se desarrollo de la gestión# generar$ un clima de con%anza actitud (ue generar$ (ue no mutua (ue permita la comunicación se tomen acciones correctivas oportuna de buenas y malas oportunas# por noticias propiciando una desconocimiento de las comunicación abierta y honesta; se mismas . procurar$ el e*ercicio de comunicaciones en tres direcciones =descendente# horizontal y ascendente?; se de*ar$ constancia de la comunicación de los problemas detectados.
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
l
Sub Componente Calidad y su%ciencia de la información
Sub Componente Sistemas de información
l
l
'e
'e
Metodolo#a de la implementació plicancias de no implementa 0ara garantizar la calidad y Información insu%ciente y de su%ciencia de la información# es ba*a calidad generar$ malos recomendable considerar algunos entendidos# ordenes lineamientos o pol-ticas de control desvirtuadas# incumplimiento (ue ayuden a la implantación de de ob*etivos y estrategias. esta norma.
l
l
Metodolo#a de la implementació plicancias de no implementa 0ara ello se sugiere considerar la La información historica no implementación de las siguientes ser$ tomada en cuenta para pol-ticas de control en la gestión de la toma de decisiones# los sistemas de información: 0lan pudiendo repertirse eventos de sistema de información; negativos sucedidos en el Controles de datos fuentes# de pasado. operación y de salida; 0ropiedad y La información puede ser autorización de uso de información; manipulada y adulterada sin Controles de acceso. controles de acceso a la misma. Aumenta la posibilidad de (ue se %ltre al eterior de la Empresa información con%dencial.
l
l
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
l
Sub Componente leibilidad al cambio
Sub Componente Archivo Institucional
l
l
'e
Metodolo#a de la implementació plicancias de no implementa En este sentido# la Alta +irección Bener sistemas de deber$ conseguir los recursos información obsoletos# no tecnológicos adecuados# *unto con actualizados (ue no permitan las personas idóneas en el mane*o actuar o tomar acción ante de 'stos. Los sistemas de nuevos eventos sucitados en información (ue administra la la Empresa y1o en el entorno Empresa deber$n ser adaptables a de la misma. la Empresa.
l
l
Metodolo#a de la implementació plicancias de no implementa +isponiendo la implementación del Se incrementa la Archivo Central de la Empresa# vulnerabilidad del archivo dot$ndolo de espacio su%ciente y documental# de la estantes para el ordenamiento de la información histórica y de documentación y de ser posible documentos sustentatorios sistematizando la información para generada por la Empresa# facilitar las b/s(uedas. eponi'ndolos a daos# p'rdidas# sustracciones o al uso indebido. Contando con un softHare de archivo y una directiva (ue de%na la periodicidad de remisión de documentación al Archivo Central# as- como los procedimientos para la preservación y conservación de los documentos.
l
l
l
l
+otando de mobiliario seguro a las diferentes $reas de la Empresa para el archivo de su documentación de uso permanente.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Comunicación Interna
l
Metodolo#a de la implementació plicancias de no implementa 'e
l
l
l
l
Sub Componente Comunicación Eterna
l
l
'e
Metodolo#a de la implementació plicancias de no implementa Estableciendo los tipos de Se fomenta el desorden y la documentos (ue deben ser discrecionalidad en el uso de utilizados para su comunicación medios de comunicación eterna. eterna# poniendo en riesgo la formalidad y protocolo (ue Emitiendo una directiva interna (ue corresponde cuando se regule los medios a utilizar para la establecen relaciones inter comunicación eterna de la institucionales. Empresa =!%cios# Cartas# 7esoluciones# etc?# as- como la uniformización del formato de los mismos.
l
l
l
l
7egulando la atención (ue se brinda
Marco de Re%erencia& Entendimiento de Sub Componentes del SC
l
Sub Componente Canales de Comunicación
l
'e
a las sugerencias# (ue*as# reclamos y denuncias de parte de los usuarios de los servicios y vecinos en eneral. Metodolo#a de la implementació plicancias de no implementa Identi%cando canales para la Se generan consecuencias comunicación# seg/n el tamao de negativas de relación debido la población# necesidades de a una de%ciente información y acceso a tecnolog-as. comunicación entre la As-# se podr-a utilizar reuniones Empresa y la población. La periódicas con la población; población desconoce las utilización de paneles informativos acciones de la Empresa por lo en lugares p/blicos# boletines# (ue la transparencia se ver$ emisiones radiales# p$ginas Heb severamente afectada# dando institucionales# etc. lugar a interpretaciones e(uivocadas y p'rdida de con%anza en las autoridades.
