NORMAS GENERALES DE CONTROL INTERNO PARA LA ADMINISTRACIÓN
PÚBLICA DEL ESTADO DE ZACATECAS

Alejandro Tello Cristerna Gobernador del Estado de Zacatecas, en ejercicio de la facultad que me confieren los artículos 82 y 85 de la Constitución Política del Estado de Zacatecas; primero, 2º, 3º, 6º y 14 de la Ley Orgánica de la Administración Pública del Estado de Zacatecas; y

Considerando

La administración pública requiere someterse de manera constante a procesos de mejora continua que permitan dar respuesta a las cambiantes demandas de la sociedad, que agilicen los procesos internos y maximicen el uso de recursos humanos, materiales y financieros, es necesario reforzar la supervisión y el control con un enfoque preventivo, específicamente en el control interno y la creación de un sistema de medición del desempeño a través de indicadores de gestión.

El principal propósito de éste Gobierno es garantizar la fiscalización, transparencia, rendición de cuentas y combate a la corrupción como elementos indispensables para el ejercicio de un gobierno eficiente y democrático a través de la implementación de un sistema de planeación que involucre la gestión por resultados y la evaluación del desempeño para prevenir prácticas de corrupción e impunidad dentro de la Administración Pública Estatal y así elevar la funcionalidad y eficiencia de la misma, por lo que se hace obligatoria la instrumentación del control interno a través de los titulares de las dependencias y entidades, con estricto apego al presente modelo estatal de marco integrado de control interno.

Es necesario impulsar el desarrollo de una cultura de participación en las acciones de control en las actividades y resultados de la Administración Pública del Estado, con el propósito de consolidar la transparencia en la información y en las acciones del Gobierno dirigidas al cumplimiento de las metas y objetivos de las dependencias y entidades de la Administración Pública Estatal.

Para lograr mayor eficacia en el cumplimiento de estos objetivos y metas es necesario contar con disposiciones básicas para el diseño, actualización e implementación del sistema de control interno que impulsen la administración eficiente y eficaz de los recursos públicos y promuevan el cumplimiento de sus objetivos.

La práctica de autoevaluación del control interno aplicada por la administración de cada dependencia y entidad de la Administración Pública Estatal promoverá la mejora continua y la implementación de recomendaciones promovidas por los funcionarios y servidores encargados de las operaciones, generando mayores niveles de eficacia y eficiencia institucional.

Por lo anteriormente expuesto, tengo a bien expedir:

NORMAS GENERALES DE CONTROL INTERNO PARA LA ADMINISTRACIÓN
PÚBLICA DEL ESTADO DE ZACATECAS

Capítulo I
Disposiciones generales

Artículo primero. El presente Instrumento tiene por objeto establecer las Normas Generales que en Materia de Control Interno deberán observar los servidores públicos de las dependencias y entidades de la Administración Pública Estatal.

La finalidad es implementar los mecanismos de control interno que coadyuven al cumplimiento de sus metas y objetivos, prevenir los riesgos que puedan afectar el logro de éstos, fortalecer el cumplimento de las leyes y disposiciones normativas, generar una adecuada rendición de cuentas y transparentar el ejercicio de la función pública.

Art. 2º Para los efectos de las presentes Normas se entenderá por:

I. Actividades de control: procedimientos, técnicas y mecanismos que forman parte integral de la planeación, implementación, revisión y registro de la gestión de recursos y el aseguramiento de la confiabilidad de los resultados;

II. Administración de riesgos: proceso para identificar, analizar, evaluar, atender, monitorear y comunicar los riesgos asociados con una actividad;

III. Autocontrol: acciones y prácticas de supervisión o evaluación de cada sistema, actividad o proceso;

IV. Comité del control interno: servidores públicos responsables del seguimiento de los presentes lineamientos, en cada una de las dependencias y entidades;

V. Coordinador general: coordinador general de control interno;

VI. Mapa de riesgos: la representación gráfica de uno o más riesgos que permite vincular la probabilidad de ocurrencia y su impacto en forma clara y objetiva;

VII. Matriz de administración de riesgos: el tablero de control que refleja el diagnóstico general de los riesgos para contar con un panorama de los mismos e identificar áreas de oportunidad en la institución;

VIII. Normas Generales: Normas Generales de Control Interno para la Administración Pública del Estado de Zacatecas;

IX. Órgano de control: órgano interno de control de las dependencias y entidades;

X. Riesgo: evento adverso e incierto externo o interno que derivado de la combinación de su probabilidad de ocurrencia y el posible impacto pudiera obstaculizar o impedir el logro de los objetivos y metas institucionales;

XI. Sistema de evaluación: sistema de evaluación de control interno;

XII. Sistema de control: sistema de control interno institucional:

XIII. Titular: titular de las dependencias y entidades de la Administración Pública Estatal; y

XIV. Servidores públicos: trabajadores que prestan sus servicios en la administración pública.

Capítulo II
De los responsables de su aplicación,
seguimiento y vigilancia

Art. 3º Es responsabilidad de los titulares establecer y mantener el sistema de control interno institucional necesario para conducir las actividades hacia el logro de sus objetivos y metas, evaluar y supervisar su funcionamiento y ordenar las acciones para su mejora continua, así mismo, establecer los mecanismos, procedimientos específicos y acciones que se requieran para la debida observancia de las Normas Generales.

Cada titular designará a un coordinador general, cuya función recaerá en el coordinador administrativo o equivalente, así como un responsable del sistema de control interno y un responsable de administración de riesgos, quienes deberán ser servidores públicos del nivel jerárquico inmediato inferior del coordinador general, mismos que conformarán el comité de control interno de la dependencia o entidad.

Las designaciones y cambios en los mismos se informarán a la Secretaría de la Función Pública.

Art. 4º Para la aplicación del sistema de control las dependencias y entidades deberán clasificar los mecanismos de control preventivo, detectivo y correctivo. En ese sentido deberán implementar en primer término el preventivo así como privilegiar las prácticas de autocontrol, para evitar que se produzca un resultado o acontecimiento no deseado o inesperado.

