2. ANTECEDENTES DE LAS NORMAS DE CONTROL INTERNO
En 2017, con la entrada en vigor del Sistema Nacional
Anticorrupción se crea el Sistema Nacional de Fiscalización
(SNF) cuyo objetivo entre otros es homologar la normativa en
materia de control Interno que se aplica en los tres órdenes de
gobierno.
3. En Michoacán hubo un intento por adaptar el marco normativo
existente a las nuevas exigencias del panorama nacional en materia
de Control Interno.
El 21 de diciembre de 2020 se publicó en el Periódico Oficial del
Gobierno del Estado de Michoacán, el Acuerdo por el que se emiten las
Normas de Aplicación General en Materia de Control Interno para la
Administración Pública del Estado de Michoacán de Ocampo.
4. CONTROL INTERNO
• Un proceso llevado a cabo por el nivel Directivo de las Dependencias,
Coordinaciones o Entidades, diseñado con el objeto de proporcionar
un grado de seguridad razonable en cuanto a la consecución de los
objetivos relacionados con las operaciones, la información y el
cumplimiento.
5. CLASIFICACIÓN DE LAS NORMAS DE CONTROL INTERNO
I.- Primera Norma: Establecer y Mantener un Ambiente de Control.
II.- Segunda Norma: Administración de Riesgos.
III.- Tercera Norma: Implementación y/o actividades de control.
IV.- Cuarta Norma: Información y Comunicación.
V.- Quinta Norma Supervisión y Mejora Continua de Control Interno.
6. TIPOS DE CONTROL INTERNO
• Control Preventivo:
Tiene como propósito anticiparse a la posibilidad
• Control Correctivo:
Subsanar en algún grado las acciones u omisiones
8. PARTICIPACIÓN DE LA SECRETARÍA DE CONTRALORÍA EN EL COMITÉ DE CONTROL
INTERNO DE LA DEPENDENCIAS
Artículo 6. La Administración de las Dependencias, Coordinaciones y Entidades,
encabezada por sus titulares, órgano de gobierno y los demás servidores públicos,
en sus respectivos ámbitos de competencia, tienen la responsabilidad de
establecer y mantener un ambiente alineado con la misión, visión y objetivos de la
Institución, y congruente con los valores éticos del servicio público, actuando con
compromiso y apoyo hacia el Control Interno, la rendición de cuentas, el combate a
la corrupción y la transparencia.
9. RIESGO
• La probabilidad de que un evento o acción adversa pueda ocurrir, y
su impacto afecte negativamente en el logro de objetivos y metas.
FACTOR DE RIESGO
• Las circunstancias, causa o situación interna o externa que aumente
la probabilidad de que un riesgo se materialice.
10. MAPA DE RIESGO
• La representación gráfica de uno o más riesgos que permite vincular
la probabilidad de ocurrencia y su impacto en forma clara y objetiva.
MATRIZ DE ADMINISTRACIÓN DE RIESGO
• La herramienta que refleja el diagnóstico general de los riesgos para
identificar estrategias y áreas de oportunidad en la Institución,
considerando las etapas de la metodología de administración de
riegos.
11. SESIONES DEL COMITÉ DE CONTROL INTERNO
• De conformidad al Artículo 33 de las normas de Control
Interno, el Comité celebrará cuatro sesiones al año de
manera ordinaria y en forma extraordinaria las veces que
sea necesario, atendiendo a la importancia o urgencia de
atención.
12. Funciones y objeto del comité y sus
participantes (Art. 26, 28-32)
• Cumplimiento oportuno de los objetivos y metas
institucionales.
• Apoyar a la administración de riesgos institucionales.
• Impulsar la prevención de la materialización de riesgos y
evitar la recurrencia con la atención de la causa raíz
identificada.
• Observaciones de alto riesgo, efectuadas por órganos
fiscalizadores.
Haga clic para agregar
texto
14. Comité de
Control
Interno
Presidente
(Titular)
Voz y voto
Vocal Ejecutivo (Sec.
Téc.; Delegado ó
análogo) Voz y voto
Sugerencia: Los vocales
podrán ser Servidores
clave de las funciones
sustantivas de la
Institución
Vocal ...X
Voz y voto
Vocal 2
Voz y voto
Vocal 1
Voz y voto
Coordinador del Sistema
de Control Interno
(Inmediato Inferior a
titular)
Voz
16. Vocal
ejecutivo
(Art.
31)
Orden del día (formulación y
elaboración)
Notificar Convocatorias (7
días hábiles anteriores)
Carpetas electrónicas
Asesorar a los miembros.
