10.01 El Consejo de la Judicatura debe diseñar, actualizar y garantizar la suficiencia e idoneidad de las actividades de control para alcanzar los objetivos institucionales y responder a los riesgos. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Respuesta a los Objetivos y Riesgos 

• Diseño de las Actividades de Control Apropiadas 

• Diseño de Actividades de Control en Varios Niveles 

• Segregación de Funciones 

Respuesta a los Objetivos y Riesgos 

10.02 El Consejo de la Judicatura debe diseñar actividades de control en respuesta a los riesgos asociados con los objetivos institucionales, a fin de alcanzar un control interno eficaz y apropiado. Estas actividades son las políticas, procedimientos, técnicas y mecanismos que hacen obligatorias las directrices para alcanzar los objetivos e identificar los riesgos asociados. Como parte del componente de ambiente de control, el Consejo de la Judicatura deben definir responsabilidades, asignar puestos clave y delegar autoridad para alcanzar los objetivos. Como parte del componente de administración de riesgos, la Unidad de Control Interno debe identificar los riesgos asociados a la institución y a sus objetivos, incluidos los servicios tercerizados, la tolerancia al riesgo y la respuesta a éste. El Consejo de la Judicatura debe diseñar las actividades de control para cumplir con las responsabilidades definidas y responder apropiadamente a los riesgos. 

Diseño de Actividades de Control 

Apropiadas 

10.03 La Unidad de Control Interno debe diseñar las actividades de control apropiadas para el control interno, las cuales ayudan al Poder Judicial del Estado de Hidalgo a cumplir con sus responsabilidades y a enfrentar apropiadamente a los riesgos identificados en el control interno. A continuación se presentan de manera enunciativa, más no limitativa, las actividades de control que pueden ser útiles para la institución: 

• Revisiones del desempeño actual. 

• Revisiones a nivel función o actividad. 

• Administración del capital humano. 

• Controles sobre el procesamiento de la información. 

• Controles físicos sobre los activos y bienes vulnerables. 

• Establecimiento y revisión de normas e indicadores de desempeño. 

• Segregación de funciones. 

• Ejecución apropiada de transacciones. 

• Registro de transacciones con exactitud y oportunidad. 

• Restricciones de acceso a recursos y registros, así como rendición de cuentas sobre éstos. 

• Documentación y formalización apropiada de las transacciones y el control interno. 

Revisiones del desempeño actual 

El Consejo de la Judicatura identifica los logros más importantes de la institución y los compara contra los planes, objetivos y metas establecidos. 

Revisiones a nivel de función o actividad 

El Consejo de la Judicatura compara el desempeño actual contra los resultados planeados o esperados en determinadas funciones clave de la institución, y analiza las diferencias significativas.

Administración del Capital Humano 

La gestión efectiva de la fuerza de trabajo de la institución, su capital humano, es esencial para alcanzar los resultados y es una parte importante del control interno. El éxito operativo sólo es posible cuando el personal adecuado para el trabajo está presente y ha sido provisto de la capacitación, las herramientas, las estructuras, los incentivos y las responsabilidades adecuadas. Continuamente se debe evaluar las necesidades de conocimiento, competencias y capacidades que el personal debe tener para lograr los objetivos institucionales. La capacitación debe enfocarse a desarrollar y retener al personal con los conocimientos, habilidades y capacidades para cubrir las necesidades organizacionales cambiantes. Se debe proporcionar supervisión calificada y continua para asegurar que los objetivos de control interno son alcanzados. Asimismo, debe diseñar evaluaciones de desempeño y retroalimentación, complementadas por un sistema de incentivos efectivo, lo cual ayuda a los empleados a entender la conexión entre su desempeño y el éxito de la institución. Como parte de la planeación del capital humano, se debe considerar de qué manera retiene a los empleados valiosos, cómo planea su eventual sucesión y cómo asegura la continuidad de las competencias, habilidades y capacidades necesarias. 

