Ambiente de control
Es la base del control interno, proporciona la disciplina y estructura que impactan a la calidad de todo el control interno. Influye en la definición de los objetivos y la constitución de las actividades de control.
La persona titular de la Rectoría y la Administración deben establecer y mantener un ambiente de control en toda la institución, que implique una actitud de respaldo hacia el control interno.
Mostrar actitud de respaldo y compromiso
El Órgano de Gobierno, en su caso, el Titular y la Administración deben demostrar, mediante sus directrices, actitudes y comportamiento, la importancia de la integridad, los valores éticos y las normas de conducta. Asimismo, deben guiar a través del ejemplo sobre los valores, la filosofía y el estilo operativo de la institución, estableciendo una actitud de respaldo que sea fundamental para un control interno eficaz. Esta actitud puede impulsar o, en caso contrario, obstaculizar la identificación de riesgos, el diseño e implementación de controles, la calidad de la información y los resultados de supervisión.
| Actitud de respaldo del titular y la administración | Enlace |
|---|---|
| Ley Orgánica |  |
| Estatuto General | |
| Acuerdo rectoral 29 de enero 2024 |  |
| Normatividad Universitaria | |
La Administración debe establecer directrices claras sobre las expectativas en materia de integridad, valores éticos y normas de conducta. Todo el personal debe guiarse por estas normas para equilibrar las necesidades de los distintos grupos de interés, incluyendo reguladores, empleados y el público en general. Las normas de conducta deben orientar las directrices, actitudes y comportamientos del personal hacia el logro de los objetivos institucionales.
| Normas de conducta | Enlace |
|---|---|
| Código de ética de la UV |  |
La Administración debe evaluar el desempeño del personal frente a las normas de conducta y atender oportunamente cualquier desviación identificada. Los servidores públicos deben informar sobre asuntos relevantes a través de líneas de comunicación, tales como reuniones periódicas del personal, procesos de retroalimentación, un programa o línea ética de denuncia, entre otros. Se deben establecer niveles de tolerancia para las desviaciones, que pueden ir desde tolerancia cero hasta advertencias, y aplicar medidas correctivas de manera oportuna y consistente, incluyendo acciones conforme a leyes y reglamentos cuando corresponda.
| Apego a las normas de conducta | Enlace |
|---|---|
| Plan de cultura de paz y no violencia de la UV |  |
| Protocolo para atender la violencia de género UV |  |
La Administración debe implementar un programa institucional de promoción de la integridad y prevención de la corrupción, que considere como mínimo:
・Capacitación continua en integridad y ética para todo el personal.
・Difusión de códigos de ética y normas de conducta.
・Establecimiento y operación de una línea ética de denuncia anónima y confidencial.
・Gestión de riesgos de corrupción como parte del componente de administración de riesgos.
| Programa de Promoción de la Integridad y Prevención de la Corrupción | Enlace |
|---|---|
| Código de ética de la UV |  |
| Capacitación para consolidar una cultura de integridad |  |
La Administración debe garantizar la supervisión continua del programa de integridad, evaluar su suficiencia y eficacia, y corregir oportunamente cualquier deficiencia identificada a través de evaluaciones internas o externas.
| Apego, supervisión y actualización continua del Programa de Promoción de la Integridad y Prevención de la Corrupción | Enlace |
|---|---|
| Meta 1.1.6 Contar en 2024 con una Política de Integridad | |
Ejercer la responsabilidad de vigilancia
El Órgano de Gobierno, en su caso, o el Titular, es responsable de establecer una estructura de vigilancia adecuada conforme a la normativa aplicable y a la estructura y características de la Universidad. Los informes y hallazgos de las instancias especializadas de vigilancia constituyen la base para identificar y corregir deficiencias en el control interno.
