2017

Normas de Control Interno

ACTUALIZACIÓN 2017
Marco de cumplimiento obligatorio a considerar en la implementación,
mantenimiento y supervisión de un adecuado Control Interno en el ámbito del
Poder Ejecutivo Provincial

Compromiso y responsabilidad de todos

Comisión de Actualización de Normas de Control Interno

Sindicatura General de la Provincia de Salta
01/11/2017
 ÍNDICE

I. Introducción 2
II. Misión, objetivos y políticas 3
III. Concepto y objetivos de control interno 4
IV. Componentes 5

IV.1.Ambiente de Control 6
a) Filosofía y estilo de la Dirección 6
b) Estructura, autoridad y responsabilidad 7
c) Integridad y valores éticos 7
d) Competencias del personal y las prácticas de recursos humanos 8

IV.2.Evaluación de riesgos 10
a) Identificación de los riesgos 10
b) Análisis de los riesgos 11 1
IV.3.Actividades de control 13
a) Definición e implementación de actividades de control 13
e) Definición e implementación de controles sobre la tecnología 14

IV.4.Información y comunicación 16
a) Información 16
f) Comunicación 17

IV.5.Supervisión 19
a) Evaluaciones del sistema de CI 19
b) Comunicación y tratamiento de las deficiencias 19

Cuadro Resumen de los Componentes de Control Interno 20

Anexo 21

Apéndice 25

NORMAS DE CONTROL INTERNO

 NORMAS DE CONTROL INTERNO

I. Introducción
Por Ley Nº 7.103 de “Sistema, Función y Principios del Control no Jurisdiccional de la Gestión de la
Hacienda Pública” se estableció1, entre las funciones de la Sindicatura General de la Provincia, la de dictar
y mantener actualizadas las Normas de Control Interno, como marco de cumplimiento obligatorio a
considerar en la implementación, mantenimiento y supervisión de un adecuado Control Interno en el
ámbito del Poder Ejecutivo Provincial.

El Sistema de Control Interno está integrado por:

la Sindicatura General de la Provincia - organismo normativo, de asesoramiento,
supervisión y coordinación -,
las Unidades de Sindicatura Interna (USI) - con funciones de asesoramiento y control - y,
la autoridad superior de cada órgano o entidad dependiente del Gobernador de la
Provincia, como responsables del adecuado funcionamiento del control interno en el área 2
de su competencia.

Para actualizar las presentes, se tomaron en cuenta básicamente:

- las Normas de Control Interno de la Sindicatura General de la Nación - aprobadas por Res.
Nº 172/14 -, inspiradas a su vez, en el “Informe COSO III” 2 y,
- la Guía para las Normas de Control Interno de la Organización Internacional de Entidades
Fiscalizadoras Superiores (INTOSAI) del año 2004.
Se destacan en estas normas:
 el aspecto ético en las operaciones, ya que “la ética pública es un pre requisito y un
soporte para la confianza pública y una clave para el buen gobierno”,
 el fortalecimiento de la salvaguarda de los recursos,
 la importancia de la información no financiera, y
 los controles de la tecnología de la información (TI).

1
En el Título III sobre “El Sistema de Control Interno y la Sindicatura General de la Provincia”.
2
Del Committee on Sponsoring Organizations of the Treadway Commission’s (COSO).

NORMAS DE CONTROL INTERNO

 Estas normas generales de control interno no limitan ni interfieren el trabajo de las autoridades
relacionado con el desarrollo de la legislación, de quienes hacen las reglas, o de quienes tienen la
potestad de establecer políticas en una organización.
Deben interpretarse y aplicarse dentro del contexto y de las características específicas de las
jurisdicciones y entidades. Dan un amplio marco dentro del cual las jurisdicciones y entidades pueden
desarrollar políticas, procedimientos y controles detallados para la implementación de su control interno.
Se incluyen en el Apéndice, algunos términos, con la definición, conceptualización o connotación
relacionadas al control interno del sector público, utilizadas en las presentes normas.
II. Misión, objetivos y políticas
Toda organización tiene definida su misión, a la cual orienta sus objetivos, de acuerdo con las
políticas adoptadas.
La misión indica la razón de ser, para qué está, qué necesidades sirve; generalmente fijada en
leyes, decretos, cartas orgánicas, estatutos y cartas de servicios; tiene vocación de permanencia.
Los objetivos son los resultados globales que se proyectan alcanzar en el desarrollo justamente de
la misión y también de la visión, de estar ésta definida. La visión sintetiza lo que la organización quiere y
espera ser en el futuro, el posicionamiento deseado, que estimula a sus integrantes. Los objetivos
expresan hacia dónde va la organización; son fijados periódicamente en los planes de acción y en los 3
presupuestos.
Las políticas son los lineamientos que orientan las acciones, tienen también permanencia, aunque
pueden modificarse, ante cambios en los objetivos.
La misión, objetivos y políticas se expresan en documentos oficiales - presupuestos, normas de
funcionamiento, manual de funciones y planes de acción, entre otros -.
Se difunden adecuadamente:
 a la comunidad, como antecedentes para la posterior rendición de cuentas y responsabilidades,
 a todos los niveles organizacionales para gestionar la hacienda pública con sujeción al
ordenamiento jurídico, con arreglo a los principios de legalidad, economía, eficiencia y eficacia.3
Una organización que desconoce qué es, hacia donde va, qué medios utilizar y de qué manera,
tiene pocas posibilidades de gestionar conforme a la Ley.

