6.01 La Presidencia, con el apoyo del Consejo de la Judicatura debe instruir a las unidades especializadas, la definición clara de los objetivos institucionales para permitir la identificación de riesgos y definir la tolerancia al riesgo. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Definición de Objetivos 

• Tolerancia al Riesgo 

Definición de Objetivos 

6.02 El Consejo de la Judicatura debe definir objetivos en términos específicos y medibles para permitir el diseño del control interno y sus riesgos asociados. Los términos específicos deben establecerse clara y completamente a fin de que puedan ser entendidos fácilmente. Los indicadores y otros instrumentos de medición de los objetivos permiten la evaluación del desempeño en el cumplimiento de los objetivos. Estos últimos, deben definirse inicialmente en el proceso de establecimiento de objetivos y, posteriormente, deben ser incorporados al control interno. 

6.03 El Consejo de la Judicatura debe definir los objetivos en términos específicos de manera que sean comunicados y entendidos en todos los niveles en la institución. Esto involucra la clara definición de qué debe ser alcanzado, quién debe alcanzarlo, cómo será alcanzado y qué límites de tiempo existen para lograrlo. Todos los objetivos pueden ser clasificados de manera general en una o más de las siguientes tres categorías: de operación, de información y de cumplimiento. Los objetivos de información son, además, categorizados como internos o externos y financieros o no financieros. Se debe definir los objetivos en alineación con el mandato, la misión y visión institucional, con su plan estratégico y con otros planes y programas aplicables, así como con las metas de desempeño. 

6.04 Se debe definir objetivos en términos medibles de manera que se pueda evaluar su desempeño. Establecer objetivos medibles contribuye a la objetividad y neutralidad de su evaluación, ya que no se requiere de juicios subjetivos para evaluar el grado de avance en su cumplimiento. Los objetivos medibles deben definirse de una forma cuantitativa y/o cualitativa que permita una medición razonablemente consistente. 

6.05 Se debe considerar los requerimientos externos y las expectativas internas al definir los objetivos que permiten el diseño del control interno. Los legisladores, reguladores e instancias normativas deben definir los requerimientos externos al establecer las leyes, regulaciones y normas que la institución debe cumplir. El Consejo de la Judicatura debe identificar, entender e incorporar estos requerimientos dentro de los objetivos institucionales. Adicionalmente, debe fijar expectativas y requerimientos internos para el cumplimiento de los objetivos con apoyo de las normas de conducta, el programa de promoción de la integridad, la función de supervisión, la estructura organizacional y las expectativas de competencia profesional del personal. 

6.06 El Consejo de la Judicatura debe evaluar y, en su caso, replantear los objetivos definidos para que sean consistentes con los requerimientos externos y las expectativas internas de la institución, así como con el Plan Nacional de Desarrollo, el Plan Estatal de Desarrollo, los Programas Sectoriales, Especiales y demás planes, programas y disposiciones aplicables. Esta consistencia permite identificar y analizar los riesgos asociados con el logro de los objetivos. 

6.07 El Consejo de la Judicatura debe determinar si los instrumentos e indicadores de desempeño para los objetivos establecidos son apropiados para evaluar el desempeño de la institución. Para los objetivos cuantitativos, las normas e indicadores de desempeño pueden ser un porcentaje específico o un valor numérico. Para los objetivos cualitativos, se podría necesitar diseñar medidas de desempeño que indiquen el nivel o grado de cumplimiento, como hitos. 

Tolerancia al Riesgo 

6.08 El Consejo de la Judicatura debe definir la tolerancia al riesgo para los objetivos definidos. Dicha tolerancia es el nivel aceptable de diferencia entre el cumplimiento cabal del objetivo y su grado real de cumplimiento. Las tolerancias al riesgo son inicialmente fijadas como parte del proceso de establecimiento de objetivos. Se debe definir las tolerancias para los objetivos establecidos al asegurar que los niveles de variación para las normas e indicadores de desempeño son apropiados para el diseño del Control interno. 

6.09 El Consejo de la Judicatura debe definir las tolerancias al riesgo en términos específicos y medibles, de modo que sean claramente establecidas y puedan ser medidas. La tolerancia es usualmente medida con las mismas normas e indicadores de desempeño que los objetivos definidos. Dependiendo de la categoría de los objetivos, las tolerancias al riesgo pueden ser expresadas como sigue: 

• Objetivos de Operación. Nivel de variación en el desempeño en relación con el riesgo. 