・Responsabilidades del Órgano de Gobierno o del Titular
・Requisitos de un Órgano de Gobierno.
| Estructura de vigilancia | Enlace |
|---|---|
| Ley Orgánica |  |
| Estatuto General |  |
El Órgano de Gobierno o Titular debe vigilar, de manera general, el diseño, implementación y operación del control interno realizado por la Administración. Esto incluye:
・Ambiente de Control: Establecer y promover integridad, valores éticos y normas de conducta; establecer la estructura de vigilancia, desarrollar expectativas de competencia profesional; y mantener la rendición de cuentas.
・Administración de Riesgos: Supervisar la evaluación de riesgos que puedan afectar los objetivos, incluyendo corrupción, fraude o elusión de controles.
・Información y Comunicación: Analizar y discutir la información relativa al logro de los objetivos institucionales.
・Actividades de Control: Examinar la naturaleza y alcance de las actividades de supervisión de la Administración, así como las evaluaciones realizadas por ésta y las acciones correctivas implementadas para remediar las deficiencias identificadas.
| Vigilancia general del control interno | Enlace |
|---|---|
| Manual de organización institucional | |
| Organigrama general de la UV | |
| Reglamentos por materia | |
| Estructura COCODI |  |
| Acuerdo rectoral | |
| Reglas de operación del comité de control y desempeño institucional |  |
| Actas de sesiones |
2018Primera sesión Segunda sesión2019Primera sesión Segunda sesión2020Primera sesión Segunda sesión2021Primera sesión Segunda sesión2022Primera sesión Segunda sesión2023Primera sesión Segunda sesión2024Primera sesión Segunda sesión Tercera sesión2025Primera sesión. |
El Órgano de Gobierno o Titular debe proporcionar información, orientación y plazos a la Administración para asegurar la corrección de las deficiencias detectadas en el control interno. Cuando sea apropiado y autorizado, puede ordenar la creación de grupos de trabajo para hacer frente o vigilar asuntos específicos, críticos para el logro de los objetivos de la institución.
| Corrección de deficiencias | Enlace |
|---|---|
| Reglamentos por materia |  |
| Reglas de operación del Comité de Control y Desempeño Institucional |  |
| Actas de sesión |
2018Primera sesión Segunda sesión2019Primera sesión Segunda sesión2020Primera sesión Segunda sesión2021Primera sesión Segunda sesión2022Primera sesión Segunda sesión2023Primera sesión Segunda sesión2024Primera sesión Segunda sesión Tercera sesión2025Primera sesión. |
| Comisiones de la Universidad Veracruzana | |
Establecer la estructura, responsabilidad y autoridad
El Titular debe instruir a la Administración el establecimiento de la estructura organizacional necesaria para permitir la planeación, ejecución, control y evaluación de la institución en consecución de sus objetivos.
La Administración debe:
・Desarrollar responsabilidades generales a partir de los objetivos institucionales que le permitan lograr sus objetivos y responder a sus riesgos asociados.
・Desarrollar y actualizar la estructura organizacional considerando la interacción entre unidades y estableciendo líneas de reporte que faciliten la comunicación interna y externa.
・Evaluar periódicamente la estructura para asegurar su alineación con los objetivos y nuevas disposiciones legales o regulatorias.
| Estructura organizacional | Enlace |
|---|---|
| Manual de Organización Institucional |  |
| Organigramas institucionales | |
| Organigrama de dependencias | |
| Organigrama de la Contraloría General | |
La Administración debe asignar responsabilidades y delegar autoridad en puestos clave, asegurando la segregación de funciones para prevenir fraude, corrupción o abuso.
Los puestos clave pueden delegar control interno a subordinados, pero conservan la obligación de cumplir con sus responsabilidades generales y de supervisión.
La autoridad se delega únicamente en la medida necesaria para lograr los objetivos institucionales.
| Asignación de responsabilidad y delegación de autoridad | Enlace |
|---|---|
| Ley Orgánica | |
| Estatuto general | |
| Manual de Organización Institucional | |
| Manual de Procedimientos Administrativos | |
| Acuerdo rectoral | |
| Reglas de operación | |
| Programa de trabajo del control interno 2024-2025 |  |
La Administración debe desarrollar, actualizar y formalizar la documentación del control interno, estableciendo el “cómo, qué, cuándo, dónde y por qué” de los controles.