l
l
Marco de Re%erencia& Entendimiento de Sub Componentes del SC Componente + & Supervisión Sub Componente Actividades de 0revención y &onitoreo: l
0revención y &onitoreo
l
'e
Metodolo#a de la implementació plicancias de no implementa Estableciendo y difundiendo Se epone a riesgo el logro de pol-ticas o directivas para la los ob*etivos institucionales y prevención y monitoreo de los se desconoce el nivel de procesos y operaciones (ue realiza desempeo de las diferentes la Empresa# a %n de detectar con unidades org$nicas. oportunidad# distorsiones# riesgos o problemas# (ue se deben corregir o superar para el cumplimiento de Se pierde la oportunidad de los ob*etivos. realizar a*ustes# correctivos y me*oras a las acciones (ue se Ktilizando el 0lan !perativo e*ecutan en el marco de la Institucional# identi%cando plani%cación operativa y la indicadores de logro y e*ecución presupuestaria. estableciendo la obligación de reportes trimestrales de resultados. Con*untamente con la plani%cación operativa# tambi'n deben Se refuerza la pr$ctica monitorearse# la e*ecución del tradicional de soluciones en presupuesto participativo# la base a urgencias o de e*ecución del 0lan Estrat'gico problemas coyunturales# Institucional =0EI?# el 0lan Anual de descuidando los aspectos Contrataciones =0AC?# entre otros estrat'gicos m$s importantes procesos. de la gestión de la Empresa.
l
l
l
l
l
l
aciendo seguimiento a la implementación del Beto Mnico de 0rocedimientos Administrativos =BK0A? y a sus efectos en la provisión de me*ores servicios p/blicos.
Marco de Re%erencia& Entendimiento de Sub Componentes del SC Sub Componente Seguimiento de 7esultados: l
7eporte de +e%ciencias
Sub Componente Seguimiento de 7esultados: l
l
Implantación y Seguimiento de &edidas Correctivas
l
'e
'e
Metodolo#a de la implementació +iseando y aprobando un mecanismo para (ue los funcionarios reporten o registren las debilidades o de%ciencias detectadas a nivel interno y (ue puedan poner en riesgo el logro de metas y ob*etivos. El mecanismo puede ser v-a telefónica# correo electrónico y deben ser materia de an$lisis y revisión periódica.
l
Metodolo#a de la implementació +isponiendo la inmediata adopción de acciones correctivas ante la detección de una de%ciencia y encargando a una persona la responsabilidad del seguimiento de su implementación.
l
l
Cumpliendo con el seguimiento e implementación de recomendaciones provenientes de informes de auditor-a.
plicancias de no implementa Se di%culta la implementación oportuna de correctivos y me*oras adecuados en la gestión de la Empresa.
l
l
Se generan responsabilidades administrativas en los servidores y funcionarios (ue# conociendo las de%ciencias# omiten su reporte oportuno. plicancias de no implementa Las tareas# actividades y procesos (ue desarrolla la Empresa mantienen fallas# errores y de%ciencias en su e*ecución# generando sobrecostos y poniendo en riesgo el logro de las metas y de los ob*etivos institucionales.
l
l
l
l
Ane7os&
Mn+ rinci#!
Se incrementa el riesgo para el logro de los ob*etivos.
Se pierde la efectividad de la retroalimentación (ue se genera con el monitoreo. Se presentan de%ciencias en el desempeo institucional.
=ERRAME23A 'E MO23OREO 'E 0A MP0EME23AC12 'E0 SS3EMA 'E CO23RO0 23ER2O !SC) E2 0AS EMPRESAS 'E 0A CORPORAC12 4O2A4E
'atos Generales del monitoreo&
"ombre de la Empresa a Evaluar
Sector
Evaluador =es? del SCI
echa de inicio de la evaluación
!"#$!% %mpresarial
Empresarial
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
Componente 5& Ambiente de Control l
Sub Componente ilosof-a de la +irección
2ivel de Madure*
l
l
l
l
Evidencias de Cumplimiento 7egistros de eventos de capacitación realizados sobre control interno. Acta de compromiso suscrita. +ocumento de designación del Comit' de Control Interno. +ocumento de asignación de funciones al Comit' de Control Interno. Juzón de sugerencias =activo?.