3
Ley Nº 7.103, art. 2º

NORMAS DE CONTROL INTERNO

 III. Concepto y objetivos de control interno

El control interno es un proceso integral dinámico, diseñado por las autoridades superiores,
llevado a cabo por éstas y el resto del personal de las jurisdicciones o entidades para aportar un
grado de seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los
siguientes objetivos generales:

 Ejecución ordenada, ética, económica, eficiente y eficaz de las operaciones.

 Salvaguarda de los recursos.

 Generación de información - contable, presupuestaria, económica, financiera, patrimonial y

de gestión - confiable, oportuna y útil para la toma de decisiones y evaluación de resultados.

 Cumplimiento de la normativa vigente aplicable. 4

NORMAS DE CONTROL INTERNO

 IV. Componentes
El control interno permite reducir a un nivel aceptable el riesgo de no alcanzar los objetivos, para
lo cual es necesario implementar diversas medidas que están contenidas y agrupadas en cinco
componentes que funcionan "de forma interrelacionada".

Ambiente de Control
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Supervisión

No se trata de un proceso en serie, en el que un componente afecta necesariamente al siguiente,

sino que los componentes inciden en los otros, siempre orientados a los objetivos. Para mejor
interpretación, se muestra la interrelación, entre objetivos, componentes y el enfoque que se da, desde la
organización, sus unidades internas de organización, actividades y funciones.

NORMAS DE CONTROL INTERNO

 IV.1. Ambiente de Control

El ambiente de control refleja el espíritu en que se enmarca la conducta de las autoridades y

agentes, la responsabilidad con que asumen sus actividades, la importancia que le asignan al Control
Interno y su incidencia en los resultados.
Es en el ambiente de control donde se evalúan los riesgos, se definen las actividades y
procedimientos, se capta la información relevante, se canalizan las comunicaciones correspondientes en las
distintas direcciones para los interesados, dentro de un proceso de supervisión adecuado a las
circunstancias.
El ambiente de control es consecuencia de la actitud que asume la organización, a través de las
autoridades superiores - en las jurisdicciones - y de los directores y gerentes - en las entidades -,
determinante del grado en que se influyen las conductas y los procedimientos organizacionales; fija el
“tono” de la organización que se proyecta en el resto del personal.
Los principales elementos de este primer componente del Control Interno (C.I.) son:

 La filosofía y estilo de la Dirección

 La estructura, autoridad y responsabilidad
6
 La integridad y valores éticos
 Las competencias del personal y las prácticas de recursos humanos

 a) Filosofía y estilo de la Dirección

Se ejerce sobre todos los niveles de la organización de modo explícito y permanente, su
compromiso y liderazgo, respecto de los controles y valores éticos.
La filosofía y estilo de la Dirección influyen y traducen la manera en que la organización es
conducida, la transparencia de la gestión, la actitud frente a las innovaciones y el aprendizaje, la forma de
resolver problemas y evaluar los desempeños y resultados.
El interés de la Dirección por un Control Interno efectivo cunde en la organización y se sustenta
con acciones y actividades concretas que indudablemente generan en el personal una actitud positiva
hacia aquél.
De esta forma, los agentes y empleados se desempeñan en un ambiente favorable a la
comprensión e incentivación para la sugerencia de medidas que abonen su perfeccionamiento.

NORMAS DE CONTROL INTERNO

 b) Estructura, autoridad y responsabilidad
Se define la estructura organizacional y se establecen los niveles de autoridad y de
responsabilidad, que permitan:
 generar las condiciones necesarias para la consecución de la misión y de los objetivos, y
 el ejercicio apropiado de las labores de planificación, ejecución, control y evaluación
periódica de las actividades.
La definición respeta el criterio de separación de funciones, buscando evitar la concentración de
responsabilidades en aquellos puestos que sean incompatibles o generen conflictos de intereses.
Lo expuesto se institucionaliza a través de un acto administrativo, de acuerdo a la normativa
aplicable vigente, que contemple al menos, el organigrama y la planta de cargos; se complementa con un
manual, que permita a cada empleado conocer exactamente sus funciones y responsabilidades
relacionando sus tareas con los objetivos de la organización de modo de poder rendir cuentas.
El ambiente de control se fortalece en la medida en que los integrantes de la organización
conocen claramente sus deberes y responsabilidades.
Es conveniente limitar la delegación solamente para cuando sea necesario y conforme a la
normativa vigente aplicable, a efectos de optimizar el logro de objetivos. Toda delegación impone que el 7
nivel superior examine y apruebe el trabajo de sus dependientes, y que todo el personal conozca y
responda a los objetivos de la organización y cómo su acción se interrelaciona para alcanzarlos.
Se delega tanto cuanto sea necesario, teniendo en cuenta que un incremento en la delegación de
autoridad requiere un elevado nivel de competencia y responsabilidad personal del delegatario.
Se aplican métodos efectivos de supervisión de la acción y de los resultados por parte de la
Dirección y del cumplimiento en tiempo y forma de la debida rendición de cuentas de sus
responsabilidades y tareas.
Las definiciones de autoridad, responsabilidad y separación de funciones se reflejan en los
permisos de acceso otorgados sobre los sistemas y tecnología de información.

 c) Integridad y valores éticos

La Dirección difunde y cuida la observancia de la integridad y valores éticos, procurando el
compromiso de los integrantes de la organización y la adhesión a las políticas y objetivos organizacionales.
Estos elementos determinan la cultura organizacional apropiada, desempeñando en este contexto
las autoridades y directivos, el papel principal, dado que con su ejemplo contribuyen al logro del buen
funcionamiento del Control Interno.