• Objetivos de Información no Financieros. Nivel requerido de precisión y exactitud para las necesidades de los usuarios; implican consideraciones tanto cualitativas como cuantitativas para atender las necesidades de los usuarios de informes no financieros. 

• Objetivos de Información Financieros. Los juicios sobre la relevancia se hacen en función de las circunstancias que los rodean; implican consideraciones tanto cualitativas como cuantitativas y se ven afectados por las necesidades de los usuarios de los informes financieros, así como por el tamaño o la naturaleza de la información errónea. 

• Objetivos de Cumplimiento. El concepto de tolerancia al riesgo no le es aplicable. La institución cumple o no cumple las disposiciones aplicables. 

6.10 La Unidad de Control Interno también debe evaluar si las tolerancias al riesgo permiten el diseño apropiado de control interno al considerar si son consistentes con los requerimientos y las expectativas de los objetivos definidos. Como en la definición de objetivos, se debe considerar las tolerancias al riesgo en el contexto de las leyes, regulaciones y normas aplicables a la institución, así como a las normas de conducta, el programa de promoción de la integridad, la estructura de supervisión, la estructura organizacional y las expectativas de competencia profesional. Si las tolerancias al riesgo para los objetivos definidos no son consistentes con estos requerimientos y expectativas, la Unidad de Control Interno debe revisar las tolerancias al riesgo para lograr dicha consistencia. 

7.01 La Unidad de Control Interno debe identificar, analizar y responder a los riesgos relacionados con el cumplimiento de los objetivos institucionales. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Identificación de Riesgos 

• Análisis de Riesgos 

• Respuesta a los Riesgos 

Identificación de Riesgos 

7.02 La Unidad de Control Interno debe identificar riesgos en toda la institución para proporcionar una base para analizarlos. La administración de riesgos es la identificación y análisis de riesgos asociados con el mandato institucional, su plan estratégico, los objetivos del Plan Nacional de Desarrollo, el Plan Estatal de Desarrollo, los Programas Sectoriales, Especiales y demás planes y programas aplicables de acuerdo con los requerimientos y expectativas de la planeación estratégica, y de conformidad con las disposiciones jurídicas y normativas aplicables. Lo anterior forma la base que permite diseñar respuestas al riesgo. 

7.03 Para identificar riesgos, la Unidad de Control Interno debe considerar los tipos de eventos que impactan a la institución. Esto incluye tanto el riesgo inherente como el riesgo residual. El riesgo inherente es el riesgo que enfrenta la institución cuando no responde ante el riesgo. El riesgo residual es el riesgo que permanece después de la respuesta al riesgo inherente. La falta de respuesta a ambos riesgos puede causar deficiencias graves en el control interno. 

7.04 La Unidad de Control Interno debe considerar todas las interacciones significativas dentro de la institución y con las partes externas, cambios en su ambiente interno y externo y otros factores, tanto internos como externos, para identificar riesgos en toda la institución. Los factores de riesgo interno pueden incluir la compleja naturaleza de los programas de la institución, su estructura organizacional o el uso de nueva tecnología en los procesos operativos. Los factores de riesgo externo pueden incluir leyes, regulaciones o normas profesionales nuevas o reformadas, inestabilidad económica o desastres naturales potenciales. La Unidad de Control Interno debe considerar esos factores tanto a nivel institución como a nivel de transacciones a fin de identificar de manera completa los riesgos que afectan el logro de los objetivos.

Los métodos de identificación de riesgos pueden incluir una priorización cualitativa y cuantitativa de actividades, previsiones y planeación estratégica, así como la consideración de las deficiencias identificadas a través de auditorías y otras evaluaciones. 

Análisis de Riesgos 

7.05 La Unidad de Control Interno debe analizar los riesgos identificados para estimar su relevancia, lo cual provee la base para responder a éstos. La relevancia se refiere al efecto sobre el logro de los objetivos. 

7.06 Se debe estimar la relevancia de los riesgos identificados para evaluar su efecto sobre el logro de los objetivos, tanto a nivel institución como a nivel transacción. La Unidad de Control Interno debe estimar la importancia de un riesgo al considerar la magnitud del impacto, la probabilidad de ocurrencia y la naturaleza de riesgo. La magnitud de impacto se refiere al grado probable de deficiencia que podría resultar de la materialización de un riesgo y es afectada por factores tales como el tamaño, la frecuencia y la duración del impacto del riesgo. La probabilidad de ocurrencia se refiere a la posibilidad de que un riesgo se materialice. La naturaleza del riesgo involucra factores tales como el grado de subjetividad involucrado con el riesgo y la posibilidad de surgimiento de riesgos causados por corrupción, fraude, abuso, desperdicio y otras irregularidades o por transacciones complejas e inusuales. Consejo de la Judicatura, podrá revisar las estimaciones sobre la relevancia realizadas por la Unidad de Control Interno, a fin de asegurar que las tolerancias al riesgo fueron definidas adecuadamente. 