Cumplimientos de metas y
objetivos
Registro y seguimiento
Acuerdos
Elaborar actas y tramitar
suscripción (5+5 días
hábiles)
Informes parciales y anual
sobre el cumplimiento de
acuerdos (Art. 37 Fracc. V)
17. Coordinador
del
Sistema
(Art.26)
Asistir como invitado
Proponer asuntos a tratar
Acordar con Unidades
administrativas, mejoras en:
Autoevaluación anual:
-Niveles estratégico
-Directivos
-operativo
Concentrar e informar
encuestas
Proponer:
Sistematización
Capacitación
Evaluación
Participar Informes sobre el
cumplimiento de acuerdos (Art. 37
Fracc. V)
Informe de
Autoevaluación anual
Emitir recomendaciones
Conducto
SECOEM
Comité
Institución
19. Sesiones (Arts. 33-41)
• Calendario (arts. 33 y 34):
Cierre de trimestre Fecha de Sesión Número de sesión.
31/12/2020 Segunda semana de febrero 2021 Cuarta Ordinaria 2020
31/03/2021 Segunda semana de mayo 2021 Primera Ordinaria 2021
30/06/2021 Segunda semana de agosto 2021 Segunda Ordinaria 2021
30/09/2021 Segunda semana de noviembre 2021 Tercera Ordinaria 2021
31/12/2021 Segunda semana de febrero 2022 Cuarta Ordinaria 2021
20. Orden del día(Art. 37)
Quórum Inicio de sesión
Aprobación del orden
del día
Ratificación acta
anterior
Revisión cédula de
seguimiento de
acuerdos
Seguimiento
implantación y
actualización del Sistema
(Autoevaluación,
Evaluación del OIC)
Seguimiento al proceso
de Administración de
Riesgos (Matriz y mapa
de riesgos)
Revisión y ratificación
de acuerdos
Cierre
21. 1. Resumen ejecutivo
2 cuartillas
2. Aspectos
Relevantes (encuesta)
3. Acciones a
Implementar
4. Conclusión y
compromisos del
titular
Informe
autoevaluación
SECOEM, a
través del OIC
(Enero y Julio)
Comité (Cuarta
[Feb.] y Segunda
[Ago.] Sesión)
22. Programa de Trabajo de
Administración de Riesgos
2022
Metodología de Administración de Riesgos
Matriz de Administración de Riesgos
22
23. 23
La Administración de riesgos es el proceso dinámico para establecer el contexto, identificar, analizar, evaluar y atender los riesgos asociados a las funciones,
procesos, programas y proyectos, mediante el análisis de los distintos factores que pueden provocarlos, con la finalidad de definir las actividades específicas que
permitan controlarlos, evitar su materialización y asegurar el logro de los objetivos y metas de las instituciones de una manera razonable.
Metodología de Administración de Riesgos
Objetivo, Meta, Estrategia o
Proceso Institucional
expuesto al riesgo de que no
se logre
Problemáticas identificadas
en la Institución Pública
Actividades dentro del marco
normativo de la Institución
Pública
Riesgo
Factor de
Riesgo 1
Factor de
Riesgo 2
Factor de
Riesgo 3
Actividad 1
Actividad 2
Actividad 3
Evento adverso e incierto que derivado
de su probabilidad de ocurrencia e
impacto, pudiera obstaculizar o
impedir el logro de los objetivos y
metas institucionales
Circunstancia o situación (interna o
externa) que puede contribuir a
que un riesgo se materialice
Las actividades constituiran las
opciones para atender los factores,
con lo que se administrarán los
riesgos
25. 25
Metodología de Administración de Riesgos
Recomendaciones en la redacción de riesgos
Utilizar como referecnia el objetivo, meta, proceso o estrategia sobre el cual se identificará
Utilizar 10 palabras como máximo para describirlo
Redactar de forma clara, específica y directa, sin dar lugar a ambiguedades
Evitar calificativos como “malo”, “poco”, etc; optar por otros más precisos como “deficiente”,
“insuficiente”, “inadecuado”, “ineficiente”, etc.
No redactar comenzando con calificativos como “Falta de…” “No cumplir…” u otras frases
similares que llevan implicito el sesgo hacia una supuesta solución particular
Haga clic para agregar
texto
26. 26
Metodología de Administración de Riesgos
Redacción correcta de un riesgo (ejemplos)
Usuarios
Permisos y/o
concesiones
Programas
institucionales
Servicios
médicos
Otorgados
Atendidos
Otorgados
Operados
En forma
deficiente
Sin cumplir
con los
requisitos
De manera
ineficiente
Por debajo de
los estandares
de calidad
RIESGO
RIESGO
RIESGO
RIESGO
SUSTANTIVO
VERBO EN
PARTIICIPIO
ADJETIVO
complemento
circunstancial
negativo
RIESGO ESTRUCTURA
27. 27
Metodología de Administración de Riesgos
Redacción incorrecta de un riesgo (ejemplos)
Corrupción en el otorgamiento de liciencias.