NORMAS DE CONTROL INTERNO

 d) Competencias del personal y prácticas de recursos humanos
El personal es el recurso más valioso que posee cualquier organización y, como tal, es considerado
a los efectos de lograr su más elevado rendimiento.
Los agentes y empleados tienen que poseer un nivel de competencia adecuado a sus
responsabilidades y que también les permita comprender la importancia del desarrollo, aplicaciones y
mantenimiento de controles internos adecuados para poder alcanzar los objetivos generales de control
interno y la misión de la organización. Cada persona que la integra está involucrada con el control interno,
en sus responsabilidades propias y específicas; la competencia es fundamental para el desarrollo de sus
obligaciones, incluye el nivel de conocimiento y habilidades necesarias para asegurar una actuación
ordenada, ética, económica, eficaz y eficiente, al igual que el buen entendimiento de las responsabilidades
individuales relacionadas con el control interno.
La organización define las competencias requeridas en los distintos niveles para el logro de los
objetivos, teniendo en cuenta el conocimiento, habilidades y experiencia requeridos para cada puesto de
trabajo.
El proceso de selección de personal se funda en la transparencia; es acorde con la normativa
vigente para incorporar personas competentes, considerando los requisitos definidos para cada puesto
de trabajo, con igualdad de oportunidades y publicidad de los procedimientos. 8

La organización implementa procesos de recursos humanos adecuados, tanto de incorporación

como de desarrollo de carrera y de motivación, considerando los objetivos organizacionales.
La gestión de los recursos humanos contempla:
inducción, para que los nuevos agentes y empleados sean metódicamente integrados
con el estilo y procedimientos de la organización;
capacitación, para el desarrollo de las competencias necesarias para los distintos puestos
de trabajo, de modo de contribuir con el logro de los objetivos organizacionales;
mecanismos de motivación e incentivos, cuando resulte apropiado, que apunten a
incrementar los niveles de desempeño;
fomento de la confianza mutua, entre el personal, que sustente la cooperación y la
delegación; la confianza está basada en la seguridad respecto de la integridad y
competencia de la otra persona y/o equipo de trabajo;
rotación, para que funcione una movilidad organizacional;
mecanismos de evaluación de desempeño del personal, ponderando el cumplimiento de
los objetivos y adhesión a los valores y códigos de conducta;
sistema de reconocimientos dentro de la organización, para el personal y para equipos con
iniciativas especiales, de evaluación y de mejoras;

NORMAS DE CONTROL INTERNO

sistema de sanciones, incorporado en la normativa vigente para la aplicación de medidas
disciplinarias, cuando corresponda; y
mecanismos para asegurar la continuidad de las tareas, para aquellos puestos clave que
resultan esenciales para el logro de los objetivos organizacionales. Se procura para esos
puestos, reducir el riesgo de dependencia del personal a cargo, planificando que las
tareas puedan ser desempeñadas por diversas personas en caso de ausencia y previendo
situaciones de sucesión por eventuales renuncias, jubilaciones u otras causas.

NORMAS DE CONTROL INTERNO

 IV.2. Evaluación de Riesgos

Toda organización hace frente a una variedad de riesgos, tanto de origen interno como externo.
Se entiende como riesgos, aquellos eventos que pueden afectar negativamente el logro de los objetivos.
La evaluación de riesgos involucra entonces, un proceso dinámico y repetitivo orientado a
identificar, analizar los riesgos y definir los niveles de tolerancia por parte de la organización, para
tratarlos metódicamente.
Una condición previa, para poder evaluar los riesgos, es tener explicitados los objetivos en cada
nivel, que sean coherentes entre sí, y estén debidamente comunicados y entendidos.
Se mencionan algunas de las situaciones que pueden implicar riesgos, siendo los cambios en
general los principales, y las redefiniciones de políticas, las reorganizaciones o reestructuraciones internas,
el ingreso de nuevos agentes o rotación de los existentes, la implementación o implantación de
procedimientos y/o tecnologías, el desarrollo de nuevos productos, actividades, funciones, servicios y la
posibilidad de prácticas corruptas, no siendo ésta una enumeración taxativa.
Los mecanismos para identificar y administrar los riesgos se orientan hacia el futuro, de manera
de minimizarlos a través del control interno.
Los principales elementos de este segundo componente de C.I. son: 10

 Identificación de los riesgos

 Análisis de los riesgos

 a) Identificación de los riesgos

La identificación de los riesgos es un proceso repetitivo e integrado a la planificación. Para ello, se
identifican los eventos potenciales que puedan afectar el logro de los objetivos, con impacto positivo,
negativo o ambos.
Los eventos pueden provenir de factores internos y externos, existiendo diversas fuentes de
riesgos.
Se brinda mayor información en Anexo, para mejor interpretación.