Art. 5º La Secretaría de la Función Pública, por si o a través de los órganos de control verificará el cumplimiento de las presentes Normas.

Art. 6º El control interno debe ser desarrollado e instrumentado en atención a las circunstancias y operaciones particulares de cada dependencia y entidad, su aplicación y operación serán en función de apoyar el logro de los objetivos institucionales y rendir cuentas a nivel interno y externo.

Art. 7º El marco legal aplicable en la prestación de los servicios y la realización de trámites es la base del control interno institucional, tanto en su entorno general de operación como en los procesos y actividades específicas establecidas en instrumentos de creación.

Asimismo se aplicarán la reglamentación y normas técnicas aplicables a la gestión enfocada al cumplimiento de los objetivos institucionales y a la rendición de cuentas interna y externa.

Capítulo III
De las Normas Generales

Art. 8º El control interno tiene por objetivo proporcionar una seguridad razonable en el logro de metas, dentro de las siguientes categorías:

I. Eficiencia y economía de las operaciones, programas y proyectos;

II. Confiabilidad, veracidad y oportunidad de la información financiera, presupuestaria y de operación;

III. Cumplimiento del marco jurídico aplicable a las instituciones; y

IV. Salvaguardar, preservar y mantener los recursos públicos en condiciones de integridad, transparencia y disponibilidad para los fines a que están destinados.

Art. 9º Las Normas Generales son la base para que los titulares establezcan y en su caso actualicen los procedimientos y sistemas específicos de control interno que formen parte integrante de sus actividades y operaciones administrativas, asegurándose que estén alineados a los objetivos, metas, programas y proyectos institucionales.

Art. 10. En el establecimiento y actualización del control interno a través de sus titulares y de los servidores públicos que se ubiquen en sus diversos niveles de responsabilidad, observarán los siguientes componentes:

I. Ambiente de control;

II. Administración de riesgos;

III. Actividades de control;

IV. Información y comunicación; y

V. Supervisión.

Art. 11. El sistema de control interno institucional se divide en tres niveles de responsabilidad cuyos propósitos son los siguientes:

A. Estratégico: lograr la misión, visión, objetivos y metas institucionales. Los servidores públicos responsables en este nivel son los titulares;

B. Directivo: la operación de los procesos y programas se realice correctamente. Los servidores públicos responsables en este nivel son directores generales, directores y subdirectores en las dependencias y entidades; y

C. Operativo: las acciones y tareas requeridas en los distintos procesos se ejecuten de manera efectiva. Los servidores públicos responsables en este nivel son jefes de departamento o sus equivalentes, así como toda persona que desempeñe algún empleo, cargo o comisión de cualquier naturaleza.

Art. 12. Los titulares deberán asegurarse del cumplimiento de los componentes de las Normas Generales:

I. Ambiente de control. Que exista un entorno y clima de respeto e integridad con actitud de compromiso y congruente con los valores éticos del servicio público en estricto apego al marco jurídico que rige a la Administración Pública Estatal, observando que:

a) Exista una clara definición de responsabilidades, desagregación y delegación de funciones, además de prácticas adecuadas de administración de los recursos humanos; alineados en su conjunto con la misión, visión, objetivos y metas institucionales, lo que contribuirá a fomentar la transparencia, rendición de cuentas y el apoyo a la implementación de un sistema de control eficiente;

b) Los servidores públicos conozcan y observen los códigos de ética y de conducta y se establezca una línea de actuación apropiada que prevenga la comisión de actos de corrupción;

c) Establecer la misión, visión, objetivos, estrategias, líneas de acción, metas e indicadores para la institución, alineados a los objetivos y metas del Plan Estatal de Desarrollo, programas sectoriales y especiales, con base en una planeación estratégica institucional;

d) Supervisar que la gestión gubernamental y la implementación, supervisión, evaluación y mejora continua del control interno institucional se realice, por medio de criterios y lineamientos específicos que hagan énfasis en la medición de resultados con base en indicadores de desempeño, debidamente autorizados y actualizados;

e) La estructura organizacional se encuentre debidamente autorizada y actualizada para planear, coordinar, ejecutar, supervisar y controlar las operaciones relevantes, así como establecer y mantener vigentes los manuales de organización y de procedimientos en donde se definan las atribuciones, responsabilidades y funciones de sus unidades administrativas;

f) Se establezcan las políticas y prácticas para la administración de los recursos humanos que permitan atraer, desarrollar y retener personal competente para apoyar el logro de los objetivos y metas institucionales, así como la evaluación de sus competencias de gestión para identificar áreas de oportunidad, de mejora y corregir deficiencias; y

g) Que el control interno coadyuve para que se cumplan en la institución las obligaciones de transparencia, rendición de cuentas y de combate a la corrupción en el desempeño y consecución de sus metas y objetivos, así como que el personal de la institución rinda cuenta de sus responsabilidades.

Le corresponde a cada uno de los niveles de responsabilidad de control interno, asegurarse de que se cumpla con las siguientes actividades:

A. Nivel estratégico:

a) Alinear la misión, visión, objetivos y metas Institucionales al Plan Estatal de Desarrollo y a los programas sectoriales e institucionales;

b) Actualizar o en su caso crear y difundir el Código de Conducta, en apego al Código de Ética de la Administración Pública de Gobierno del Estado;

c) Diseñar, establecer y operar los controles con apego al Código de Ética de la Administración Pública del Gobierno del Estado;

d) Promover e impulsar la capacitación y sensibilización de la cultura de autocontrol y administración de riesgos;

e) Efectuar la planeación estratégica institucional como un proceso sistemático con mecanismos de control y seguimiento, que proporcionen periódicamente información relevante y confiable para la toma oportuna de decisiones;

f) Actualizar o en su caso, crear y difundir políticas de operación que orienten los procesos al logro de resultados;

g) Utilizar las tecnologías de la información y comunicación para simplificar y hacer más efectivo el control;

h) Contar con un sistema de información integral y preferentemente automatizado que, de manera oportuna, económica, suficiente y confiable, resuelva las necesidades de seguimiento y toma de decisiones; y

i) Dar a conocer y aplicar las presentes Normas Generales, entre todos los servidores públicos de la dependencia o entidad.