La documentación permite supervisar, evaluar y retener conocimiento institucional, así como comunicarlo a terceros, incluyendo auditores externos.
La extensión de la documentación depende de la complejidad de la institución, sus objetivos y el costo-beneficio de la formalización, asegurando niveles básicos necesarios para un control interno eficaz.
| Documentación y formalización del control interno | Enlace |
|---|---|
| Normatividad Universitaria | |
| Acuerdo rectoral 2018, 2024 | |
| Reglas de operación 2024 | |
| Directorio de la estructura del control interno | |
| Programa de trabajo del control interno 2024-2025 | |
| Actas de sesión COCODI |
2018Primera sesión Segunda sesión2019Primera sesión Segunda sesión2020Primera sesión Segunda sesión2021Primera sesión Segunda sesión2022Primera sesión Segunda sesión2023Primera sesión Segunda sesión2024Primera sesión Segunda sesión Tercera sesión2025Primera sesión. |
| Modelo de evaluación del control interno | |
| Manual para la identificación de riesgos | |
| Buenas prácticas | |
| Pagina web del control interno | |
Demostrar compromiso con la competencia profesional
La Administración debe establecer expectativas de competencia profesional sobre los puestos clave y los demás cargos institucionales para ayudar a la institución a lograr sus objetivos También debe contemplar los estándares de conducta, las responsabilidades y la autoridad delegada al definir dichas expectativas, garantizando que el personal mantenga el nivel de competencia necesario para comprender y aplicar eficazmente el control interno.
La administración debe evaluar periódicamente las competencias del personal, incluidos los titulares de unidades administrativas, con el fin de asegurar la idoneidad de los servidores públicos y promover la rendición de cuentas institucional.
| Expectativas de competencia profesional | Enlace |
|---|---|
| Estatuto de Personal Académico | |
| Página de DG desarrollo académico e innovación educativa | |
| Pagina de la dir Gral de Investigaciones | |
| Página de la Dir Gral de Difusión cultural | |
| Curso de Inducción a la Universidad Veracruzana |  |
| Lineamientos para la ocupación plazas vacantes |  |
| Programa de Actualización, Capacitación e Innovación | |
La Administración debe atraer, desarrollar y retener profesionales competentes para lograr los objetivos de la institución. Por lo tanto, debe:
・Seleccionar y contratar. Efectuar procedimientos para determinar si un candidato en particular se ajusta a las necesidades de la institución y tiene las competencias profesionales para el desempeño del puesto.
・Capacitar. Permitir a los servidores públicos desarrollar competencias profesionales apropiadas para los puestos clave, reforzar las normas de conducta, difundir el programa de promoción de la integridad y brindar una formación basada en las necesidades del puesto.
・Guiar. Proveer orientación en el desempeño del personal con base en las normas de conducta, el programa de promoción de la integridad y las expectativas de competencia profesional; alinear las habilidades y pericia individuales con los objetivos institucionales, y ayudar al personal a adaptarse a un ambiente cambiante.
・Retener. Proveer incentivos para motivar y reforzar los niveles esperados de desempeño y conducta deseada, incluida la capacitación y certificación correspondientes.
| Atracción, desarrollo y retención de profesionales | Enlace |
|---|---|
| Estatuto de Personal Académico | |
| Página de DG desarrollo académico e innovación educativa | |
| Pagina de la dir Gral de Investigaciones | |
| Página de la Dir Gral de Difusión cultural | |
| Lineamientos para la ocupación plazas vacantes | |
| Programa de Actualización, Capacitación e Innovación | |
| Proceso de reclutamiento y selección de personal por tiempo y obra determinado |  |
| Estatuto de Personal Académico |  |
| Contrato Colectivo de Trabajo FESAPAUV 2024-2026 |  |
| Contrato Colectivo de trabajo SETSUV 2024-2026 |  |
| Lineamientos específicos para el ejercicio del gasto 2024 |  |
La Administración debe definir cuadros de sucesión y planes de contingencia para los puestos clave, con objeto de garantizar la continuidad en el logro de los objetivos.