7.07 Los riesgos pueden ser analizados sobre bases individuales o agrupados dentro de categorías de riesgos asociados, los cuales son analizados de manera colectiva. Independientemente de si los riesgos son analizados de forma individual o agrupada, la Unidad de Control Interno debe considerar la correlación entre los distintos riesgos o grupos de riesgos al estimar su relevancia. La metodología específica de análisis de riesgos utilizada puede variar según la institución, su mandato y misión, y la dificultad para definir, cualitativa y cuantitativamente, las tolerancias al riesgo. 

Respuesta a los Riesgos 

7.08 El Consejo de la Judicatura debe diseñar respuestas a los riesgos analizados de tal modo que éstos se encuentren dentro de la tolerancia definida para los objetivos. El Consejo de la Judicatura debe diseñar todas las respuestas al riesgo con base en la relevancia del riesgo y la tolerancia establecida. Estas respuestas al riesgo pueden incluir: 

• Aceptar. Ninguna acción es tomada para responder al riesgo con base en su importancia. 

• Evitar. Se toman acciones para detener el proceso operativo o la parte que origina el riesgo. 

• Mitigar. Se toman acciones para reducir la probabilidad / posibilidad de ocurrencia o la magnitud del riesgo. 

• Compartir. Se toman acciones para compartir riesgos institucionales con partes externas, como la contratación de pólizas de seguros. 

7.09 Con base en la respuesta al riesgo seleccionada, El Consejo de la Judicatura debe diseñar acciones específicas de atención. La naturaleza y alcance de las acciones de la respuesta a los riesgos depende de la tolerancia al riesgo definida. Operar dentro de una tolerancia definida provee mayor garantía de que la institución alcanzará sus objetivos. Los indicadores del desempeño son usados para evaluar si las acciones de respuesta al riesgo permiten a la institución operar dentro de las tolerancias definidas. Cuando las acciones de respuesta al riesgo no permiten a la institución operar dentro de las tolerancias al riesgo definidas, la Unidad de Control Interno debe revisar las respuestas al riesgo y/o reconsiderar las tolerancias al riesgo definidas. La Unidad de Control Interno debe efectuar evaluaciones periódicas de riesgos con el fin de asegurar la efectividad de las acciones de respuesta. 

8.01 La Unidad de Control Interno, con el apoyo, en su caso, de las unidades especializadas (por ejemplo, Comité de Ética, Comité de Riesgos, Comité de Cumplimiento, etc.), debe considerar la probabilidad de ocurrencia de actos corruptos, fraudes, abuso, desperdicio y otras irregularidades que atentan contra la apropiada salvaguarda de los bienes y recursos públicos al identificar, analizar y responder a los riesgos. 

La corrupción, por lo general, implica la obtención ilícita por parte de un servidor público de algo de valor, a cambio de la realización de una acción ilícita o contraria a la integridad. 

Todo el personal en sus respectivos ámbitos de competencia, deben considerar el riesgo potencial de actos corruptos y contrarios a la integridad en todos los procesos que realicen, incluyendo los más susceptibles como son ingresos, adquisiciones, obra pública, remuneraciones, entre otros, e informar oportunamente aL Consejo de la Judicatura sobre la presencia de dichos riesgos. 

El programa de promoción de la integridad debe considerar la administración de riesgos de corrupción permanente en la institución, así como los mecanismos para que cualquier servidor público o tercero pueda informar de manera confidencial y anónima sobre la incidencia de actos corruptos probables u ocurridos dentro de la institución. La Comisión de Disciplina es responsable de que dichas denuncias sean investigadas oportunamente y, en su caso, se corrijan las fallas que dieron lugar a la presencia del riesgo de corrupción. El Consejo de la Judicatura debe evaluar la aplicación efectiva del programa de promoción de la integridad por parte de la Comisión de Disciplina, incluyendo si el mecanismo de denuncias anónimas es eficaz, oportuno y apropiado, y debe permitir la corrección efectivamente las deficiencias en los procesos que permiten la posible materialización de actos corruptos u otras irregularidades que atentan contra la salvaguarda de los recursos públicos y la apropiada actuación de los servidores públicos. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Tipos de Corrupción 