Controles sobre el procesamiento de la información 

Una variedad de actividades de control son utilizadas en el procesamiento de la información. Los ejemplos incluyen verificaciones sobre la edición de datos ingresados, la contabilidad de las transacciones en secuencias numéricas, la comparación de los totales de archivos con las cuentas de control y el control de acceso a los datos, archivos y programas. 

Controles físicos sobre los activos y bienes vulnerables 

La Comisión de Administración debe establecer el control físico para asegurar y salvaguardar los bienes y activos vulnerables de la institución. Algunos ejemplos incluyen la seguridad y el acceso limitado a los activos, como el dinero, valores, inventarios y equipos que podrían ser vulnerables al riesgo de pérdida o uso no autorizado. La Comisión de Administración cuenta y compara periódicamente dichos activos para controlar los registros. 

Establecimiento y revisión de normas e indicadores de desempeño

El Consejo de la Judicatura debe establecer actividades para revisar los indicadores. Éstas pueden incluir comparaciones y evaluaciones que relacionan diferentes conjuntos de datos entre sí para que se puedan efectuar los análisis de relaciones y se adopten las medidas correspondientes. El Consejo de la Judicatura debe diseñar controles enfocados en validar la idoneidad e integridad de las normas e indicadores de desempeño, a nivel institución y a nivel individual.

Segregación de funciones 

La Presidencia, con el apoyo del Consejo de la Judicatura debe dividir o segregar las atribuciones y funciones principales entre los diferentes servidores públicos para reducir el riesgo de error, mal uso, corrupción, fraude, abuso, desperdicio y otras irregularidades. Esto incluye separar las responsabilidades para autorizar transacciones, procesarlas y registrarlas, revisar las transacciones y manejar cualquier activo relacionado, de manera que ningún servidor público controle todos los aspectos clave de una transacción o evento. 

Ejecución apropiada de transacciones 

Las transacciones deben ser autorizadas y ejecutadas sólo por los servidores públicos que actúan dentro del alcance de su autoridad. Éste es el principal medio para asegurarse de que sólo las transacciones válidas para el intercambio, transferencia, uso u compromiso de recursos son iniciadas o efectuadas. El Consejo de la Judicatura debe comunicar claramente las autorizaciones al personal. 

Registro de transacciones con exactitud y oportunidad 

El Consejo de la Judicatura debe asegurarse de que las transacciones se registran puntualmente para conservar su relevancia y valor para el control de las operaciones y la toma de decisiones. Esto se aplica a todo el proceso o ciclo de vida de una transacción o evento, desde su inicio y autorización hasta su clasificación final en los registros. Además, la Comisión de Administración debe diseñar actividades de control para contribuir a asegurar que todas las transacciones son registradas de forma completa y precisa. 

Restricciones de acceso a recursos y registros, así como rendición de cuentas sobre éstos 

El Consejo de la Judicatura debe limitar el acceso a los recursos y registros solamente al personal autorizado; asimismo, debe asignar y mantener la responsabilidad de su custodia y uso. Se deben conciliar periódicamente los registros con los recursos para contribuir a reducir el riesgo de errores, corrupción, fraude, abuso, desperdicio, uso indebido o alteración no autorizada. 

Documentación y formalización apropiada de las transacciones y el control interno 

El Consejo de la Judicatura debe documentar claramente el control interno y todas las transacciones y demás eventos significativos. Asimismo, debe asegurarse de que la documentación esté disponible para su revisión. La documentación y formalización debe realizarse con base en las directrices emitidas por El Consejo de la Judicatura para tal efecto, mismas que toman la forma de políticas, guías o lineamientos administrativos o manuales de operación, ya sea en papel o en formato electrónico. La documentación formalizada y los registros deben ser administrados y conservados adecuadamente, y por los plazos mínimos que establezcan las disposiciones legales en la materia. 