Los cuadros de sucesión deben identificar y atender la necesidad de la institución de reemplazar profesionales competentes en el largo plazo.
Los planes de contingencia deben identificar y atender la necesidad institucional de responder a los cambios repentinos en el personal que impactan a la institución y que pueden comprometer el control interno.
| Planes y preparativos para la sucesión y contingencias | Enlace |
|---|---|
| Lineamientos del personal de confianza | |
Demostrar compromiso con la competencia profesional
La Administración debe:
・Establecer una estructura que permita, de manera clara y sencilla, responsabilizar a todo el personal por el desempeño de su cargo y por sus obligaciones específicas en materia de control interno, lo cual forma parte de la obligación de rendición de cuentas institucional.
・Mantener mecanismos de evaluación del desempeño, medidas disciplinarias e incentivos que fortalezcan la rendición de cuentas y eviten consecuencias no deseadas.
・Responsabilizar a las organizaciones de servicios tercerizados por las funciones de control interno relacionadas con sus actividades, comunicando sus responsabilidades, normas de conducta y expectativas de competencia profesional.
・Tomar acciones correctivas, desde la retroalimentación hasta medidas disciplinarias formales, cuando se detecten deficiencias en la estructura de responsabilidad y rendición de cuentas.
| Establecimiento de una estructura para responsabilizar al personal por sus obligaciones de control interno | Enlace |
|---|---|
| Sitio del Consejo Universitario General | |
| Pagina UOM | |
| Manual de organización | |
| Organigramas | |
| Acuerdo rectoral | |
| Reglas de operación | |
| Estructura COCODI |  |
| Acuerdos del Consejo Universitario General |
|
La Administración es responsable de evaluar las presiones sobre el personal para ayudar a los empleados a cumplir con sus responsabilidades asignadas, en alineación con las normas de conducta, los principios éticos y el programa de promoción de la integridad.
Y debe ajustar las presiones excesivas mediante herramientas como la redistribución de recursos, la reasignación de cargas de trabajo o la corrección de causas estructurales, promoviendo un equilibrio entre las metas institucionales y el bienestar del personal.
| Consideración de las presiones por las responsabilidades asignadas al personal | Enlace |
|---|---|
| Levantamiento de Gestión Administrativa |  |
Administración de riesgos
Es la base del control interno, proporciona la disciplina y estructura que impactan a la calidad de todo el control interno. Influye en la definición de los objetivos y la constitución de las actividades de control.
La persona titular de la Rectoría y la Administración deben establecer y mantener un ambiente de control en toda la institución, que implique una actitud de respaldo hacia el control interno.
Definir objetivos y tolerancias al riesgo
La Administración debe definir objetivos en términos específicos y medibles para permitir el diseño del control interno y sus riesgos asociados.
Definirlos con claridad permite que sean comprendidos en todos los niveles de la institución, precisando qué debe alcanzarse, quién lo logrará, cómo se realizará y en qué plazo. Los objetivos deben alinearse con el mandato, la misión, la visión, el plan estratégico, los programas institucionales y las metas de desempeño.
Debe definir objetivos en términos medibles de manera que se pueda evaluar su desempeño. De igual manera, debe determinar si los instrumentos e indicadores de desempeño para los objetivos establecidos son apropiados para evaluar el desempeño de la institución. Para los objetivos cuantitativos, las normas e indicadores de desempeño pueden ser un porcentaje específico o un valor numérico.