Funciones incumplidas por el personal.
Costos y gastos incurridos en procesos efectuados
insuficientemente.
Ingresos propios generados (controlados, gestionados o gastados)
de manera insuficiente o de modo ineficiente
No cumplir con los objetivos de los progamas,
metas, compromisos. Acciones de transparencia,
ética y prevención de conflicto de interés
antendidas deficientemente.
Inadecuada aplicación de la normatividad por desconocimiento o
interpretación indebida.
Recursos Humanos (incluidos los conceptos factor humano,
estructura orgánica, servidores públicos o capital humano)
controlados, desarrollados o capacitados de manera deficiente.
Presentación extemporánea u omisión de la declaración
patrimonial.
Archivo resguardado deficientemente.
Contabilidad registrada inadecuadamente.
Bases de colaboración sin autorización o desarrollados
ineficazmente.
• NO ES UN RIESGO, sino una
dimensión y una causa
subyacente de riesgo.
• NO ES UN RIESGO, sino una
consecuencia de la posible
materialización de un riesgo.
• NO ES UN RIESGO, sino un
factor de riesgo.
• NO ES RIESGO, sino un
problema que implica cargas
de trabajo para el OIC o la
Institución.
28. NIVEL DE DECISIÓN DEL RIESGO
ESTRATÉGICO
Afecta negativamente el cumplimiento
de la Misión, Visión,
Objetivos y Metas Institucionales
DIRECTIVO
Impacta de manera negativa en la
operación de los procesos, programas
y proyectos Institucionales
OPERATIVO
Repercute en la eficacia de las acciones
y tareas realizadas por los
responsables de su ejecución
29. 29
Metodología de Administración de Riesgos
CLASIFICACIÓN DE FACTORES
HUMANOS
Personas que participan en los programas, proyectos, procesos, actividades o tareas
FINANCIERO-PRESUPUESTAL
Recursos financieros y presupuestales necesarios para el logro de metas y objetivos
MATERIAL
Infraestructura y recursos materiales necesarios para el logro de metas y objetivos
TÉCNICO-ADMINISTRATIVO
Actividades relacionadas con la estructura orgánica, políticas, sistemas no informáticos,
procedimientos, comunicación e información que intervienen en la consecución de metas y
objetivos
TECNOLOGÍAS DE INFORMACIÓN
Sistemas (de información y comunicación) requeridos para administrar la información
NORMATIVO
Leyes, Reglamentos, normas y disposiciones que rigen la actuación de la institución
ENTORNO
Se refiere a las condiciones externas a la institución pública
30. 30
Programas
Institucionales
operados
ineficientemente
Áreas con
personal
proclive a
cometer actos
de corrupción
Servicios
médicos
otorgados por
debajo de los
estándares de
calidad
Incentivos
insuficientes
para la
coordinación
institucional
Deficiencias
en el diseño
conceptual y
operativo del
programa “Y”
Padrón de
beneficiarios
incompleto y/o
desactualizado
Inadecuada
aplicación de la
normatividad
por
desconocimiento
Bases de
licitación para la
compra de
bienes
relacionados con
el programa,
dirigidas o
sesgadas
Personal sin la
capacitación o
sin el
conocimiento
ténico
suficiente
Sistemas de
información
obsoletos
Controles
internos
insuficientes
en el
proceso
Insuficiente
personal
para la
atención de
los usuarios
Bases de
licitación para
la compra de
medicamentos
y utensilios
dirigida
Áreas
proclives
de actos de
corrupción
FACTOR RIESGO
31. Programa de Trabajo de
Administración de Riesgos
2022
Taller de Enfoque Estratégico y Metodología
de Administración de Riesgos
31
32. Valoración del grado de impacto. Se determina con una escala de valor de 0 a 10, de acuerdo con las posibles
consecuencias para el cumplimiento de los objetivos. Una calificación de 10 en grado de impacto, implica que el
riesgo impedirá que el objetivo se logre en absoluto.
Valoración de la probabilidad de ocurrencia. Se determina con una escala de valor de 0 a 10, considerando la
frecuencia con la que se pudiera materializar o se ha materializado el riesgo. Una calificación de 10 en grado de
probabilidad de ocurrencia, implica que el riesgo definitivamente se materializará.
Es recomendable que no más del 25% del total de los riesgos se encuentren en el cuadrante I.