B. Nivel directivo:

a) Verificar que el personal de las dependencias y entidades conoce y comprende la misión, visión, objetivos y metas institucionales;

b) Definir la autoridad y responsabilidad de sus subordinados con base en la estructura orgánica, segregando y delegando funciones, delimitando facultades entre el personal qué autoriza, ejecuta, vigila, evalúa, registra o contabiliza las transacciones; evitando que dos o más de éstas se concentren en una misma persona y además, establecer las adecuadas líneas de comunicación e información;

c) Definir, alinear y actualizar los perfiles y descripción de puestos a las funciones y contar con procesos para la contratación, capacitación, evaluación del desempeño, estímulos y en su caso, promoción de los servidores públicos;

d) Aplicar al menos una vez al año encuestas en torno al clima organizacional para identificar áreas de oportunidad, determinar acciones, dar seguimiento y evaluar resultados;

e) Alinear los manuales de organización a la estructura orgánica autorizada y a las atribuciones y responsabilidades establecidas en las leyes, reglamentos, y demás ordenamientos aplicables, así como, a los objetivos institucionales;

f) Mantener actualizados y autorizados los manuales de organización y de procedimientos.

C. Nivel operativo:

a) Realizar sus funciones en cumplimiento al manual de organización y en apego a los Códigos de Ética y de Conducta; y

b) Realizar las operaciones conforme a los manuales de procedimientos actualizados, autorizados y publicados;

II. Administración de riesgos. Implementar un proceso sistemático que permita establecer el contexto, identificar, analizar, evaluar, atender, monitorear y comunicar los riesgos que puedan obstaculizar o impedir el cumplimiento de los objetivos y metas institucionales, observando que:

a) Los objetivos y metas institucionales sean específicos, relevantes y con claridad suficiente para establecer su relación con los riesgos institucionales;

b) Se analicen los factores internos y externos que puedan aumentar el impacto y la probabilidad de materialización de los riesgos; y se definan estrategias y acciones para controlarlos y fortalecer el sistema de control interno;

c) La evaluación de riesgos considere los factores que influyen en la gravedad, prontitud y constancia del riesgo, la probabilidad de la pérdida de los recursos públicos y el impacto en las operaciones, informes y actividades sustantivas. En esta etapa, se considera la identificación de riesgos de corrupción que impacten el logro de metas y objetivos institucionales;

d) La administración de riesgos se realice en apego a las etapas mínimas del proceso, establecidas en las presentes Normas;

e) El análisis y seguimiento de los riesgos, prioritariamente los de atención inmediata, se efectúen conforme a lo establecido en estas disposiciones.

Le corresponde a cada uno de los niveles de responsabilidad de control interno, asegurarse de que se cumpla con las siguientes actividades:

A. Nivel estratégico:

a) Administrar los riesgos que puedan afectar el logro de los objetivos y metas institucionales;

b) Verificar que existe un proceso permanente para identificar el cambio de condiciones y tomar las acciones necesarias, a fin de que el mapa de riesgo siga siendo útil, así como las medidas de control interno implementadas sigan siendo efectivas; y

c) Definir las estrategias encaminadas a minimizar el nivel de riesgo y reforzar el control interno para su prevención y manejo.

B. Nivel directivo:

a) Identificar los factores de riesgo relevantes, para establecer los puntos clave de control para su administración;

b) Elaborar y mantener actualizados los mapas de riesgo, atendiendo a los cambios en el entorno económico y legal, a las condiciones internas y externas y a la incorporación de objetivos nuevos o modificados;

c) Analizar y clasificar los factores de riesgo, en cuanto a su impacto y probabilidad de ocurrencia;

d) Establecer y mantener mecanismos efectivos de control interno que permitan tratar y mantener el riesgo en un nivel aceptable; y

e) Establecer procedimientos para asegurar el correcto diseño e implementación de medidas para gestionar o minimizar el riesgo;

III. Actividades de control. Todos los niveles y funciones de la institución establecerán y actualizarán los procedimientos, mecanismos y acciones necesarias para lograr razonablemente los objetivos y metas institucionales, observando que:

a) Dentro de éstas, se incluyan diversas actividades de revisión, aprobación, autorización, verificación, conciliación y supervisión que provean evidencia documental y electrónica de su ejecución;

b) La selección y desarrollo de actividades de control contribuyan a dar respuesta y reducir los riesgos y estén basadas principalmente en el uso de las tecnologías de la información y comunicación para apoyar el logro de metas y objetivos institucionales;

c) Las actividades de control establecidas sean proporcionales al riesgo.

Aparte del resultado indeseable, normalmente es suficiente diseñar un control que dé una seguridad razonable de poder limitar las pérdidas al riesgo aceptable de la dependencia o entidad y la actividad de control debe ofrecer valor por su costo en relación al riesgo al que se está dirigiendo.

Le corresponde a cada uno de los niveles de responsabilidad de control interno, asegurarse de que se cumpla con las siguientes actividades:

A. Nivel estratégico:

a) Establecer los instrumentos y mecanismos que miden los avances y resultados del cumplimiento de los objetivos y metas institucionales y analizan las variaciones;

b) Establecer los instrumentos y mecanismos para identificar y atender la causa raíz de las observaciones determinadas por las diversas instancias de fiscalización, a efecto de abatir su recurrencia; y

c) Proponer la implementación de técnicas de evaluación, para conocer el grado de satisfacción de la sociedad e impacto de sus programas o actividades, con el propósito de realizar mejoras.