El control interno de la institución debe ser flexible para permitir al Consejo de la Judicatura moldear las actividades de control a sus necesidades específicas. Las actividades de control específicas de la institución pueden ser diferentes de las que utiliza otra, como consecuencia de muchos factores, los cuales pueden incluir: riesgos concretos y específicos que enfrenta la institución; su ambiente operativo; la sensibilidad y valor de los datos incorporados a su operación cotidiana, así como los requerimientos de confiabilidad, disponibilidad y desempeño de sus sistemas. 

10.04 Las actividades de control pueden ser preventivas o detectivas. La principal diferencia entre ambas reside en el momento en que ocurren. Una actividad de control preventiva se dirige a evitar que la institución falle en alcanzar un objetivo o enfrentar un riesgo. Una actividad de control detectiva descubre cuándo la institución no está alcanzando un objetivo o enfrentando un riesgo antes de que la operación concluya, y corrige las acciones para que se alcance el objetivo o se enfrente el riesgo. 

10.05 La Presidencia, con el apoyo del Consejo de la Judicatura debe evaluar el propósito de las actividades de control, así como el efecto que una deficiencia tiene en el logro de los objetivos institucionales. Si tales actividades cumplen un propósito significativo o el efecto de una deficiencia en el control sería relevante para el logro de los objetivos, la Unidad de Control Interno debe diseñar actividades de control tanto preventivas como detectivas para esa transacción, proceso, unidad administrativa o función. 

10.06 Las actividades de control deben implementarse ya sea de forma automatizada o manual. Las primeras están total o parcialmente automatizadas mediante tecnologías de información; mientras que las manuales son realizadas con menor uso de las tecnologías de información. Las actividades de control automatizadas tienden a ser más confiables, ya que son menos susceptibles a errores humanos y suelen ser más eficientes. Si las operaciones en la institución descansan en tecnologías de información, la Administración debe diseñar actividades de control para asegurar que dichas tecnologías se mantienen funcionando correctamente y son apropiadas para el tamaño, características y mandato de la institución. 

Diseño de Actividades de Control en Varios Niveles 

10.07 El Consejo de la Judicatura debe diseñar actividades de control en los niveles adecuados de la estructura organizacional. 

10.08 El Consejo de la Judicatura debe diseñar actividades de control para asegurar la adecuada cobertura de los objetivos y los riesgos en las operaciones. Los procesos operativos transforman las entradas en salidas para lograr los objetivos institucionales. Se debe diseñar actividades de control a nivel institución, a nivel transacción o ambos, dependiendo del nivel necesario para garantizar que la institución cumpla con sus objetivos y conduzca los riesgos relacionados. 

10.09 Los controles a nivel institución son controles que tienen un efecto generalizado en el control interno y pueden relacionarse con varios componentes. Estos controles pueden incluir controles relacionados con el componente de administración de riesgos, el ambiente de control, la función de supervisión, los servicios tercerizados y la elusión de controles. 

10.10 Las actividades de control a nivel transacción son acciones integradas directamente en los procesos operativos para contribuir al logro de los objetivos y enfrentar los riesgos asociados. El término “transacciones” tiende a asociarse con procesos financieros (por ejemplo, cuentas por pagar), mientras que el término “actividades” se asocia generalmente con procesos operativos o de cumplimiento. Para fines de este Marco, “transacciones” cubre ambas definiciones. El Consejo de la Judicatura debe diseñar una variedad de actividades de control de transacciones para los procesos operativos, que pueden incluir verificaciones, conciliaciones, autorizaciones y aprobaciones, controles físicos y supervisión. 

10.11 Al elegir entre actividades de control a nivel institución o de transacción, la Unidad de Control Interno debe evaluar el nivel de precisión necesario para que la institución cumpla con sus objetivos y enfrente los riesgos relacionados. Para determinar el nivel de precisión necesario para las actividades de control, la Unidad de Control Interno debe evaluar: 

• Propósito de las actividades de control. Cuando se trata de prevención o detección, la actividad de control es, en general, más precisa que una que solamente identifica diferencias y las explica. 