Grado de Impacto
1
Muy Bajo
2
3
Bajo
4
5
Regular
6
7
Alto
8
9
Muy Alto
10
Frecuencia con que se
materializa el riesgo
Grado de Probabilidad de Ocurrencia
Mayor que 25%
10
Muy Alto
9
Entre 21 y 25%
8
Alto
7
Entre 16 y 20%
6
Regular
5
Entre 10 y 15%
4
Bajo
3
Inferior a 10%
2
Muy Bajo
1
Valoración de los riesgos
Metodología de Administración de Riesgos
33. Cuadrante I
Riesgos de atención
Inmediata
Cuadrante II
Riesgos de atención
Periódica
Cuadrante III
Riesgos
Controlados
Cuadrante IV
Riesgos de
Seguimiento
Probabilidad
de
Ocurrencia
0.0
0.5
0.10
5.5
5.0 10.0
10.5
10.10
5.10
Definición
Representación
gráfica de uno o
más riesgos, que
permite vincular
la probabilidad
de ocurrencia y
Su impacto en
forma clara y
objetiva.
MAPA DE RIESGOS
34. Una vez realizada la valoración de los riesgos, se procede a calcular a cada uno la suma ponderada de estas valoraciones, otorgándole
el valor de 0.6 al impacto y 0.4 a la probabilidad. Con la suma ponderada se jerarquizan los riesgos dentro de cada cuadrante,
ordenándolos de mayor a menor respecto al resultado obtenido.
Cuadrante Número consecutivo del Riesgo en
Inventario
Valor del Impacto
(X)
Valor de la
Probabilidad (Y)
Suma ponderada
(.6x+ .41)
Ranking (orden de
acuerdo al cuadrante)
I 5 8 7 7.6 1
I 7 7 8 7.4 2
I 4 6 9 7.2 3
I 1 7 7 7 4
I 8 7 6 6.6 5
I 10 6 7 6.4 6
I 3 5 8 6.2 7
II 9 4 7 5.2 1
III 2 4 4 4 1
IV 6 9 4 7 1
Ejemplo de orden por ranking
JERARQUIZACIÓN DE RIESGOS
35. Metodología de Administración de Riesgos
Representación Gráfica de los Riesgos
Partiendo del ejemplo anterior, el mapa de riesgos resultante sería el siguiente:
# Riesgo Impacto Probabilidad Cuadrante
1 7 7 I
2 4 4 III
3 5 8 I
4 6 9 I
5 8 7 I
6 9 4 IV
7 7 8 I
8 7 6 I
9 4 7 II
10 6 7 I
0
1
2
3
4
5
6
7
8
9
10
0 1 2 3 4 5 6 7 8 9 10
Mapa de Riesgos
El resultado de las valoraciones colocaria a 7 de los 10 riesgos en
el cuadrante I, por lo que la mayoria de los riesgos serían
catalogados como de atención inmediata
36. Metodología de Administración de Riesgos
La Dependencia o Entidad
deberá establecer las
actividades para atender los
factores
de mayor peso asociados
a los riesgos
Programa de Trabajo de
Administración de Riesgos
(PTAR)
Instrumentos para Administrar los Riesgos Identificados
37. •Reducir el riesgo. Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia (acciones de
prevención) y el impacto (acciones de contingencia), tales como la optimización de los procedimientos y la
implementación o mejora de controles.
•Asumir el riesgo. Se aplica cuando el riesgo se encuentra en el Cuadrante III, Riesgos Controlados de baja
probabilidad de ocurrencia y grado de impacto y puede aceptarse sin necesidad de tomar otras medidas de control
diferentes a las que se poseen, o cuando no se tiene opción para abatirlo y sólo pueden establecerse acciones de
contingencia.
•Transferir el riesgo. Consiste en trasladar el riesgo a un externo a través de la contratación de servicios tercerizados,
el cual deberá tener la experiencia y especialización necesaria para asumir el riesgo, así como sus impactos o
pérdidas derivadas de su materialización
•Compartir el riesgo.- Se refiere a distribuir parcialmente el riesgo y las posibles consecuencias, a efecto de
segmentarlo y canalizarlo a diferentes unidades administrativas de la institución, las cuales se responsabilizarán de la
parte del riesgo que les corresponda en su ámbito de competencia.
•Tolerancia al Riesgo. La Administración deberá definir la tolerancia a los riesgos identificados para los objetivos
estratégicos definidos por la Institución. En donde la tolerancia al riesgo se debe considerar como el nivel aceptable
de diferencia entre el cumplimiento cabal del objetivo estratégico, respecto de su grado real de cumplimiento
•Servicios Tercerizados. La Administración conserva la responsabilidad sobre el desempeño de las actividades
realizadas por los servicios tercerizados que contrate para realizar algunos procesos operativos para la institución,
tales como servicios de tecnologías de información y comunicaciones, servicios de mantenimiento, servicios de
seguridad o servicios de limpieza
Determinada la Valoración final, se debe definir la estrategia a seguir
Definición de la Estrategia para Administrar el Riesgo