NORMAS DE CONTROL INTERNO

 b) Análisis de los riesgos
Una vez identificados los riesgos en los distintos niveles, se procede a su análisis, ya que para
decidir cómo administrar el riesgo, es necesario no sólo identificar que un cierto tipo de riesgo existe en
principio, sino valuar su importancia y valorar la probabilidad de que este riesgo se dé.
La metodología para analizar riesgos puede variar, en gran parte porque muchos riesgos son
difíciles de cuantificar, mientras que otros se prestan fácilmente para un diagnóstico numérico
El proceso de análisis de los riesgos -a cargo de los responsables de la gestión - comprende:

 Una estimación de la importancia del riesgo,

 Una evaluación de la probabilidad (o la frecuencia) de que se materialice el riesgo.
 Un análisis de cómo ha de gestionarse el riesgo, es decir, se realiza una evaluación de las
medidas que conviene adoptar.
Los riesgos se analizan cuidadosamente, aplicando buen juicio y sentido común. La metodología
de evaluación de riesgos comprende una combinación de técnicas cualitativas y cuantitativas, que permite
a la organización considerar el grado en el cual eventos potenciales podrían impactar en el logro de los
objetivos.

Existen riesgos cuya cuantificación es dificultosa, y se tiende a conceptualizarlo como de “no

medible”; pero en muchos casos con un esfuerzo razonable, se consigue una medición satisfactoria. 11
Una vez evaluado el riesgo, se identifican y evalúan las posibles respuestas al riesgo en relación al
apetito de riesgo de la entidad.
Las respuestas se evalúan con el objetivo de obtener un riesgo residual alineado con el nivel de
tolerancia definido.
El riesgo inherente es el que puede afectar el logro de objetivos, en ausencia de cualquier medida
aplicable desde la gestión para alterar la probabilidad o el impacto de estos riesgos.
Y el riesgo residual es el que permanece después de la aplicación de medidas de respuesta al
riesgo.
Las medidas de respuesta respetan una adecuada relación costo-beneficio respecto de los riesgos
que se busca tratar, contemplando las siguientes alternativas:
• Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo,
se lo tolera.
• Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo.
• Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del
riesgo o ambos a través de actividades de control y decisiones de gestión.

NORMAS DE CONTROL INTERNO

 • Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia,
al transferir o compartir una porción del riesgo; se tercerizan actividades o se contratan seguros en
relación con la actividad que lo genera.

12

NORMAS DE CONTROL INTERNO

 IV.3. Actividades de Control

Las actividades de control son las políticas y procedimientos necesarios para asegurar que las
respuestas al riesgo se llevan a cabo de manera adecuada y oportuna. Se establecen para reducir los
riesgos, a niveles aceptables definidos, y lograr los objetivos de la organización.
Para ser efectivas, las actividades de control son:
 apropiadas,
 funcionan consistentemente de acuerdo a un plan a lo largo de un período, y
 tienen un costo adecuado.
Las políticas establecen la orientación y criterios, y los procedimientos son los que permiten llevar
a la práctica lo establecido en éstas; están documentados, formalizados y comunicados.
Las actividades de control se dan en toda la organización, en todos los niveles y en todas las
funciones; son llevadas a cabo por todas las áreas de la organización, a través de los procesos y la
tecnología que les da soporte.
Pueden ser preventivas o detectivas, abarcando diversas modalidades tanto manuales como
automatizadas. Entre otras: autorizaciones, aprobaciones, verificaciones, conciliaciones, revisiones de
desempeño. 13

Los principales elementos de este tercer componente de C.I. son:

 Definición e implementación de actividades de control

 Definición e implementación de controles sobre la tecnología

 a) Definición e implementación de actividades de control

Para definir las actividades de control a implementar, se realiza la selección o revisión - en los
casos que corresponda -, considerando su relevancia y adecuación a la respuesta al riesgo y al objetivo
relacionado.
Existen diversos tipos de actividades de control:

Preventivas
Detectivas
Manuales
Computarizadas
Controles gerenciales o jerárquicos.

NORMAS DE CONTROL INTERNO

 Las organizaciones alcanzan un balance adecuado entre la detección y la prevención de riesgos en
las actividades de control.
Las actividades de control que pueden implementarse, incluyen un rango de políticas y
procedimientos tan diversos como los que se enuncian a continuación:
Procedimientos de autorización y aprobación.
Segregación de funciones: autorización, procesamiento, archivo, revisión.
Controles sobre el acceso a recursos y archivos.
Verificaciones.
Conciliaciones.
Revisión de desempeño operativo.
Revisión de operaciones, procesos y actividades.
Supervisión: asignaciones, revisiones y aprobaciones, dirección y capacitación.
(Se brinda en Anexo, mayor información sobres las actividades enunciadas).
En la definición e implementación de las actividades de control, se asignan las responsabilidades,
particularmente en las áreas, actividades y funciones afectadas por riesgos relevantes.
Las políticas y procedimientos se revisan periódicamente y se mantienen actualizados.