Para los objetivos cualitativos, la Administración podría necesitar diseñar medidas de desempeño que indiquen el nivel o grado de cumplimiento, como hitos.
| Definición de objetivos | Enlace |
|---|---|
| Reglamento de Planeación institucional (Art. 4°) |  |
| Plan General de Desarrollo 2030 |  |
| Programa de Trabajo |  |
| PLADER, PLADEA y PLADE |  |
| PbR (Programas basados en resultados) |  |
| Planes específicos |
Plan de cultura de paz y no violenciaPlan estratégico para el fortalecimiento de la investigación y el posgrado 2022-2031Plan para la ampliación de la matrícula de la UVPlan de apoyos a población estudiantil en condiciones de vulnerabilidadPlan de Acción Climática de la UV – 2030Plan Universitario de Salud Integral Saludablemente UV 2025-2029 |
| Programa de trabajo del COCODI | |
La Administración debe definir la tolerancia al riesgo para los objetivos definidos en términos específicos y medibles, de modo que sean claramente establecidas y puedan ser medidas.
La Administración también debe evaluar si la tolerancias al riesgo permiten el diseño apropiado de control interno al considerar si son consistentes con los requerimientos y las expectativas de los objetivos definidos.
| Tolerancia al riesgo | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos |  |
| Plantilla para la elaboración de matrices de riesgo |  |
Identificar, analizar y responder a los riesgos
La Administración debe identificar riesgos en toda la institución para proporcionar una base para analizarlos.
Este proceso implica considerar todas las interacciones significativas dentro de la institución y con las partes externas, cambios en su ambiente interno y externo, y otros factores, para identificar riesgos en toda la institución. Los factores de riesgo externo pueden incluir leyes, regulaciones o normas profesionales nuevas o reformadas, inestabilidad económinca o desastres naturales potenciales.
| Identificación de riesgos | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos (Matriz de riesgos en construcción en colaboración con la Dirección de Planeación Institucional) | |
| Recepción y registro de subsidios en sistema |  |
| Guía para el registro de información sustantiva de anteproyectos de PbR |  |
| Reglamento para la Seguridad de la Información |  |
La Administración debe analizar los riesgos identificados para estimar su relevancia, lo cual provee la base para responder a éstos. La relevancia se refiere al efecto sobre el logro de los objetivos.
Debe estimar su relevancia, considerando la magnitud del impacto, la probabilidad de ocurrencia y la naturaleza del riesgo. Así como estimar la importancia de un riesgo al considerar la magnitud del impacto, la probabilidad de ocurrencia.
El Órgano de Gobierno, en su caso, o el Titular el podrá revisar las estimaciones sobre la relevancia realizadas por la Administración, a fin de asegurar que las tolerancias al riesgo fueron definidas adecuadamente.
| Análisis de riesgos | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos (Matriz de riesgos en construcción en colaboración con la Dirección de Planeación Institucional) |  |
| Recepción y registro de subsidios en sistema | |
| Guía para el registro de información sustantiva de anteproyectos de PbR | |
| Reglamento para la Seguridad de la Información | |
La Administración debe diseñar respuestas a los riesgos analizados de tal modo que éstos se encuentren dentro de la tolerancia definida para los objetivos. La Administración debe diseñar todas las respuestas al riesgo con base en la relevancia del riesgo y la tolerancia establecida. Estas respuestas al riesgo pueden incluir:
• Aceptar. Ninguna acción es tomada para responder al riesgo con base en su importancia.
• Evitar. Se toman acciones para detener el proceso operativo o la parte que origina el riesgo.
• Mitigar. Se toman acciones para reducir la probabilidad / posibilidad de ocurrencia o la magnitud del riesgo.
• Compartir. Se toman acciones para compartir riesgos institucionales con partes externas, como la contratación de pólizas de seguros.
| Respuesta a los riesgos | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos (Matriz de riesgos en construcción en colaboración con la Dirección de Planeación Institucional) | |
| Recepción y registro de subsidios en sistema | |
| Guía para el registro de información sustantiva de anteproyectos de PbR | |
| Reglamento para la Seguridad de la Información |
Considerar el riesgo de corrupción
La Administración debe considerar los tipos de corrupción que pueden ocurrir en la institución, para proporcionar una base para la identificación de estos riesgos.