• Factores de Riesgo de Corrupción 

• Respuesta a los Riesgos de Corrupción 

Tipos de Corrupción 

8.02 La Presidencia, con apoyo del Consejo de la Judicatura debe considerar los tipos de corrupción que pueden ocurrir en la institución, para proporcionar una base para la identificación de estos riesgos. Entre los tipos de corrupción más comunes se encuentran: 

• Informes Financieros Fraudulentos. Consistentes en errores intencionales u omisiones de cantidades o revelaciones en los estados financieros para engañar a los usuarios de los estados financieros. Esto podría incluir la alteración intencional de los registros contables, la tergiversación de las transacciones o la aplicación indebida y deliberada de los principios y disposiciones de contabilidad. 

• Apropiación indebida de activos. Entendida como el robo de activos de la institución. Esto podría incluir el robo de la propiedad, la malversación de los ingresos o pagos fraudulentos. 

• Conflicto de intereses. Que implica la intervención, por motivo del encargo del servidor público, en la atención, tramitación o resolución de asuntos en los que tenga interés personal, familiar o de negocios. 

• Utilización de los recursos asignados y las facultades atribuidas para fines distintos a los legales. 

• Pretensión del servidor público de obtener beneficios adicionales a las contra prestaciones comprobables que el Estado le otorga por el desempeño de su función. 

• Participación indebida del servidor público en la selección, nombramiento, designación, contratación, promoción, suspensión, remoción, cese, rescisión del contrato o sanción de cualquier servidor público, cuando tenga interés personal, familiar o de negocios en el caso, o pueda derivar alguna ventaja o beneficio para él o para un tercero. 

• Aprovechamiento del cargo o comisión del servidor público para inducir a que otro servidor público o tercero efectúe, retrase u omita realizar algún acto de su competencia, que le reporte cualquier beneficio, provecho o ventaja indebida para sí o para un tercero. 

• Coalición con otros servidores públicos o terceros para obtener ventajas o ganancias ilícitas. 

• Intimidación del servidor público o extorsión para presionar a otro a realizar actividades ilegales o ilícitas. 

• Tráfico de influencias 

• Enriquecimiento ilícito 

• Peculado 

8.03 Además de la corrupción, la Presidencia debe considerar que pueden ocurrir otras transgresiones a la integridad, por ejemplo: el desperdicio o el abuso. El desperdicio es el acto de usar o gastar recursos de manera exagerada, extravagante o sin propósito. El abuso involucra un comportamiento deficiente o impropio, contrario al comportamiento que un servidor público prudente podría considerar como una práctica operativa razonable y necesaria, dados los hechos y circunstancias. Esto incluye el abuso de autoridad o el uso del cargo para la obtención de un beneficio ilícito para sí o para un tercero. 

Factores de Riesgo de Corrupción 

8.04 La Unidad de Control Interno debe considerar los factores de riesgo de corrupción, fraude, abuso, desperdicio y otras irregularidades. Estos factores no implican necesariamente la existencia de un acto corrupto o fraude, pero están usualmente presentes cuando éstos ocurren. Este tipo de factores incluyen: 

• Incentivos / Presiones. El personal tienen un incentivo o están bajo presión, lo cual provee un motivo para cometer actos de corrupción o fraudes. 

• Oportunidad. Existen circunstancias, como la ausencia de controles, controles inefectivos o la capacidad de determinados servidores públicos para eludir controles en razón de su posición en la institución, las cuales proveen una oportunidad para la comisión de actos corruptos o fraudes. 

• Actitud / Racionalización. El personal involucrado es capaz de justificar la comisión de actos corruptos, fraudes y otras irregularidades. Algunos servidores públicos poseen una actitud, carácter o valores éticos que les permiten efectuar intencionalmente un acto corrupto o deshonesto. 

8.05 La Unidad de Control Interno debe utilizar los factores de riesgo para identificar los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades. Si bien, el riesgo de corrupción puede ser mayor cuando los tres factores de riesgo están presentes, uno o más de estos factores podrían indicar un riesgo de corrupción. También se debe utilizar la información provista por partes internas y externas para identificar los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades. Lo anterior incluye quejas, denuncias o sospechas de este tipo de irregularidades, reportadas por los auditores internos, el personal de la institución o las partes externas que interactúan con la institución, entre otros. 