14
 b) Definición e implementación de controles sobre la tecnología
La organización define el nivel de soporte tecnológico que se brinda a la gestión de las actividades,
asegurando el alineamiento de la estrategia tecnológica a los objetivos organizacionales.
Define e implementa controles sobre la tecnología que se utiliza en las actividades llevadas a cabo
para el logro de los objetivos.
Los sistemas de información implican actividades de control de tipo específico. Por tal motivo, los
controles de información tecnológica comprenden dos grupos:
 Controles generales
Son la estructura, políticas y procedimientos que aplican a un gran segmento de la información de
la organización y ayudan a asegurar su correcta operatividad; crean el medio en el que operan los
sistemas y los controles.
Las categorías de controles generales son:

 programas de seguridad de planificación y gerencia,

 controles de acceso,
 controles de desarrollo, mantenimiento y cambio en la aplicación del software,

NORMAS DE CONTROL INTERNO

  controles en el sistema de software, segregación de funciones, y
 continuidad en el servicio.

 Controles de sistemas informáticos

Los controles de sistemas informáticos, se implementan en la estructura, políticas y
procedimientos que se realizan por separado a éstos.
Estos controles están generalmente diseñados para prevenir, detectar y corregir errores e
irregularidades mientras la información fluye a través de los sistemas de información.
Los controles generales y éstos están interrelacionados; ambos son necesarios para ayudar a
un procesamiento adecuado y completo de la información. Dado que la tecnología de la información
cambia muy rápidamente, los controles relacionados evolucionan constantemente para seguir siendo
efectivos.

15

NORMAS DE CONTROL INTERNO

 IV.4. Información y Comunicación

La información y la comunicación son esenciales para ejecutar todos los objetivos de control
interno. Este componente presenta relevancia ya que:

- la información constituye un elemento clave para la gestión y para la ejecución de las

responsabilidades de control interno con miras al logro de los objetivos de la organización; y,

- la comunicación se constituye en un proceso continuo e iterativo que permite generar,

compartir y obtener la información necesaria.

La información es la base de la comunicación.

La información pertinente se identifica, captura y comunica de determinada manera y en cierto

límite de tiempo que permita que el personal lleve a cabo su control interno y sus otras responsabilidades:
comunicación puntual a la gente adecuada, en tiempo oportuno. Por ello, el sistema de control interno
como tal y todas las transacciones y eventos significativos están apropiadamente documentados.

Los principales elementos de este cuarto componente de C.I. son:

16
 Información
 Comunicación

 a) Información
La organización obtiene, genera y utiliza información relevante y de calidad para la gestión y el
funcionamiento del control interno. Para ello:

 Identifica los requerimientos de información.

 Captura fuentes internas y externas de datos.
 Transforma datos relevantes en información.
 Mantiene la calidad en todo el procesamiento.
 Considera la relación costo beneficio.

Una condición para que la información de transacciones y hechos sea confiable y relevante, es
archivarla rápidamente y clasificarla correctamente.

Los sistemas de información producen reportes que contienen información:

NORMAS DE CONTROL INTERNO

  operacional,
 financiera,
 no financiera, y
 de cumplimiento.

Información que hace posible que las operaciones se lleven a cabo y se controlen; no sólo tiene
que ver con datos generados internamente, sino con información sobre eventos externos, actividades y
condiciones necesarias que permite la toma de decisiones y el reporte.

La habilidad de las autoridades y directivos para tomar decisiones apropiadas es afectada por la
calidad de la información, lo que implica que ésta sea al menos: confiable, oportuna, apropiada, puntual,
actualizada, razonable, verificable y accesible.

Las características de la tecnología de los sistemas de información guardan relación con la

naturaleza y el grado de complejidad de los requerimientos de información, del volumen y fuente de los
datos procesados así como de los niveles de servicio esperados para la ejecución de las funciones de la
organización.

 b) Comunicación
17
La organización selecciona los métodos de comunicación apropiados para comunicar
internamente:

 Misión
 Visión
 Valores éticos y organizacionales
 Objetivos y metas
 Políticas y procedimientos
 Beneficios de controles internos efectivos, su importancia y relevancia
 Roles y responsabilidades de las autoridades y del personal en la ejecución de los
controles dispuestos para reducir los riesgos que puedan afectar el logro de los objetivos
 Mecanismos para que todo el personal pueda reportar internamente cualquier desvío o
evento que pudiera comprometer el funcionamiento del control interno
 Información operacional, financiera, no financiera y de cumplimiento, requerida para el
normal funcionamiento de la organización
La comunicación para ser efectiva, tiene que ser oportuna y multidireccional, fluir hacia abajo,
hacia arriba y a través de la organización, tocando todos los componentes y la estructura entera. Se revisa
periódicamente la efectividad de los mecanismos de comunicación utilizados en la organización.

NORMAS DE CONTROL INTERNO

 Todo el personal recibe un mensaje claro de la Dirección sobre la seriedad con la que se toman las
responsabilidades. Es necesario que entiendan su propio rol en el sistema de control interno, al igual que
la manera en la que sus actividades individuales se relacionan con el trabajo de los demás.

Las comunicaciones con información relevante en relación con aspectos operativos, financieros, el
cumplimiento normativo y de aspectos de control interno se realizan mediante mecanismos que aseguren
el mantenimiento de resguardos y evidencias formales que resulten necesarios en cada caso, como los
comprobantes de las notificaciones y los acuses de recibo.