• Nivel de agregación. Una actividad de control que se desarrolla a un nivel de mayor detalle generalmente es más precisa que la realizada a un nivel general. Por ejemplo, un análisis de las obligaciones por renglón presupuestal normalmente es más preciso que un análisis de las obligaciones totales de la institución. 

• Regularidad del control. Una actividad de control rutinaria y consistente es generalmente más precisa que la realizada de forma esporádica. 

• Correlación con los procesos operativos pertinentes. Una actividad de control directamente relacionada con un proceso operativo tiene generalmente mayor probabilidad de prevenir o detectar deficiencias que aquella que está relacionada sólo indirectamente. 

Segregación de Funciones 

10.12 El consejo de la Judicatura debe considerar la segregación de funciones en el diseño de las responsabilidades de las actividades de control para garantizar que las funciones incompatibles sean segregadas y, cuando dicha segregación no sea práctica, debe diseñar actividades de control alternativas para enfrentar los riesgos asociados. 

10.13 La segregación de funciones contribuye a prevenir corrupción, fraudes, desperdicio y abusos en el control interno. Se debe considerar la necesidad de separar las actividades de control relacionadas con la autorización, custodia y registro de las operaciones para lograr una adecuada segregación de funciones. En particular, la segregación permite hacer frente al riesgo de elusión de controles. Si el Consejo de la Judicatura, tiene la posibilidad de eludir las actividades de control, dicha situación se constituye en un posible medio para la realización de actos corruptos y genera que el control interno no sea apropiado ni eficaz. La elusión de controles cuenta con mayores posibilidades de ocurrencia cuando diversas responsabilidades, incompatibles entre sí, las realiza un solo servidor público. El Consejo de la Judicatura debe abordar este riesgo a través de la segregación de funciones, pero no puede impedirlo absolutamente, debido al riesgo de colusión en el que dos o más servidores públicos se confabulan para eludirlos controles. 

10.14 Si la segregación de funciones no es práctica en un proceso operativo debido a personal limitado u otros factores, el Consejo de la Judicatura debe diseñar actividades de control alternativas para enfrentar el riesgo de corrupción, fraude, desperdicio o abuso en los procesos operativos. 

11.01 El Consejo de la Judicatura debe diseñar los sistemas de información institucional y las actividades de control asociadas, a fin de alcanzar los objetivos y responder a los riesgos. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Desarrollo de los Sistemas de Información 

• Diseño de los Tipos de Actividades de Control Apropiadas 

• Diseño de la Infraestructura de las TIC 

• Diseño de la Administración de la Seguridad 

• Diseño de la Adquisición, Desarrollo y Mantenimiento de las TIC 

Desarrollo de los Sistemas de Información 

11.02 El Consejo de la Judicatura debe desarrollar los sistemas de información de manera tal que se cumplan los objetivos institucionales y se responda apropiadamente a los riesgos asociados. 

11.03 El Consejo de la Judicatura debe desarrollar los sistemas de información de la institución para obtener y procesar apropiadamente la información relativa a cada uno de los procesos operativos. Dichos sistemas contribuyen a alcanzar los objetivos institucionales y a responder a los riesgos asociados. Un sistema de información se integra por el personal, los procesos, los datos y la tecnología, organizados para obtener, comunicar o disponer de la información. Asimismo, debe representar el ciclo de vida de la información utilizada para los procesos operativos, que permita a la institución obtener, almacenar y procesar información de calidad. 

Un sistema de información debe incluir tanto procesos manuales como automatizados. Los procesos automatizados se conocen comúnmente como las Tecnologías de Información y Comunicaciones (TIC). 

Como parte del componente de ambiente de control, se debe definir las responsabilidades, asignarlas a los puestos clave y delegar autoridad para lograr los objetivos. Como parte del componente de administración de riesgos, la Unidad de Control Interno debe identificar los riesgos relacionados con la institución y sus objetivos, incluyendo los servicios tercerizados, la tolerancia al riesgo y las respuestas a éstos. La Comisión de Administración debe diseñar actividades de control para cumplir con las responsabilidades definidas y generar las respuestas a los riesgos identificados en los sistemas de información. 