B. Nivel directivo:

a) Verificar que las operaciones y actividades relevantes están autorizadas y ejecutadas por el servidor público facultado para ello conforme a la normatividad; dichas autorizaciones deberán ser comunicadas al personal, en todos los casos se debe asegurar la cancelación de accesos autorizados a espacios restringidos y a las tecnologías de información y comunicación del personal que causó baja;

b) Definir claramente las actividades que coadyuven al cumplimiento de las metas comprometidas con base en el presupuesto asignado del ejercicio fiscal;

c) Analizar las variaciones, por unidad administrativa de los avances y resultados del cumplimiento de los objetivos y metas institucionales;

d) Implementar controles para que los servicios se brinden con estándares de calidad; y

e) Descentralizar las autorizaciones y actividades de control.

C. Nivel operativo:

a) Operar mecanismos efectivos de control para las distintas operaciones en su ámbito de competencia que incluyen entre otras: aprobación, registro, autorizaciones, verificaciones, conciliaciones, revisiones, resguardo de archivos, bitácoras de control, alertas y bloqueos de sistemas y distribución de funciones;

b) Registrar y soportar debidamente las operaciones relevantes con documentación clasificada, organizada y resguardada para su consulta y en cumplimiento de las leyes que le aplican;

c) Soportar las operaciones de recursos humanos, materiales, financieros y tecnológicos, con la documentación pertinente y suficiente; y aclarar o corregir con oportunidad, aquéllas con omisiones, errores, desviaciones o insuficiente soporte documental;

d) Verificar que existen los espacios y medios necesarios para asegurar y salvaguardar los bienes, incluyendo el acceso restringido al efectivo, títulos de valor, inventarios, mobiliario y equipo u otros que pueden ser vulnerables al riesgo de pérdida, uso no autorizado, actos de corrupción, errores, fraudes, malversación de recursos o cambios no autorizados; y que son oportunamente registrados y periódicamente comparados físicamente con los registros contables;

e) Operar controles para garantizar que los bienes y servicios se brinden con calidad; y

f) Verificar que existen y operan los controles necesarios de tecnologías de información y comunicación para:

1. Asegurar la integridad, confidencialidad y disponibilidad de la información electrónica de forma oportuna y confiable.

2. Instalación apropiada y con licencia de software adquirido.

3. Plan de contingencias que dé continuidad a la operación de las técnicas de información y comunicación de las dependencias y entidades.

4. Programas de seguridad, adquisición, desarrollo y mantenimiento de las técnicas de información y comunicación.

5. Procedimientos de respaldo y recuperación de información, datos, imágenes, voz y video, en servidores y centros de información y programas de trabajo de los operadores en dichos centros.

6. Desarrollo de nuevos sistemas informáticos y modificaciones a los existentes, que sean compatibles, escalables e interoperables. Y

7. Seguridad de accesos a personal autorizado, que comprenda registros de altas, actualización y bajas de usuarios.

Información y comunicación. Que existan flujos identificados de información externa e interna y mecanismos adecuados para el registro y generación de información clara, confiable, oportuna y suficiente, con acceso ágil y sencillo; que permita la adecuada toma de decisiones, transparencia y rendición de cuentas de la gestión pública, observando que:

a) La Información que se genere, obtenga, adquiera, transforme o conserve sea relevante, se clasifique y comunique en tiempo y forma en cumplimiento a las disposiciones legales y administrativas aplicables en la materia. Que los sistemas de información estén diseñados e instrumentados bajo criterios de utilidad, confiabilidad y oportunidad, así como con mecanismos de actualización permanente, difusión eficaz por medios electrónicos y en formatos susceptibles de aprovechamiento para su procesamiento y permitan determinar si se están cumpliendo los objetivos y metas institucionales con el uso eficiente de los recursos;

b) Que existan canales de comunicación adecuados y retroalimentación entre todos los servidores públicos, que generen una visión compartida, articulen acciones y esfuerzos, faciliten la integración de los procesos e instituciones y mejoren las relaciones con los grupos de interés; así como crear cultura de compromiso, orientación a resultados y a la adecuada toma de decisiones;

c) Se implementen procedimientos, métodos, recursos e instrumentos que garanticen la difusión y circulación amplia y focalizada de la información dada a los diferentes grupos de interés, preferentemente automatizados;

d) En los sistemas computarizados existan controles generales de seguridad, acceso, aplicación y operación de la información procesada y almacenada;

e) Se empleen los procedimientos establecidos en la normatividad vigente para salvaguardar documentos e información que se deba conservar, en virtud de su relevancia o por sus aspectos técnicos, jurídicos, económicos o de seguridad.

Corresponde a cada uno de los niveles de responsabilidad de control interno, asegurarse de que se cumpla con las siguientes actividades:

A. Nivel estratégico:

a) Contar con información periódica y relevante de los avances en la atención de los acuerdos y compromisos de las reuniones del órgano de gobierno, comités institucionales y de grupos de alta dirección, a fin de impulsar su cumplimiento oportuno y obtener los resultados esperados.

B. Nivel directivo:

a) Contar con un sistema de información que permita conocer si se cumplen los objetivos y metas Institucionales con uso eficiente de los recursos y de conformidad con las leyes, reglamentos y demás disposiciones aplicables;

b) Verificar que el sistema de información proporciona información contable y programático-presupuestal oportuna, suficiente y confiable;

c) Establecer medidas a fin de que la información generada cumpla con las disposiciones legales y administrativas aplicables;

d) Verificar que existe y opera un registro de acuerdos y compromisos de las reuniones del órgano de gobierno y de grupos de alta dirección, así como de su seguimiento, a fin de que se cumplan en tiempo y forma;

e) Verificar que existe y opera un mecanismo para el registro, análisis y atención oportuna y suficiente de quejas y denuncias; y

f) Prever la protección y el resguardo de la información documental impresa, así como de la electrónica que se considere crítica, considerando la posibilidad que ocurra algún tipo de desastre y las actividades de las dependencias y entidades no pierdan su continuidad.

C. Nivel operativo:

a) Generar y registrar en el ámbito de su competencia, información oportuna, confiable, suficiente y pertinente.