Se debe reconocer la presencia de otras transgresiones a la integridad, como el desperdicio (uso irracional de recursos) y el abuso (conducta impropia o excesiva en el ejercicio de funciones).
| Tipos de corrupción | Enlace |
|---|---|
| Factores de riesgo de corrupción |  |
La Administración debe considerar los factores de riesgo de corrupción, fraude, abuso, desperdicio y otras irregularidades. Estos factores no implican necesariamente la existencia de un acto corrupto o fraude, pero están usualmente presentes cuando éstos ocurren.
・Incentivos o presiones: cuando existen motivos personales o institucionales que incentivan actos de corrupción o fraudes.
・Oportunidades: derivadas de ausencia de controles, controles inefectivos o la capacidad de determinados servidores públicos para eludir controles en razón de su posición en la institución, las cuales proveen una oportunidad para la comisión de actos corruptos o fraudes.
・Actitudes o racionalización: justificaciones éticas o culturales que permiten normalizar el comportamiento deshonesto.
La Administración debe utilizar los factores de riesgo para identificar los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades. También se debe utilizar la información provista por partes internas y externas para identificar los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades. Lo anterior incluye quejas, denuncias o sospechas de este tipo de irregularidades, reportadas por los auditores internos, el personal de la institución o las partes externas que interactúan con la institución, entre otros.
| Factores de riesgo de corrupción | Enlace |
|---|---|
| Reglamento de Responsabilidades Administrativas |  |
La Administración debe analizar y responder a los riesgos de corrupción, fraude, abuso, desperdicio y otras irregularidades identificadas a fin de que sean efectivamente mitigados.
El Órgano de Gobierno, en su caso, o el Titular debe revisar que las evaluaciones y la administración del riesgo de corrupción, fraude, abuso, desperdicio y otras irregularidades efectuadas por la propia Administración, son apropiadas, así como el riesgo de que el Titular o la Administración eludan los controles.
La Administración debe diseñar una respuesta general al riesgo y acciones específicas para atender este tipo de irregularidades.
Esto posibilita la implementación de controles anticorrupción en la institución. Dichos controles pueden incluir la reorganización de ciertas operaciones y la reasignación de puestos entre el personal para mejorar la segregación de funciones.
| Respuesta a los riesgos de corrupción | Enlace |
|---|---|
| Reglamento de Responsabilidades Administrativas | |
| Denuncias administrativas |  |
Identificar, analizar y responder al cambio
Las condiciones que afectan a la institución y su ambiente continuamente cambian. La Administración debe prevenir y planear acciones ante cambios significativos al usar un proceso prospectivo de identificación del cambio.
Estos cambios pueden ser:
Internos: modificaciones en programas institucionales, estructura organizacional, funciones de supervisión, personal o tecnología.
Externos: transformaciones en el entorno político, gubernamental, económico, tecnológico, legal, normativo o físico.
Los cambios identificados deben ser comunicados oportunamente al personal competente a través de los canales jerárquicos y de autoridad establecidos.
| Identificación del cambio | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos |  |
| Programa de Buenas Prácticas universitarias |  |
La Administración debe analizar y responder oportunamente al efecto de los cambios Actividades de Control identificados en el control interno, mediante su revisión oportuna para asegurar que es apropiado y eficaz.
Como parte del análisis y respuesta al cambio, la Administración debe desarrollar una evaluación de los riesgos para identificar, analizar y responder a cualquier riesgo causado por estos cambios.
| Análisis y respuesta al cambio | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos | |
| Programa de Buenas Prácticas universitarias | |
| Documento | Enlace |
|---|---|
| Establecimiento de una estructura para responsabilizar al personal por sus obligaciones de control interno | .png) |
| Acuerdos de la Sesión Ordinaria | |
Actividades de control
La Administración, para alcanzar los objetivos institucionales y responder a los riesgos en el control interno, debe aplicar actividades de control mediante políticas y procedimientos, esto incluye los sistemas de información institucional.
Diseñar actividades de control
La Administración debe diseñar actividades de control en respuesta a los riesgos asociados con los objetivos institucionales, a fin de alcanzar un control interno eficaz y apropiado.