11.04 El Titular de Modernización y Sistemas debe desarrollar los sistemas de información y el uso de las TIC considerando las necesidades de información definidas para los procesos operativos de la institución. Las TIC permiten que la información relacionada con los procesos operativos esté disponible de la forma más oportuna y confiable para la institución. Adicionalmente, las TIC pueden fortalecer el control interno sobre la seguridad y la confidencialidad de la información mediante una adecuada restricción de accesos. Aunque las TIC conllevan tipos específicos de actividades de control, no representan una consideración de control “independiente”, sino que son parte integral de la mayoría de las actividades de control. 

11.05 A su vez, debe evaluar los objetivos de procesamiento de información para satisfacer las necesidades de información definidas. Los objetivos de procesamiento de información pueden incluir: 

• Integridad. Se encuentran presentes todas las transacciones que deben estar en los registros. 

• Exactitud. Las transacciones se registran por el importe correcto, en la cuenta correcta, y de manera oportuna en cada etapa del proceso. 

• Validez. Las transacciones registradas representan eventos económicos que realmente ocurrieron y fueron ejecutados conforme a los procedimientos establecidos. 

Diseño de los Tipos de Actividades de Control Apropiadas 

11.06 El Titular de Modernización y Sistemas debe diseñar actividades de control apropiados en los sistemas información para garantizar la cobertura de los objetivos de procesamiento de la información en los procesos operativos. En los sistemas de información, existen dos tipos principales de actividades de control: generales y de aplicación. 

11.07 Los controles generales (a nivel institución, de sistemas y de aplicaciones) son las políticas y procedimientos que se aplican a la totalidad o a un segmento de los sistemas de información. Los controles generales fomentan el buen funcionamiento de los sistemas de información mediante la creación de un entorno apropiado para el correcto funcionamiento de los controles de aplicación. Los controles generales deben incluir la administración de la seguridad, acceso lógico y físico, administración de la configuración, segregación de funciones, planes de continuidad y planes de recuperación de desastres, entre otros. 

11.08 Los controles de aplicación, a veces llamados controles de procesos de operación, son los controles que se incorporan directamente en las aplicaciones informáticas para contribuir a asegurar la validez, integridad, exactitud y confidencialidad de las transacciones y los datos durante el proceso de las aplicaciones. Los controles de aplicación deben incluir las entradas, el procesamiento, las salidas, los archivos maestros, las interfaces y los controles para los sistemas administración de datos, entre otros. 

Diseño de la Infraestructura de las TIC 

11.09 El Titular de Modernización y Sistemas debe diseñar las actividades de control sobre la infraestructura de las TIC para soportar la integridad, exactitud y validez del procesamiento de la información mediante el uso de TIC. Las TIC requieren de una infraestructura para operar, incluyendo las redes de comunicación para vincularlas, los recursos informáticos para las aplicaciones y la electricidad. La infraestructura de TIC de la institución puede ser compleja y puede ser compartida por diferentes unidades dentro de la misma o tercerizada. Se debe evaluar los objetivos de la institución y los riesgos asociados al diseño de las actividades de control sobre la infraestructura de las TIC. 

11.10 El Titular de Modernización y Sistemas debe mantener la evaluación de los cambios en el uso de las TIC y debe diseñar nuevas actividades de control cuando estos cambios se incorporan en la infraestructura de las TIC. La Comisión de Administración también debe diseñar actividades de control necesarias para mantener la infraestructura de las TIC. El mantenimiento de la tecnología debe incluir los procedimientos de respaldo y recuperación, así como la continuidad de los planes de operación, en función de los riesgos y las consecuencias de una interrupción total o parcial de los sistemas de energía, entre otros. 