Supervisión. El sistema de control interno institucional se debe supervisar y mejorar continuamente en la operación, con el propósito de asegurar que la insuficiencia, deficiencia o inexistencia identificada en la supervisión, verificación y evaluación interna y por los diversos órganos de fiscalización, se resuelva con oportunidad y diligencia, dentro de los plazos establecidos de acuerdo a las acciones a realizar, debiendo identificar y atender la causa raíz de las mismas a efecto de evitar su recurrencia, observando que:

a) Las debilidades de control interno determinadas por los servidores públicos se hagan del conocimiento del superior jerárquico inmediato y las debilidades de control interno de mayor importancia al titular y en su caso, al órgano de gobierno de las entidades;

b) La evaluación y mejoramiento de los controles específicos, se lleven a cabo por los responsables de las operaciones y procesos correspondientes durante el transcurso de sus actividades cotidianas;

c) Las actividades de supervisión permanente se efectuarán dentro del tramo de control de la dirección, las diferentes instancias, de fiscalización, especialistas externos o por alguna combinación de éstas. El seguimiento permanente y las evaluaciones periódicas ayudarán a asegurar que el control interno mantenga su efectividad a través del tiempo;

d) Las observaciones y debilidades de control interno informadas por la dirección, instancias de fiscalización y especialistas externos se deberán atender con oportunidad y diligencia por parte de los responsables de solventarlas, contribuyendo con ello a la eficiencia del control interno.

Le corresponde a cada uno de los niveles de responsabilidad de control interno, asegurarse de que se cumpla con las siguientes actividades:

A. Nivel estratégico:

a) Ejecutar las operaciones y actividades de control con supervisión permanente y mejora continua a fin de mantener y elevar su eficiencia;

b) Verificar y evaluar periódicamente el sistema de control interno de la institución a través de los servidores públicos responsables de cada nivel de control interno. Así como por medio de los resultados que emitan las instancias de fiscalización y evaluación; y

c) Atender con diligencia la causa raíz de las debilidades de control interno identificadas, con prioridad en las de mayor importancia, a efecto de evitar su recurrencia.

B. Nivel directivo:

a) Realizar la supervisión permanente y mejora continua de las operaciones y actividades de control; y

b) Identificar la causa raíz de las debilidades de control interno determinadas por la dependencia o entidad y, así como por las instancias de fiscalización y evaluación, con prioridad en las de mayor importancia, implementando las adecuaciones que eviten su recurrencia.

Capítulo IV
Del sistema de control interno

Art. 13. En el sistema de control interno institucional, el titular será responsable de:

I. Establecerlo y mantenerlo actualizado conforme a la estructura del control interno. Debiendo considerar las particularidades de la dependencia o entidad;

II. Supervisar y evaluar periódicamente su funcionamiento;

III. Asegurar que se autoevalúe por su nivel en el sistema e informar anualmente el estado que guarda;

IV. Establecer acciones de mejora para fortalecerlo e impulsar su cumplimiento oportuno;

V. Aprobar el informe anual y las encuestas consolidadas por nivel de responsabilidad;

VI. Aprobar el programa de trabajo y, en su caso su actualización, así como difundirlo a los responsables de su implementación;

VII. Privilegiar el autocontrol y los controles preventivos; y

VIII. Presentar a la Secretaría de la Función Pública, al órgano de control y en su caso, al órgano de gobierno las debilidades y las acciones de mejora respectivas.

Art. 14. A los servidores públicos de los tres niveles de responsabilidad les corresponde:

I. Establecer y mantener actualizado el sistema de control;

II. Supervisar y autoevaluar periódicamente su funcionamiento;

III. Proponer acciones de mejora e implementarlas en las fechas y forma establecidas; e

IV. Informar a su superior inmediato de las debilidades de control interno detectadas; las debilidades de control interno de mayor importancia, se comunicarán al titular de las dependencias o entidades, conjuntamente con la propuesta de las acciones de mejora correspondientes.

Art. 15. Los titulares de los órganos de control o en su caso, el enlace de control, en el sistema de control serán responsables de:

I. Evaluar el informe anual y el programa de trabajo de control interno; y

II. Dar seguimiento al establecimiento y actualización del sistema de control.

Art. 16. Todos los servidores públicos de las dependencias y entidades, en el ámbito de su competencia, contribuirán al establecimiento y mejora continua del sistema de control interno.

Art. 17. En apoyo a la implementación y actualización del sistema de control interno la participación del Coordinador General, consistirá en lo siguiente:

I. Ser el enlace de control, quien fungirá como canal de comunicación con la Secretaría de la Función Pública para su implementación;

II. Acordar con el titular las acciones a seguir para la instrumentación de las disposiciones relacionadas con el sistema de control interno;

III. Revisar con el responsable de elaborar informes de control interno el proyecto de los documentos siguientes:

a) Informe anual, encuestas consolidadas por nivel de responsabilidad y programa de trabajo de control interno;

b) Reporte del avance trimestral del programa con base en las autoevaluaciones;

c) Programa de trabajo de control interno; y

IV. Presentar para aprobación del titular los documentos descritos en el inciso anterior.

Art. 18. Corresponde al responsable del sistema de control interno, las siguientes funciones:

I. Ser el canal de comunicación e interacción con el Coordinador General;

II. Realizar la autoevaluación anual en línea, mediante el uso del sistema de evaluación de control interno;

III. Evaluar con los responsables por niveles de control interno las propuestas de acciones de mejora que serán incorporadas a las encuestas consolidadas y al programa de trabajo de control interno;

IV. Integrar por nivel de control interno los resultados de las encuestas, para elaborar la propuesta del informe anual, las encuestas consolidadas y el programa de trabajo de control interno, para revisión del Coordinador General;

V. Obtener el porcentaje de cumplimiento general, por niveles del sistema de control interno y por componente:

VI. Resguardar las encuestas aplicadas y consolidadas;

VII. Elaborar propuesta de actualización del programa interno de control interno para revisión del Coordinador General;

VIII. Dar seguimiento permanente al programa de trabajo de control interno; e

IX. Integrar información, elaborar el proyecto de reporte de avances trimestral consolidado del cumplimiento del programa de trabajo de control interno y presentarlo al Coordinador General.