6
5
Asistente de =erramienta 8
9
:
+
N
&arcación Correcta
N
&arcación Correcta
N
&arcación Correcta
N
&arcación Correcta
N
&arcación Correcta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Integridad y @alores ticos
l
l
l
l
l
Evidencias de Cumplimiento Código de tica de la Empresa suscrito por la Alta +irección.
6
5
8
N
9
:
+
Asistente de =erramienta &arcación Correcta
7egistros de difusión del Código de tica# ya sea a trav's de charlas# actas# etc.
N
&arcación Correcta
7egistros de difusión de la Ley de Código de tica de la unción 0/blica# ya sea a trav's de charlas# actas# etc.
N
&arcación Correcta
7eferenciar el Código de tica en el 7eglamento Interno de Braba*o. Informe periódico sobre el seguimiento de procesos
N
&arcación Correcta
N
&arcación Correcta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Administración Estrat'gica
l
l
l
l
Evidencias de Cumplimiento +ocumento de aprobación y difusión del 0lan Estrat'gico.
6
5
8
9
N
:
+
Asistente de =erramienta &arcación Correcta
7egistros de difusión de la visión# misión y ob*etivos
N
&arcación Correcta
!b*etivos operativos y1o 0lan de +esarrollo Institucional
N
&arcación Correcta
7egistro de implementación y evaluación de actividades concordantes con el plan operativo institucional de todas las $reas de la Empresa.
N
&arcación Correcta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin e mbargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Estructura !rganizacional
l
l
l
l
l
+
Asistente de =erramienta
N
&arcación Correcta
Cuadro Asignación de 0ersonal actualizado =CA0?.
N
&arcación Correcta
Estructura org$nica actualizada =organigrama?.
N
&arcación Correcta
&anual de !rganización y unciones actualizado =&!?.
N
&arcación Correcta
&anuales de 0rocedimientos actualizado =&A07!?.
N
&arcación Correcta
Evidencias de Cumplimiento 7eglamento de !rganización y unciones actualizado =7!?.
6
5
8
9
:
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Competencia 0rofesional
l
l
l
l
Sub Componente Asignación de Autoridad y 7esponsabilidad Sub Componente
l
l
Evidencias de Cumplimiento &! actualizado seg/n el per%l de competencias aprobado.
6
5
8
9
7egistro de evaluación de los per%les del personal de la
:
+
Asistente de =erramienta
N
&arcación Correcta
N
Evidencias de Cumplimiento 7egistros de comunicación de funciones &! al personal.
6
Evidencias de Cumplimiento 7egistro de oportunidades de me*ora sugeridas por el !CI.
6
5
5 N
8
8
9
9
:
:
&arcación Correcta
+
Asistente de =erramienta
N
&arcación Correcta
+
Asistente de =erramienta
N
Se ha marcado N m$s de una vez# favor veri%car
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
Componente 8& Evaluación de Ries#os l
Sub Componente 0laneamiento de la Administración de 7iesgos
2ivel de Madure*
l
l
l
l
l
Evidencias de Cumplimiento +esignación de un e(uipo de traba*o OComit' de 7iesgosP o e(uivalente.
6
5
Asistente de =erramienta 8
9
:
+ N
&arcación Correcta
&arcación Correcta
Actas de traba*o o reunión del Comit' de 7iesgos.
&arcación Correcta
Linemamientos y pol-ticas para la administración de riesgos establecidos por la +irección.
&arcación Correcta
&arcación Correcta
7egistro de la capacitación del Comit' de 7iesgos de la Empresa.
0lan de Administración de 7iesgos aprobado.
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta ev idencia; sin embargo# no se cuenta con procesos de me *ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
Componente 9& Actividades de Control Gerencial Sub Componente 0rocedimientos de Autorización y Aprobación l
l
2ivel de Madure* l
Sub Componente Segregación de unciones l
Evidencias de Cumplimiento Elaboración y aprobación del &A07! o documento
6
Evidencias de Cumplimiento Bablas de niveles de autorización incluidas en el &anual Interno# &! o &A07!; o matrices de segregación de funciones de los procesos clave: ) 7ealización de la operación ) Actividad de control ) Custodia ) 7egistro de la operación
6
5
Asistente de =erramienta 8
9
:
+
N
5
8
N
&arcación Correcta
9
:
+
Asistente de =erramienta
&arcación Correcta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Evaluación de desempeo
l
l
l
l
l
Sub Componente 7endición de Cuentas
l
Evidencias de Cumplimiento lu*ogramas de los procesos donde se identi%(uen las actividades cr-ticas a ser medidas y los responsables de
6
5
8
9
:
+
Asistente de =erramienta
N
&arcación Correcta
7egistro de indicadores de desempeo para procesos# actividades y tareas.