Diseño de la Administración de la Seguridad 

11.11 El Titular de Modernización y Sistemas debe diseñar actividades de control para la gestión de la seguridad sobre los sistemas de información con el fin de garantizar el acceso adecuado, de fuentes internas y externas a éstos. Los objetivos para la gestión de la seguridad deben incluir la confidencialidad, la integridad y la disponibilidad. La confidencialidad significa que los datos, informes y demás salidas están protegidos contra el acceso no autorizado. Integridad significa que la información es protegida contra su modificación o destrucción indebida, incluidos la irrefutabilidad y autenticidad de la información. Disponibilidad significa que los datos, informes y demás información pertinente se encuentra lista y accesible para los usuarios cuando sea necesario. 

11.12 La gestión de la seguridad debe incluir los procesos de información y las actividades de control relacionadas con los permisos de acceso a las TIC, incluyendo quién tiene la capacidad de ejecutar transacciones. La gestión de la seguridad debe incluir los permisos de acceso a través de varios niveles de datos, el sistema operativo (software del sistema), la red de comunicación, aplicaciones y segmentos físicos, entre otros. Se debe diseñar las actividades de control sobre permisos para proteger a la institución del acceso inapropiado y el uso no autorizado del sistema. Estas actividades de control apoyan la adecuada segregación de funciones. Mediante la prevención del uso no autorizado y la realización de cambios al sistema, los datos y la integridad de los programas están protegidos contra errores y acciones mal intencionadas (por ejemplo, que personal no autorizado irrumpa en la tecnología para cometer actos de corrupción, fraude o vandalismo). 

11.13 El Titular de Modernización y Sistemas debe evaluar las amenazas de seguridad a las TIC, tanto de fuentes internas como externas. Las amenazas externas son especialmente importantes para las instituciones que dependen de las redes de telecomunicaciones e Internet. Este tipo de amenazas se han vuelto frecuentes en el entorno institucional y empresarial altamente interconectado de hoy, y requiere un esfuerzo continuo para enfrentar estos riesgos. Las amenazas internas pueden provenir de exempleados o empleados descontentos, quienes plantean riesgos únicos, ya que pueden ser a la vez motivados para actuar en contra de la institución y están mejor preparados para tener éxito en la realización de un acto malicioso, al tener la posibilidad de un mayor acceso y el conocimiento sobre los sistemas de administración de la seguridad de la institución y sus procesos. 

11.14 El Titular de Modernización y Sistemas debe diseñar actividades de control para limitar el acceso de los usuarios a las TIC a través de controles como la asignación de claves de acceso y dispositivos de seguridad para autorización de usuarios. Estas actividades de control deben restringir a los usuarios autorizados el uso de las aplicaciones o funciones acordes con sus responsabilidades asignadas; asimismo, se debe promover la adecuada segregación de funciones. La Comisión de Administración debe diseñar otras actividades de control para actualizar los derechos de acceso, cuando los empleados cambian de funciones o dejan de formar parte de la institución. También debe diseñar controles de derechos de acceso cuando los diferentes elementos de las TIC están conectados entre sí. 

Diseño de la Adquisición, Desarrollo y Mantenimiento de las TIC 

11.15El Titular de Modernización y Sistemas debe diseñar las actividades de control para la adquisición, desarrollo y mantenimiento de las TIC. Se puede utilizar un modelo de Ciclo de Vida del Desarrollo de Sistemas (CVDS) en el diseño de las actividades de control. El CVDS proporciona una estructura para un nuevo diseño de las TIC al esbozar las fases específicas y documentar los requisitos, aprobaciones y puntos de revisión dentro de las actividades de control sobre la adquisición, desarrollo y mantenimiento de la tecnología. A través del CVDS, la Administración debe diseñar las actividades de control sobre los cambios en la tecnología. Esto puede implicar el requerimiento de autorización para realizar solicitudes de cambio, la revisión de los cambios, las aprobaciones correspondientes y los resultados de las pruebas, así como el diseño de protocolos para determinar si los cambios se han realizado correctamente. Dependiendo del tamaño y complejidad de la institución, el desarrollo y los cambios en las TIC pueden ser incluidos en el CVDS o en metodologías distintas. La Comisión de Administración debe evaluar los objetivos y los riesgos de las nuevas tecnologías en el diseño de las actividades de control sobre el CVDS. 