Capítulo V
Evaluación y fortalecimiento del
sistema de control interno

Art. 19. Los titulares realizarán por lo menos una vez al año, la autoevaluación del estado que guarda el sistema de control interno a través del sistema de evaluación de control interno; con corte al 31 de diciembre del ejercicio evaluado a más tardar el 31 de marzo del siguiente ejercicio, ante la Secretaría de la Función Pública, el órgano interno de control y en su caso al órgano de gobierno.

El sistema de evaluación de control interno es la herramienta informática proporcionada por la Secretaría de la Función Pública en la que se realizan las autoevaluaciones, funciona mediante acceso a internet permitiendo que se elaboren de forma remota desde los equipos informáticos de los servidores públicos.

Art. 20. El informe anual deberá contener la firma autógrafa del titular y se integrará con los siguientes apartados:

I. Aspectos relevantes derivados de la aplicación de las encuestas:

a) Porcentaje de cumplimiento general, por nivel del sistema de control interno y por componente;

b) Elementos de control interno con mayor grado de cumplimiento, identificados por componente y nivel de responsabilidad del sistema de control interno institucional; y

c) Debilidades o áreas de oportunidad en el sistema de control interno;

II. Presentar los resultados alcanzados con la implementación de las acciones de mejora comprometidas en el año inmediato anterior, en relación con los esperados; y

III. Cumplir en tiempo y forma las acciones de mejora comprometida en el programa de trabajo de control interno.

Art. 21. Los titulares deberán sustentar los apartados contenidos en el programa de trabajo de control interno, con las encuestas consolidadas que deberán ser anexadas al informe anual, éstas se remitirán solo en versión electrónica.

Art. 22.La autoevaluación por nivel de responsabilidad de control interno se realizará mediante la aplicación de encuestas contenidas en el sistema de evaluación de control interno.

Art. 23. El responsable del sistema de control interno aplicará las encuestas trimestrales en los tres niveles de responsabilidad, estratégico, directivo y operativo, para este último se seleccionará una muestra representativa de los servidores públicos que lo integran.

Art. 24. Los servidores públicos en el nivel del sistema de control interno, en el ámbito de su competencia, serán responsables de conservar la evidencia documental y electrónica suficiente, competente, relevante y pertinente que acredite las afirmaciones efectuadas en la encuesta, así como de resguardarla y tenerla a disposición de los órganos fiscalizadores, por lo que no se adjuntará documento físico alguno.

Art. 25. Del resultado obtenido del sistema de evaluación de control interno, el titular implementará acciones de mejora, dentro del ámbito de su competencia en un plazo máximo de seis meses.

Art. 26. El programa de trabajo de control interno, incluirá las acciones de mejora determinadas en las encuestas consolidadas, fechas compromiso, actividades y fechas específicas de inicio y de término, responsables directos de su implementación, medios de verificación y los resultados esperados, así como nombre y firma del titular.

Art. 27. El seguimiento del programa de trabajo de control interno se realizará por el titular, mediante el reporte de avances trimestral, que contendrá lo siguiente:

I. Resumen de acciones de mejora comprometidas, cumplidas, en proceso y su porcentaje de cumplimiento;

II. En su caso, descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones comprometidas y propuestas de solución para consideración del comité de control interno; y

III. Conclusión general sobre el avance global en la atención de las acciones de mejora comprometidas y resultados alcanzados en relación con los esperados.

El reporte de avance trimestral, será presentado por el coordinador general al titular de la dependencia o entidad, con copia para la Secretaría de la Función Pública, dentro de los 15 días hábiles posteriores al cierre del trimestre.

Art. 28. La evidencia documental y electrónica suficiente, competente, relevante y pertinente que acredite la implementación de las acciones de mejora y avances reportados del cumplimiento del sistema de evaluación de control interno, será resguardada por los servidores públicos responsables y estará a disposición de los órganos fiscalizadores.

Art. 29. La Secretaría de la Función Pública podrá dar seguimiento al informe de verificación que realice el órgano interno de control o en su caso, el Coordinador General al reporte de avances trimestral del programa de trabajo de control interno.

Art. 30. La Secretaría de la Función Pública evaluará el informe anual, debiendo presentar con firma autógrafa el informe de resultados a la dependencia o entidad.

Art. 31. El informe de resultados de la evaluación que realice la Secretaría de la Función Pública, considerará los siguientes aspectos:

I. La existencia de las encuestas por cada nivel del sistema de control que soporten las encuestas consolidadas;

II. La existencia de la evidencia documental del cumplimiento de los elementos de control interno reportados en las encuestas consolidadas por cada nivel;

III. El programa de trabajo de control lnterno se integra con las acciones de mejora determinadas en las encuestas consolidadas;

IV. Las acciones de mejora comprometidas en el programa de trabajo de control interno, son pertinentes respecto a las debilidades o áreas de oportunidad detectadas, así como que los resultados esperados son alcanzables y congruentes con dichas acciones;

V. Los resultados alcanzados con la implementación de las acciones de mejora comprometidas en el año inmediato anterior son congruentes con los esperados; y

VI. Conclusiones y recomendaciones.

Capítulo VI
De la función en la administración de riesgos

Art. 32. Los titulares en cumplimiento al segundo componente se asegurarán de que la metodología a instrumentar para la administración de riesgos contenga las etapas mínimas previstas en las presentes Normas y se constituya como herramienta de gestión y proceso sistemático.

Los titulares instruirán a las unidades administrativas, al Coordinador General y al responsable de administración de riesgos iniciar el proceso de administración de riesgo.