La organización selecciona también los métodos de comunicación apropiados con partes externas,
tales como órganos y organismos de control, otras jurisdicciones y entidades estatales, proveedores,
entidades bancarias, de seguros, además de las quejas, reclamos y sugerencias de los usuarios, entre
otros; para informar oportunamente:

 Misión
 Visión
 Valores éticos y organizacionales
 Objetivos
 Políticas pertinentes
 Toda información vinculada a la relación con las partes externas
18
El personal ha de estar preparado para reconocer las implicancias de las comunicaciones que
ingresan y egresan a la organización, e instruido para tomar las acciones que resulten necesarias y
pertinentes.

NORMAS DE CONTROL INTERNO

 IV.5. Supervisión
La supervisión es el componente para asegurar que el sistema de control interno opere
adecuadamente. Se supervisa mediante evaluaciones, para establecer si cada uno de los cinco
componentes del Control Interno, incluyendo los controles dentro de cada componente, están presente
y funcionando.

Los hallazgos son evaluados contra criterios objetivos y las deficiencias resultantes son
comunicadas a la Dirección.

Los elementos de este quinto componente de C.I. son:

 Evaluaciones del sistema de CI

 Comunicación y tratamiento de las deficiencias

 a) Evaluaciones del sistema de CI

La organización define, desarrolla y ejecuta evaluaciones - de forma continua o puntal, o la
combinación de ambas - para determinar la suficiencia y adecuado funcionamiento de los componentes 19
del control interno.
Las evaluaciones continuas se llevan a cabo mediante actividades de monitoreo rutinarias
incorporadas en la ejecución de los procesos.
Las evaluaciones puntuales se ejecutan ocasionalmente ya sea mediante autoevaluaciones
realizadas por cada área, o bien por controles de la Unidad de Sindicatura Interna (USI), Auditoría Interna
o Áreas de Control designadas específicamente por las autoridades de gestión. El alcance y frecuencia de
estas evaluaciones es determinado, en función del riesgo de cada proceso.

 b) Comunicación y tratamiento de las deficiencias

Las deficiencias de control interno y los aspectos a fortalecer que surjan de las actividades de
supervisión implementadas, ya sean evaluaciones continuas o puntuales, se comunican oportunamente,
siguiendo procedimientos determinados para cada caso, apuntando a propiciar la adopción de las
acciones correctivas necesarias.
Esta comunicación se orienta tanto a las áreas responsables del aspecto en cuestión como a la
Dirección.

NORMAS DE CONTROL INTERNO

Cuadro Resumen de los Componentes de Control Interno

COMPONENTES

Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Supervisión

Filosofía y estilo de la Identificación de los Definición e implementación Información Evaluaciones del sistema
dirección riesgos de actividades de control de CI
ELEMENTOS

Estructura, autoridad y Análisis de los riesgos Definición e implementación Comunicación Comunicacióny

responsabilidad de controles sobre la tratamiento de las
tecnología deficiencias
Integridad y valores
éticos

Competencias del
personal y las
prácticas de recursos
humanos

20

NORMAS DE CONTROL INTERNO

 Anexo
Identificación de riesgos
(Síntesis del marco Integrado de Administración de Riesgos Corporativos COSO)

Para identificar riesgos se identifican eventos potenciales que afectan la implementación del logro de
los objetivos, con impacto positivo, negativo o ambos.

Distinguiendo riesgos y oportunidades:

Los eventos con impacto negativo representan RIESGOS

Necesitan ser evaluados y administrados
.
Los eventos con impacto positivo representan OPORTUNIDADES
Se recanalizan para el establecimiento de estrategias y objetivos.
21

Técnicas de Identificación de Eventos

Los eventos pueden provenir de factores internos y externos. Las fuentes de los riesgos son todos
aquellos ámbitos, internos o externos, que pueden generar amenazas o impedimentos para alcanzar los
objetivos.
Un procedimiento que facilita la identificación de los riesgos es preguntarse, para cada una de las
fuentes, si existen debilidades o amenazas en cada una de ellas, del que se enuncia un breve listado, no
taxativo:
Los empleados
Los clientes internos y externos
Las nuevas tecnologías
Los cambios del entorno
Leyes y regulaciones
La globalización
Las operaciones
Los proveedores
Existen técnicas focalizadas en el pasado y otras en el futuro, y de diverso grado de sofisticación.

NORMAS DE CONTROL INTERNO

 Entre otras, se pueden utilizar:
 Inventarios de eventos
 Análisis de información histórica de la organización y de la unidad interna de organización
 Indicadores de excepción
 Entrevistas y sesiones grupales guiadas por facilitadores
 Análisis de flujos de procesos, a través de diagramas que muestran cómo se relacionan los diferentes
elementos de un sistema, y el mecanismo de causalidad.
 Tormenta de ideas. La meta de la tormenta de ideas es obtener una lista completa de los riesgos del
proyecto. El equipo del proyecto suele realizar tormentas de ideas, a menudo con un grupo
multidisciplinario de expertos que no pertenecen al equipo.
 Análisis de fortalezas, oportunidades, debilidades y amenazas (FODA). Esta técnica asegura el
examen del proyecto desde cada una de las perspectivas del análisis FODA, para aumentar el
espectro de los riesgos considerados.
 Diagramas de causa y efecto. Estos diagramas también se conocen como diagramas de Ishikawa o de
espina de pescado, y son útiles para identificar las causas de los riesgos.