11.16 El Titular de Modernización y Sistemas puede adquirir software de TIC, por lo que debe incorporar metodologías para esta acción y debe diseñar actividades de control sobre su selección, desarrollo continuo y mantenimiento. Las actividades de control sobre el desarrollo, mantenimiento y cambio en el software de aplicaciones previenen la existencia de programas o modificaciones no autorizados. 

11.17 Otra alternativa es la contratación de servicios tercerizados para el desarrollo de las TIC. En cuanto a un CVDS desarrollado internamente, se debe diseñar actividades de control para lograr los objetivos y enfrentar los riesgos relacionados. El Consejo de la Judicatura también debe evaluar los riesgos que la utilización de servicios tercerizados representa para la integridad, exactitud y validez de la información presentada a los servicios tercerizados y ofrecida por éstos. 

Se debe documentar y formalizar el análisis y definición, respecto del desarrollo de sistemas automatizados, la adquisición de tecnología, el soporte y las instalaciones físicas, previo a la selección de proveedores que reúnan requisitos y cumplan los criterios en materia de TIC. Asimismo, debe supervisar, continua y exhaustivamente, los desarrollos contratados y el desempeño de la tecnología adquirida, a efecto de asegurar que los entregables se proporcionen en tiempo y los resultados correspondan a lo planeado 

12.01 El Consejo de la Judicatura debe implementar las actividades de control a través de políticas, procedimientos y otros medios de similar naturaleza. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Documentación y Formalización de Responsabilidades a través de Políticas 

• Revisiones Periódicas a las Actividades de Control 

Documentación y Formalización de Responsabilidades a través de Políticas 

12.02 El Consejo de la Judicatura debe documentar, a través de políticas, manuales, lineamientos y otros documentos de naturaleza similar las responsabilidades de control interno en la institución. 

12.03 El Consejo de la Judicatura debe documentar mediante políticas para cada unidad su responsabilidad sobre el cumplimiento de los objetivos de los procesos, de sus riesgos asociados, del diseño de actividades de control, de la implementación de los controles y de su eficacia operativa. Cada unidad determina el número de las políticas necesarias para el proceso operativo que realiza, basándose en los objetivos y los riesgos relacionados a éstos. Cada unidad también debe documentar las políticas con un nivel eficaz, apropiado y suficiente de detalle para permitir la supervisión apropiada de las actividades de control. 

12.04 El personal de las unidades que ocupa puestos clave puede definir con mayor amplitud las políticas a través de los procedimientos del día a día, dependiendo de la frecuencia del cambio en el entorno operativo y la complejidad del proceso operativo. Los procedimientos pueden incluir el periodo de ocurrencia de la actividad de control y las acciones correctivas de seguimiento a realizar por el personal competente en caso de detectar deficiencias. El Consejo de la Judicatura debe comunicar al personal las políticas y procedimientos para que éste pueda implementar las actividades de control respecto de las responsabilidades que tiene asignadas. 

Revisiones Periódicas a las Actividades de Control 

12.05 El Consejo de la Judicatura debe revisar periódicamente las políticas, procedimientos y actividades de control asociadas para mantener la relevancia y eficacia en el logro de los objetivos o en el enfrentamiento de sus riesgos. Si se genera un cambio significativo en los procesos de la institución, se debe revisar este proceso de manera oportuna, para garantizar que las actividades de control están diseñadas e implementadas adecuadamente. Pueden ocurrir cambios en el personal, los procesos operativos o las tecnologías de información. Las diversas instancias legislativas gubernamentales, en sus ámbitos de competencia, así como otros órganos reguladores también pueden emitir disposiciones y generar cambios que impacten los objetivos institucionales o la manera en que la institución logra un objetivo. El Consejo de la Judicatura debe considerar estos cambios en sus revisiones periódicas.