10

Diseñar actividades de control

La Administración debe diseñar, actualizar y garantizar la suficiencia e idoneidad de las actividades de control establecidas para lograr los objetivos institucionales y responder a los riesgos. En este sentido, es responsable de que existan controles apropiados para hacer frente a los riesgos que se presenten en cada uno de los procesos que realizan, incluyendo los riesgos de corrupción.

27. Respuesta a los objetivos y riesgos.

28. Diseño de las actividades de control apropiadas.

29. Diseño de actividades de control en varios niveles.

30. Segregación de funciones.

11

Diseñar actividades para los sistemas de información

La Administración debe diseñar los sistemas de información institucional y las actividades de control asociadas, a fin de alcanzar los objetivos y responder a los riesgos.

31. Desarrollo de los sistemas de información.

32. Diseño de los tipos de actividades de control apropiadas.

33. Diseño de la infraestructura de las TIC.

34. Diseño de la administración de la seguridad.

35. Diseño de la adquisición, desarrollo y mantenimiento de las TIC.

12

Implementar actividades de control

La Administración debe implementar las actividades de control a través de políticas, procedimientos y otros medios de similar naturaleza, las cuales deben estar documentadas y formalmente establecidas. Asimismo, deben ser apropiadas, suficientes e idóneas para enfrentar los riesgos a los que están expuestos sus procesos.

35. Desarrollo de los sistemas de información.

36. Documentación y formalización de responsabilidades a través de políticas.

37. Revisiones periódicas a las actividades de control.