Respuesta a los Riesgos de Corrupción 

8.06 La Presidencia, con apoyo del Consejo de la Judicatura y la Unidad de Control Interno debe analizar y responder a los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades identificadas a fin de que sean efectivamente mitigados. Estos riesgos son analizados mediante el mismo proceso de análisis de riesgos efectuado para todos los demás riesgos identificados. Se debe analizar los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades identificados mediante la estimación de su relevancia, tanto individual como en su conjunto, para evaluar su efecto en el logro de los objetivos. Como parte del análisis de riesgos, también se debe evaluar el riesgo de que el Consejo de la Judicatura eluda los controles debe revisar que las evaluaciones y la administración del riesgo de corrupción, fraude, abuso, desperdicio y otras irregularidades efectuadas por la propia Unidad de Control Interno, son apropiadas, así como el riesgo de que el Consejo de la Judicatura eludan los controles. 

8.07 El Consejo de la Judicatura debe responder a los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades mediante el mismo proceso de respuesta desarrollado para todos los riesgos institucionales analizados. El Consejo de la Judicatura debe diseñar una respuesta general al riesgo y acciones específicas para atender este tipo irregularidades. Esto posibilita la implementación de controles anticorrupción en la institución. Dichos controles pueden incluir la reorganización de ciertas operaciones y la reasignación de puestos entre el personal para mejorar la segregación funciones. Además de responder a los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades, se debe desarrollar respuestas más avanzadas para identificar los riesgos relativos a que el Consejo de la Judicatura eludan los controles. Adicionalmente, cuando la corrupción, fraude, abuso, desperdicio u otras irregularidades han sido detectadas, es necesario revisar el proceso de administración de riesgos. 

A los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades no les es aplicable el concepto de tolerancia al riesgo, ya que la incidencia de un acto corrupto implica necesariamente una deficiencia en los objetivos de cumplimiento legal. Para los objetivos de cumplimiento, la tolerancia al riesgo es cero (véase el numeral 6.09 de este Marco). 

9.01 El Consejo de la Judicatura debe identificar, analizar y responder a los cambios significativos que puedan impactar el control interno. 

Puntos de Interés 

Los siguientes puntos de interés contribuyen al diseño, implementación y eficacia operativa de este principio: 

• Identificación del Cambio 

• Análisis y Respuesta al Cambio 

Identificación del Cambio 

9.02 Como parte de la administración de riesgos o un proceso similar, la Unidad de Control Interno debe identificar cambios que puedan impactar significativamente al control interno. La identificación, análisis y respuesta al cambio es parte del proceso regular de administración de riesgos. Sin embargo, el cambio debe ser discutido de manera separada, porque es crítico para un control interno apropiado y eficaz, y puede ser usualmente pasado por alto o tratado inadecuadamente en el curso normal de las operaciones. 

9.03 Las condiciones que afectan a la institución y su ambiente continuamente cambian. El Consejo de la Judicatura debe prevenir y planear acciones ante cambios significativos al usar un proceso prospectivo de identificación del cambio. Asimismo, debe identificar, de manera oportuna, los cambios significativos en las condiciones internas y externas que se han producido o que se espera que se produzcan. Los cambios en las condiciones internas incluyen modificaciones a los programas o actividades institucionales, la función de supervisión, la estructura organizacional, el personal y la tecnología. Los cambios en las condiciones externas incluyen cambios en los entornos gubernamentales, económicos, tecnológicos, legales, regulatorios y físicos. Los cambios significativos identificados deben ser comunicados al personal adecuado de la institución mediante las líneas de reporte y autoridad establecidas. 

Análisis y Respuesta al Cambio 

9.04 Como parte de la administración de riesgos, el Consejo de la Judicatura debe analizar y responder a los cambios identificados y a los riesgos asociados con éstos, con el propósito de mantener un control interno apropiado. Los cambios en las condiciones que afectan a la institución y su ambiente usualmente requieren cambios en el control interno, ya que pueden generar que los controles se vuelvan ineficaces o insuficientes para alcanzar los objetivos institucionales. Se debe analizar y responder oportunamente al efecto de los cambios identificados en el control interno, mediante su revisión oportuna para asegurar que es apropiado y eficaz. 

9.05 Además, las condiciones cambiantes usualmente generan nuevos riesgos o cambios a los riesgos existentes, los cuales deben ser evaluados. Como parte del análisis y respuesta al cambio, la Unidad de Control Interno debe desarrollar una evaluación de los riesgos para identificar, analizar y responder a cualquier riesgo causado por estos cambios. Adicionalmente, los riesgos existentes podrían requerir una evaluación más profunda, para determinar si las tolerancias y las respuestas al riesgo definidas previamente a los cambios necesitan ser replanteadas.