N
&arcación Correcta
7egistro de la medición de desempeo de los procesos.
N
&arcación Correcta
N
&arcación Correcta
An$lisis e informe del desempeo de los procesos actualizado. Evidencias de Cumplimiento 7egistros de rendiciones de cuentas realizadas por el
6
5
8 N
9
:
+
Asistente de =erramienta &arcación Correcta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Controles para las Becnolog-as de la
l
l
l
l
l
Evidencias de Cumplimiento Informes periódicos de generación de claves de acceso y archivos de respaldo.
6
5
8
9
:
+
Asistente de =erramienta
N
&arcación Correcta
N
&arcación Correcta
0lan !perativo Inform$tico de la Empresa.
N
&arcación Correcta
0lan de Contingencias del $rea de Inform$tica.
N
&arcación Correcta
N
&arcación Correcta
Bablas de niveles de acceso.
Informes periódicos sobre las acciones realizadas para el cumplimiento de la normativa aplicable sobre BIC.
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
l
omponen e & n%ormación " Comunicación Sub Componente unciones y caracter-sticas de la información
Sub Componente Información y
Sub Componente
2ivel de Madure*
l
l
Evidencias de Cumplimiento Inventario de reportes clave generados en la Empresa# clasi%cación y niveles para el acceso a la misma.
6
Evidencias de Cumplimiento 0ol-ticas y procedimientos (ue garantizan el adecuado suministro de información al personal de la Empresa para el cumplimiento de sus funciones y
6
Evidencias de Cumplimiento
6
5
Asistente de =erramienta 8
9
:
+
5
8
9
:
&arcación Correcta
+
5
8
9
Asistente de =erramienta
&arcación Correcta
:
+
Asistente de =erramienta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
l
Sub Componente Comunicación Eterna
l
l
l
Sub Componente
Evidencias de Cumplimiento Bablas aprobadas de tipos de documentos de comunicación eterna y de los niveles de emisión responsables# ya sea por +irectiva# &anual Interno# o
6
5
8
0ol-tica y procedimiento para actualizar el portal de transparencia de la Empresa. &ecanismos y procedimientos para asegurar la adecuada atención de los re(uerimientos eternos de información =Ley de Bransparencia y Acceso a la Información 0/blica?.
Evidencias de Cumplimiento
6
5
8
9
:
+
Asistente de =erramienta
&arcación Correcta
&arcación Correcta
&arcación Correcta
9
:
+
Asistente de =erramienta
Monitoreo de la mplementación del SC 6 "o se ha podido comprobar la eistencia de las evidencias de cumplimiento del Sub Componente del SCI. 2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas. 8 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo# no se ha podido comprobar su adecuada difusión. 5 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas# aprobadas y adecuadamente difundidas. Se ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo# no se cuenta con procesos de me*ora continua para esta evidencia. 9 En adición a las caracteristicas del nivel 5# se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub Componente del SCI# las mismas (ue han pasado por un proceso de me*ora continua. 3 En adición a las caracteristicas del nivel 9# se cuentan con evidencias documentarias de instancias evaluadoras# internas y eternas# de la efectividad del Sub Componente del SCI. As- mismo# funciona a manera de referente de otras Empresas de la industria.
Componente + & Supervisión Sub Componente Actividades de 0revención y &onitoreo: l
2ivel de Madure* l
Evidencias de Cumplimiento 7egistros de revisión periódica de procesos y procedimientos =actas# actualización de
6
5
Asistente de =erramienta 8
:
+
N
&arcación Correcta
N
&arcación Correcta
0revención y &onitoreo Actas de revisión de avance de e*ecución de 0lan Estrat'gico =ob*etivos# indicadores estrat'gicos# etc?# y capacitaciones preventivas en relación al control interno.
Sub Componente Seguimiento de 7esultados: l
9
7eporte de +e%ciencias
l
Evidencias de Cumplimiento ormato aprobado para el registro de +e%ciencias.