Estas actividades son las políticas, procedimientos, técnicas y mecanismos que hacen obligatorias las directrices de la Administración para alcanzar los objetivos e identificar los riesgos asociados.
También debe identificar los riesgos asociados a la institución y a sus objetivos, incluidos los servicios tercerizados, la tolerancia al riesgo y la respuesta a éste. La Administración debe diseñar las actividades de control para cumplir con las responsabilidades definidas y responder apropiadamente a los riesgos.
| Respuesta a los objetivos y riesgos | Enlace |
|---|---|
| Sistema de Gestión de la calidad documentado |  |
"La Administración debe diseñar las actividades de control apropiadas para el control interno, las cuales ayudan al Titular y a la Administración a cumplir con sus responsabilidades y a enfrentar apropiadamente a los riesgos identificados en el control interno.
Estas actividades comprenden:
• Revisiones por la Administración del desempeño actual.
• Revisiones por la Administración a nivel función o actividad.
• Administración del capital humano.
• Controles sobre el procesamiento de la información.
• Controles físicos sobre los activos y bienes vulnerables.
• Establecimiento y revisión de normas e indicadores de desempeño.
• Segregación de funciones.
• Ejecución apropiada de transacciones.
• Registro de transacciones con exactitud y oportunidad.
• Restricciones de acceso a recursos y registros, así como rendición de cuentas sobre éstos.
• Documentación y formalización apropiada de las transacciones y el control interno.
| Diseño de las actividades de control apropiadas | Enlace |
|---|---|
| Sistema de Gestión de la calidad documentado | |
| Plan de apoyos a población estudiantil en condiciones de vulnerabilidad |  |
| Plan para la ampliación de la matrícula |  |
| Plan estratégico para el fortalecimiento de la investigación y el posgrado 2022-2031 |  |
| Programa de Actualización, Capacitación e Innovación | |
La Administración debe diseñar actividades de control en los niveles adecuados de la estructura organizacional para asegurar la cobertura integral de los objetivos y los riesgos en las operaciones.
Establecer controles a nivel institución, que incidan de forma general sobre los componentes del control interno, y a nivel transacción, directamente vinculados con procesos operativos y financieros.
| Diseño de actividades de control en varios niveles | Enlace |
|---|---|
| Manual para la Identificación y Administración de Riesgos |  |
| Plan de acción climática de la UV-2030 |  |
| Reglamentos por materia |  |
La Administración debe considerar la segregación de funciones en el diseño de responsabilidades y actividades de control, de modo que las funciones incompatibles se asignen a diferentes servidores públicos.
Esto contribuye a prevenir actos de corrupción, fraude o abuso mediante la separación de las actividades relacionadas con la autorización, custodia y registro de operaciones.
Si la segregación de funciones no es práctica en un proceso operativo debido a personal limitado u otros factores, diseñar actividades de control alternativas, tales como revisiones cruzadas, doble autorización o supervisión jerárquica directa, para mitigar los riesgos derivados de la concentración de funciones.
| Segregación de funciones | Enlace |
|---|---|
| Comité de Adquisiciones, Arrendamientos y Servicios |  |
| Comité de Obras |  |
| Comités Pro-Mejoras de Entidades Académicas |  |
| Comité Estratégico de Tecnologías de la Información |  |
| Comité Técnico del Fideicomiso de los Fondos del Ahorro para el Retiro de los Trabajadores al Servicio de la Universidad Veracruzana (FAR) |  |
| Comité de Transparencia |  |
| Comité de Equidad de Género |  |
| Comité Editorial por Publicación Periódica |  |
| Página institucional de capacitación del personal de la UV |  |
Diseñar actividades para los sistemas de información
"La Administración debe desarrollar los sistemas de información (manuales y automatizados) de acuerdo con los objetivos institucionales y los riesgos identificados, garantizando la integridad, exactitud y validez de los datos. Las TIC deben responder a las necesidades operativas, fortalecer la seguridad, restringir accesos y asegurar la disponibilidad oportuna y confiable de la información.