Art. 33. La participación del Coordinador General y del responsable de administración de riegos designados por el titular para efectos de la administración de riesgos consistirá en:

I. Coordinador General:

a) Acordar con el titular la metodología a seguir para la implementación de las disposiciones señaladas en las presentes Normas, con relación a la administración de riesgos;

b) Coordinar el proceso de administración de riesgos y ser el canal de comunicación e interacción con el titular y el responsable designado;

c) Supervisar que en la administración de riesgos se implementen las etapas mínimas descritas en las presentes Normas;

d) Informar al titular sobre los avances del proceso de administración de riesgos;

e) Revisar con el responsable el proyecto de los documentos siguientes:

1. Matriz de administración de riesgos institucional.

2. Mapa de riesgos institucional.

3. Programa de trabajo de administración de riesgos institucional.

4. Reporte de avance semestral del programa de trabajo de administración de riesgos.

5. Análisis anual del comportamiento de los riesgos; y

f) Presentar para aprobación del titular los documentos descritos en el inciso anterior;

II. Responsable de administración de riesgos:

a) Ser el canal de comunicación e interacción con el Coordinador General y las unidades administrativas responsables de la administración de riesgos;

b) Remitir a las unidades administrativas responsables de la administración de riesgos la matriz de administración de riesgos, mapa de riesgos y programa de trabajo de administración de riesgos así como, apoyar en su elaboración;

c) Revisar, analizar y consolidar la información de las unidades administrativas para elaborar los proyectos institucionales de matriz de administración de riesgos, mapa de riesgos y programa de trabajo de administración de riesgos y presentarlos a revisión ante el Coordinador General;

d) Resguardar la matriz de administración de riesgos, mapa de riesgos y programa de trabajo de administración de riesgos;

e) Dar seguimiento permanente al programa de trabajo de administración de riesgos;

f) Integrar la información y evidencia documental, elaborar el proyecto de reporte de avance semestral consolidado del cumplimiento del programa de trabajo de administración de riesgos y presentar a revisión del Coordinador General; y

g) Realizar el análisis anual del comportamiento de los riesgos.

Art. 34. La metodología de administración de riesgos que adopten las instituciones contendrá las etapas mínimas en el siguiente orden, registrándolas anualmente en una matriz de administración de riesgos:

I. Evaluación de riesgos:

a) Identificación, selección y descripción de riesgos. Se realizará con base en las estrategias, objetivos y metas de los proyectos, programas, áreas y procesos de las dependencias y entidades, el cual constituirá el inventario de riesgos institucional;

b) Clasificación de los riesgos. Se realizará en congruencia con la descripción del riesgo que se determinen de acuerdo a la naturaleza de la dependencia o entidad;

c) Identificación de factores de riesgo. Atenderá a los factores internos y externos que indican la presencia de un riesgo o tiendan a aumentar la probabilidad de materialización del mismo;

d) Identificación de los posibles efectos de los riesgos. Se describirán las consecuencias negativas en el supuesto de materializarse el riesgo, indicando los objetivos y metas que en su caso se afectarían;

e) Valoración inicial del grado de impacto. La asignación será con una escala de valor, en su caso, del 1 al 10, en la cual el 10 representa el de mayor y el 1 el de menor magnitud. Las dependencias y entidades establecerán un criterio general para cada escala de valor, relacionándolo con la identificación de los posibles efectos de los riesgos; y

f) Valoración inicial de la probabilidad de ocurrencia. La asignación será en una escala de valor, en su caso, del 1 al 10, en la cual el 10 representa que el riesgo se materializará y el 1 que es improbable. Las dependencias y entidades establecerán un criterio general para cada escala de valor, relacionándolo con los factores de riesgo dispuestos en las presentes Normas.

En esta etapa tanto el grado de impacto, como la probabilidad de ocurrencia, se valorarán sin considerar los controles existentes para administrar los riesgos.

Para la valoración del impacto y de la probabilidad de ocurrencia, los titulares de las dependencias y entidades, podrán utilizar metodologías, modelos y teorías basados en cálculos matemáticos, tales como puntajes ponderados, cálculos de preferencias, proceso de jerarquía analítica y modelos probabilísticos, entre otros;

II. Evaluación de controles, se realizará conforme a lo siguiente:

a) Identificar los controles existentes para los factores de riesgo y, en su caso, sus efectos;

b) Describir los controles existentes para administrar el riesgo;

c) Describir los factores que sin ser controles promueven la aplicación de éstos;

d) Describir el control preventivo, considerando los mecanismos que tienen como propósito anticiparse a la posibilidad de que ocurran situaciones que afecten el logro de los objetivos y metas;

e) Describir el control detectivo, considerando los mecanismos que operan en el momento en que los eventos están ocurriendo;

f) Describir el control correctivo considerando los mecanismos que poseen el menor grado de efectividad y que permiten subsanar omisiones o desviaciones; y

g) Determinar la suficiencia, deficiencia o inexistencia del control para administrar el riesgo;

III. Valoración final de riesgos respecto a controles, se realizará conforme a lo siguiente:

a) Se dará valor final al impacto y probabilidad de ocurrencia del riesgo con la confronta de los resultados de las etapas de evaluación de riesgos y de controles; y

b) Las dependencias y entidades establecerán los criterios necesarios para determinar la valoración final del impacto y probabilidad de ocurrencia del riesgo, así como su ubicación en el cuadrante correspondiente del mapa de riesgos institucional, a partir de la suficiencia, deficiencia o inexistencia de los controles.

Para lo anterior, podrán considerar los criterios siguientes:

a) Los controles son suficientes: la valoración del riesgo pasa a una escala inferior. El desplazamiento depende de sí el control incide en el impacto y la probabilidad;

b) Los controles son deficientes: la valoración del riesgo se mantiene en una escala alta. El desplazamiento depende de la implementación de controles; y

c) Inexistencia de controles: la valoración del riesgo se mantiene en una escala crítica. El desplazamiento depende de la implementación de controles;

IV. Mapa de riesgos:

Elaboración del mapa de riesgos. Los riesgos se ubicarán por cuadrantes en la matriz de administración de riesgos institucional y se graficarán en el mapa de riesgos, en función de la valoración final del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje vertical.