6
5
8
9
:
+
Asistente de =erramienta &arcación Correcta
Resultados del Monitoreo de la mplementación del SC en la Empresa 4O2A4E Resumen Parcial 2ivel de mplementación del SC Ambiente de control Evaluación de Ries#os Actividades de control n%ormación " Comunicación Supervisión
9$8> 9$?: :$+6 8$66 9$59 9$66
Establecido; mplementado
9$8>
%sta)lecido* Implementado
'E3A00E 'E0 P@23AE OB3E2'O
2E0 'E MP0EME23ACO2 'E0 SS3EMA 'E CO23RO0 23ER2O
A3E2C12 MD.MA
ATENCIÓN MEDIA
Sección 5 AMBE23E 'E CO23RO0
9$?:
2.2 ) ilosof-a de la +irección
8.99
En proceso de implementación
1+1 , !ilosof-a de la Dirección
2.8 ) Integridad y valores 'ticos 2.5 ) Administración Estrat'gica
8.5G 8.3
En proceso de implementación En proceso de implementación
1+3 , $dministración %strat0gica
2.9 ) Estructura organizacional 2.3 ) Administración de 7ecursos umanos
3.66 3.66
!ptimizado !ptimizado
2.G ) Competencia profesional 2. ) Asignación de autoridad y responsabilidad
9.36 3.66
Avanzado !ptimizado
ATENCIÓN LE,E
1+2 , Integridad . /alores 0ticos
2.Q )
:$+6
Avan*ado
8.2 ) 0laneamiento de Administración de 7iesgos
3.66
!ptimizado
8.8 ) Identi%cación de 7iesgos 8.5 ) @aloración de 7iesgos 8.9 ) 7espuesta al riesgo
3.66 3.66 5.66
!ptimizado !ptimizado Establecido1 Implementado
Sección 9 AC3'A'ES 'E CO23RO0 GERE2CA0
8$66
nicial
5.2 ) 0rocedimiento de Autorización y Aprobación 5.8 ) Segregación de unciones
8.66 8.66
En proceso de implementación En proceso de implementación
3+1 , rocedimiento de $utoriación . $pro)ación
5.5 ) Evaluación Costo ) Jene%cio 5.9 ) Controles sobre el acceso a los recursos o archivos
8.66 8.66
En proceso de implementación En proceso de implementación
3+3 , %/aluación Costo , eneficio
5.3 ) @eri%cación y conciliaciones 5.G ) Evaluación de desempeo
8.66 8.66
En proceso de implementación En proceso de implementación
5. ) 7endición de cuentas 5.Q ) +ocumentación de procesos# actividades y tareas
8.66 8.66
En proceso de implementación En proceso de implementación
5.R ) 7evisión de procesos# actividades y tareas 5.26 ) Controles para las tecnolog-as de Información y comunicaciones
8.66 8.66
En proceso de implementación En proceso de implementación
Sección : 24ORMAC12 F COM@2CAC12
9$59
9.2 ) unciones y caracter-sticas de la información 9.8 ) Información y responsabilidad
9.66 5.66
Avanzado Establecido1 Implementado
9.5 ) Calidad y su%ciencia de la información 9.9 ) Sistemas de información
5.66 5.66
Establecido1 Implementado Establecido1 Implementado
4+3 , Calidad . suficiencia de la información
9.3 ) leibilidad al cambio 9.G ) Archivo institucional
5.66 5.66
Establecido1 Implementado Establecido1 Implementado
4+5 , !le(i)ilidad al cam)io
9. ) Comunicación interna 9.Q ) Comunicación eterna
5.66 5.66
Establecido1 Implementado Establecido1 Implementado
2+4 , Respuesta al riesgo
Scción - . ACTI,IDADES DE CONTROL &ERENCIAL
3+2 , egregación de !unciones
3+4 , Controles so)re el acceso a los recursos o arci/os 3+5 , 6erificación . conciliaciones 3+7 , %/aluación de desempe8o 3+9 , Rendición de cuentas 3+ , Documentación de procesos; acti/idades . tareas 3+< , Re/isión de procesos; acti/idades . tareas 3+1= , Controles para las tecnolog-as de Información . comunicaciones
4+2 , Información . responsa)ilidad
4+4 , istemas de información
4+7 , $rci/o i nstitucional 4+9 , Comunicación interna 4+ , Comunicación e(terna
9.R ) Canales de comunicación Sección + S@PERS12
9$66
Establecido; mplementado
3.2 ) Actividades de prevención y monitoreo 3.8 ) Seguimiento de resultados
5.66 5.66
Establecido1 Implementado Establecido1 Implementado
5+1 , $cti/idades de pre/ención . monitoreo
3.5 ) Compromiso de me*oramiento
5.66
Establecido1 Implementado
5+3 , Compromiso de mejoramiento
Scción / . S0PER,ISIÓN
5+2 , eguimiento de resultados
2ota& 0as normas de los componentes del SC cu"a cali
Mn+ rinci#!
&r1'ico