Actividades de Control
Extractadas de la Guía para las Normas de Control Interno del Sector Público de la Organización 22
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).

1) “Procedimientos de autorización y aprobación

La autorización y ejecución de transacciones y eventos deben ser hechas sólo por
personas que estén dentro del rango de autoridad. La autorización es el principal medio para
asegurar que sólo transacciones y eventos válidos sean iniciados según las intenciones de la gerencia.
Los procedimientos de autorización, que tienen que ser documentados y claramente comunicados a
los gerentes y empleados, deben incluir condiciones específicas y términos bajo los cuales se puedan
hacer las autorizaciones. Conformidad con los términos de autorización significa que los empleados
actúan en concordancia con las directivas y dentro de las limitaciones establecidas por la gerencia o
la legislación.

2) Segregación de funciones (autorización, procesamiento, archivo y revisión)

Para reducir el riesgo de error, el desperdicio o las actividades incorrectas y el riesgo de no
detectar tales problemas, no debe haber un solo individuo o equipo que controle todas las etapas
clave de una transacción o evento. Más bien, los deberes y responsabilidades deben estar asignados
sistemáticamente a un cierto número de individuos para asegurar la existencia de revisiones
efectivas. Las funciones clave incluyen autorización y archivo de transacciones, procesamiento y

NORMAS DE CONTROL INTERNO

revisión o auditoría de las transacciones. La colusión entre personas, sin embargo, puede reducir o
destruir la efectividad de esta actividad de control interno. Una organización pequeña
probablemente tiene muy pocos empleados como para llevar a cabo satisfactoriamente esta
actividad de control. En tales casos, la gerencia debe ser consciente de este riesgo y compensarlo con
otras actividades de control. La rotación de empleados puede ayudar a asegurar que una sola
persona no sea responsable de todos los aspectos claves de las transacciones o eventos por un
excesivo período de tiempo. También es aconsejable que se propicien o pidan vacaciones anuales,
eso ayudará a reducir el riesgo porque significa una rotación temporal de funciones.

3) Controles sobre el acceso a los recursos y archivos

El acceso a recursos o archivos debe ser limitado a individuos autorizados que sean
responsables por la custodia y/o utilización de los mismos. La respondabilidad en cuanto a la custodia
se pone en evidencia por la existencia de recibos, inventarios y otros registros otorgando la custodia
y registrando la transferencia de la custodia. La restricción de acceso a los recursos reduce el riesgo
de la utilización no autorizada o la pérdida y ayuda a lograr las directivas gerenciales. El grado de
restricción depende de la vulnerabilidad de los recursos y el riesgo que se percibe de pérdida o
utilización incorrecta, y debe ser periódicamente valorado. Cuando se determina la vulnerabilidad de
un bien, deben ser considerados su costo, portabilidad y posibilidades de cambios.

4) Verificaciones 23
Las transacciones y eventos significativos deben ser verificados antes y después de ser
procesados, ejemplo: cuando los bienes son entregados, el número de bienes provistos es verificado
con el número de bienes pedidos. Después, el número de bienes facturados es verificado con el
número de bienes recibidos. El inventario es verificado también realizando revisiones al almacén.

5) Conciliaciones
Los archivos son conciliados con los documentos apropiados sobre una base regular,
ejemplo: los archivos de contabilidad relacionados con las cuentas bancarias son conciliados con los
estados bancarios correspondientes.

6) Revisión de desempeño operativo

El desempeño de las operaciones es revisado a la luz de las normas sobre una base regular,
valorando la efectividad y eficiencia. Si los análisis de gestión determinan que las acciones existentes
no alcanzan los objetivos o normas establecidas, los procesos y las actividades establecidas para
alcanzar los objetivos deberían ser objeto de análisis para determinar si son necesarias mejoras.

7) Revisión de operaciones, procesos y actividades

Las operaciones, los procesos y las actividades deben ser periódicamente revisadas para
asegurar que cumplen con los reglamentos, políticas, procedimientos en vigor y con el resto de los

NORMAS DE CONTROL INTERNO

requisitos. Este tipo de revisión de las operaciones actuales de una organización debe ser claramente
distinguido del seguimiento del control interno que se discute por separado.

8) Supervisión (valoración, revisión y aprobación, dirección y capacitación)

La supervisión competente ayuda a asegurar que los objetivos de control interno sean
alcanzados. La asignación, revisión y aprobación del trabajo de un empleado comprende:
• La comunicación clara de las funciones, responsabilidades y respondabilidad asignada a cada
miembro del personal;
• La revisión sistemática del trabajo de cada miembro hasta donde sea necesario:
• La aprobación del trabajo en puntos críticos para asegurarse de que marcha como se quiere.
La delegación de trabajo de un supervisor no debe disminuir la responsabilidad del supervisor
por estas responsabilidades y funciones. Los supervisores además deberán dar a los empleados la
suficiente guía y capacitación para ayudar a asegurarse de que los errores, desperdicio y actividades
incorrectas sean minimizados y que las directivas de la gerencia sean entendidas y cumplidas.
La lista antes mencionada no es exhaustiva pero enumera las actividades más comunes de
control preventivo y de detección. Las actividades de control 1-3 son preventivas, 4-6 son de
detección, mientras que 7-8 son tanto preventivas como de detección. Las entidades deben alcanzar
un balance adecuado entre la detección y la prevención en las actividades de control; por esta razón
frecuentemente se utiliza una mezcla de estos controles para compensar desventajas particulares de
controles individuales. 24