La representación gráfica del mapa de riesgos puede variar por la metodología adoptada en las dependencias y entidades, sin embargo, se homologará a los cuadrantes siguientes:

a) Cuadrante I. Riesgos de atención inmediata: son críticos por su alta probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor de 6 al 10;

b) Cuadrante II. Riesgos de atención periódica: son significativos por su alta probabilidad de ocurrencia ubicada en la escala de valor del 6 al 10 y su bajo grado de impacto del 1 al 5;

c) Cuadrante III. Riesgos de seguimiento; son menos significativos por su baja probabilidad de ocurrencia con valor del 1 al 5 y alto grado de impacto del 6 al 10;

d) Cuadrante IV. Riesgos controlados: son de baja probabilidad de correncia y grado de impacto, se ubican en la escala de valor del 1 al 5; y

V. Definición de estrategias y acciones para su administración.

Las estrategias constituirán las opciones para administrar los riesgos basados en su valoración respecto a controles, permiten tomar decisiones y determinar las acciones de control.

Algunas de las estrategias que pueden considerarse independientemente, interrelacionadas o en su conjunto, son las siguientes:

a) Evitar el riesgo: se aplica antes de asumir cualquier riesgo. Se logra cuando al interior de los procesos se genera cambios sustanciales por mejora, rediseño o eliminación, resultado de controles suficientes y acciones emprendidas;

b) Reducir el riesgo: se aplica preferentemente antes de optar por otras medidas más costosas y difíciles. Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia [acciones de prevención] y el impacto [acciones de contingencia], tales como la optimización de los procedimientos y la implementación de controles;

c) Asumir el riesgo: se aplica cuando el riesgo se encuentra en un nivel que puede aceptarse sin necesidad de tomar otras medidas de control diferentes a las que se poseen; y

d) Transferir el riesgo: implica que el riesgo se controle responsabilizando a un tercero que tenga la experiencia y especialización necesaria para asumirlo.

A partir de las estrategias definidas, se describirán las acciones viables jurídica, técnica, institucional y presupuestalmente, tales como la implementación de políticas, optimización de programas, proyectos, procesos, procedimientos y servicios, entre otras.

Capítulo VII
Del seguimiento

Art. 35. Para la implementación y seguimiento de las estrategias y acciones, se elaborará el programa de trabajo de administración de riesgos, el cual incluirá los riesgos, estrategias y acciones de la matriz de administración de riesgos; así como, unidad administrativa y responsable de su implementación, fechas de inicio y de término, medios de verificación y los resultados esperados.

Art. 36. Los titulares autorizarán con su firma autógrafa el programa de trabajo de administración de riesgos, la matriz de administración de riesgos y el mapa de riesgos, así como sus respectivas actualizaciones, mismas que se difundirán a los responsables de su implementación a más tardar 3 días hábiles posteriores a su suscripción.

Art. 37. El reporte de avances de las acciones del programa de trabajo de administración de riesgos se realizará semestralmente, el Coordinador General de las dependencias o entidades lo presentará al titular para su posterior envío a la Secretaría de la Función Pública, mismo que deberá contener lo siguiente:

I. Resumen de acciones comprometidas, cumplidas, en proceso y su porcentaje de cumplimiento;

II. Descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones comprometidas y la forma de resolverlas;

III. Resultados alcanzados en relación con los esperados; y

IV. Fecha de autorización, nombre y firma del titular.

Art. 38. La evidencia documental y electrónica suficiente, competente, relevante y pertinente que acredite la implementación y avances reportados, será resguardada por los servidores públicos responsables de las acciones comprometidas en el programa de trabajo de administración de riesgos y estará a disposición de los órganos fiscalizadores.

Art. 39. Se realizará un informe anual del comportamiento de los riesgos, con relación a los determinados en la matriz de administración de riesgos del año inmediato anterior, que considerará al menos los aspectos siguientes:

I. Comparativo del total de riesgos por cuadrante;

II. Variación del total de riesgos y variación por cuadrante;

III. Riesgos identificados y cuantificados con cambios en la valoración final de probabilidad de ocurrencia y grado de impacto, así como los modificados en su conceptualización;

IV. Conclusiones sobre los resultados cualitativos de la administración de riesgos; y

V. Fecha de autorización, nombre y firma del titular.

Artículos transitorios

Artículo primero. Las presentes Normas Generales de Control Interno entrarán en vigor al día siguiente de su publicación en el Periódico Oficial Órgano del Gobierno del Estado.

Art. 2º La Secretaría de la Función Pública en colaboración con los titulares de las dependencias y entidades de la Administración Pública Estatal difundirán, coordinarán y capacitarán a los servidores públicos en las disposiciones señaladas en las presentes Normas.

Art. 3º El cumplimiento a lo establecido en las presentes Normas se realizará con los recursos humanos, materiales y presupuestarios que tengan asignados las dependencias y entidades de la Administración Púbica Estatal, por lo que no implicará la creación de estructuras ni la asignación de recursos adicionales.

En cumplimiento de lo dispuesto en el artículo 85 de la Constitución Política del Estado Libre y Soberano de Zacatecas y para su debida publicación y observancia, expido las presentes Normas Generales de Control Interno para la Administración Pública del Estado de Zacatecas. Dado en el despacho del Poder Ejecutivo en la ciudad de Zacatecas, a los 29 días del mes de septiembre del año 2016. El Gobernador del Estado de Zacatecas. Alejandro Tello Cristerna. La Secretaria General de Gobierno. Fabiola Gilda Torres Rodríguez. La Secretaria de la Función Pública. Paula Rey Ortiz Medina. Rúbricas.

FICHA TÉCNICA

GENERAL

Número de decreto Periódico Oficial Fecha de publicación Inicio de vigencia Legislatura
  84 19-octubre-2016 20-octubre-2016  

Por tratarse de una disposición de carácter administrativo, no contiene número de Decreto ni Legislatura.

Último cotejo de vigencia: octubre de 2016.