Una vez que una actividad de control es implantada, es esencial que se obtenga seguridad
sobre su efectividad. Consecuentemente, las acciones correctivas son un complemento necesario
para las actividades de control. Más aún, debe quedar claro que las actividades de control forman
sólo un componente del control interno. Deben estar integradas a los otros cuatro componentes”.

“Respondabilidad es el proceso en el que las organizaciones públicas y los individuos que las integran
se hacen responsables por sus decisiones y acciones, incluyendo su salvaguarda de recursos públicos,
imparcialidad, y todos los aspectos de su desempeño.

El proceso se ejecuta desarrollando, manteniendo, y facilitando información financiera y no financiera

de confianza e importancia, y a través de la presentación de esta información en informes hechos
oportunamente destinados a interesados internos y externos.

La información no financiera puede estar relacionada con la economía, eficiencia y eficacia de las
políticas y operaciones (información sobre la actuación), y el control interno y su efectividad.”

NORMAS DE CONTROL INTERNO

APENDICE

Se incluyen algunos términos, con la definición, conceptualización o connotación relacionadas al

control interno del sector público, utilizadas en las presentes normas. Se exponen en orden alfabético.
Acción correctiva: acción para eliminar la causa de un riesgo y evitar que vuelva a ocurrir.
Actividad: Es el conjunto de acciones que se llevan a cabo para cumplir las metas de un programa o
subprograma de operación, que consiste en la ejecución de ciertos procesos o tareas (mediante la utilización
de los recursos humanos, materiales, técnicos, y financieros asignados a la actividad con un costo
determinado), y que queda a cargo de una entidad administrativa.
Agente: persona que trabaja o presta servicios al estado.
Auditoría: proceso sistemático, independiente y documentado para obtener evidencia de manera objetiva
con el fin de determinar el grado en que se cumplen los criterios de auditoría.
Control: es una función administrativa que mide y evalúa el desempeño y toma la acción correctiva cuando se
necesita. De este modo, el control es un proceso esencialmente regulador.
Control no jurisdiccional: es el ejercicio del control sin la potestad que tiene el estado en su conjunto para
solucionar conflictos particulares a través de la imposición de la ley y el derecho.
Componente: es aquello que forma parte de la composición de un todo. Se trata de elementos que a través
de algún tipo de asociación o contigüidad, dan lugar a un conjunto uniforme.
Competencia: capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos. 25

Criterio: conjunto de políticas, procedimientos o normas usados como referencia frente al cual se compara la
evidencia objetiva.
Datos: hechos sobre una entidad, cualquier cosa que puede percibirse o concebirse.
Desempeño: resultado medible.
Dirección: persona o grupo de personas que dirige y controla una organización al más alto nivel.
Eficacia: grado en el que se realizan las actividades planificadas y se logran los resultados planificados.
Eficiencia: relación entre el resultado alcanzado y los recursos utilizados.
Elemento: parte que, junto con otras, constituye la base de una cosa o un conjunto de cosas materiales o
inmateriales.
Empleado: persona que trabaja para el estado a cambio de un salario.
Entidad: organización que tienen personalidad jurídica y patrimonio propio.
Gestión: actividades coordinadas para dirigir y controlar una organización.
Información: datos que poseen significado.

NORMAS DE CONTROL INTERNO

Información documentada: información que una organización tiene que controlar y mantener y el medio que
la contiene.
Jurisdicción: organizaciones públicas sin personalidad jurídica, que integran la Administración Central y que
representan a cada uno de los poderes establecidos por la Constitución Provincial.

Misión: propósito de la existencia de la organización.

Objetivo: resultado a lograr.
Órgano: centro o unidad funcional en que se divide la organización administrativa de cada ente público y a
cada uno de los cuales se adscribe como titular una determinada persona física o pluralidad de personas
físicas, a fin de actuar las correspondientes funciones y atribuciones jurídicas, cuya actuación o ejercicio se
imputa directamente al ente del que forman parte.
Organización: persona o grupo de personas que tiene sus propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.
Procedimiento: forma especificada de llevar a cabo una actividad o proceso.
Proceso: conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un
resultado previsto, que puede denominarse salida, producto o servicio. Las entradas de un proceso son
generalmente las salidas de otros procesos y las salidas de un proceso son generalmente las entradas de
otros procesos.
26
Personal: Conjunto de personas que trabajan en una misma organización.
Registro: documento que representa resultados obtenidos o proporciona evidencia de actividades realizadas.
Sistema: conjunto de elementos interrelacionados o que interactúan.
Tono de la organización: carácter o modo particular de la expresión y del estilo de la organización.
Visión: aspiración de aquello que una organización querría llegar a ser, tal como lo expresa la alta dirección.

NORMAS DE CONTROL INTERNO