La Administración también debe evaluar los objetivos de procesamiento de información para satisfacer las necesidades de información definidas.
Los objetivos de procesamiento de información pueden incluir:
• Integridad. Se encuentran presentes todas las transacciones que deben estar en los registros.
• Exactitud. Las transacciones se registran por el importe correcto, en la cuenta correcta, y de manera oportuna en cada etapa del proceso.
• Validez. Las transacciones registradas representan eventos económicos que realmente ocurrieron y fueron ejecutados conforme a los procedimientos establecidos.
| Desarrollo de los sistemas de información | Enlace |
|---|---|
| Sistema de registro de quejas UGE |  |
La Administración debe diseñar actividades de control apropiadas en los sistemas de información para garantizar la cobertura de los objetivos de procesamiento de la información en los procesos operativos (generales y de aplicación).
Los controles generales incluyen políticas y procedimientos que se aplican a la totalidad o a un segmento de los sistemas de información. Fomentan el buen funcionamiento de los sistemas de información mediante la creación de un entorno apropiado para el correcto funcionamiento de los controles de aplicación (Deben incluir administración de la seguridad, acceso lógico y físico, administración de la configuración, segregación de funciones, planes de continuidad y planes de recuperación de desastres, entre otros.
Los controles de aplicación se incorporan directamente en las aplicaciones informáticas para contribuir a asegurar la validez, integridad, exactitud y confidencialidad de las transacciones y los datos durante el proceso de las aplicaciones (deben incluir entradas, el procesamiento, las salidas, los archivos maestros, las interfaces y los controles para los sistemas de administración de datos, entre otros).
| Diseño de los tipos de actividades de control apropiadas | Enlace |
|---|---|
| Reglamento para la Seguridad de la Información de la Universidad Veracruzana |  |
| Manuales técnicos para usuarios - DGTI |  |
La Administración debe diseñar las actividades de control sobre la infraestructura de las TIC (redes de comunicación para vincularlas, los recursos informáticos para las aplicaciones y la electricidad) para soportar la integridad, exactitud y validez del procesamiento de la información mediante el uso de TIC.
Debe evaluar y actualizar dichos controles conforme se incorporen cambios tecnológicos, garantizando respaldo, recuperación y continuidad operativa ante interrupciones.
| Diseño de la infraestructura de las TIC | Enlace |
|---|---|
| Sistema de registro de quejas UGE | |
"La Administración debe diseñar actividades de control para la gestión de la seguridad sobre los sistemas de información con el fin de garantizar el acceso adecuado, de fuentes internas y externas a éstos.
Los objetivos para la gestión de la seguridad deben incluir la confidencialidad, la integridad y la disponibilidad.
La gestión de la seguridad debe incluir los procesos de información y las actividades de control relacionadas con los permisos de acceso a las TIC, incluyendo quién tiene la capacidad de ejecutar transacciones.
La Administración debe diseñar actividades de control para limitar el acceso de los usuarios a las TIC a través de controles como la asignación de claves de acceso y dispositivos de seguridad para autorización de usuarios. Estas actividades de control deben restringir a los usuarios autorizados el uso de las aplicaciones o funciones acordes con sus responsabilidades asignadas; asimismo, la Administración debe promover la adecuada segregación de funciones.
De igual forma, debe diseñar otras actividades de control para actualizar los derechos de acceso, cuando los empleados cambian de funciones o dejan de formar parte de la institución. También debe diseñar controles de derechos de acceso cuando los diferentes elementos de las TIC están conectados entre sí.
| Diseño de la administración de la seguridad | Enlace |
|---|---|
| Procedimiento de Gestión de Incidentes |  |
| Procedimiento de acceso al Sistema integral de Información Universitaria |  |
| Procedimiento de Gestión de Cuentas Institucionales |  |
| Procedimiento dictamen técnico de equipo de cómputo y periféricos |  |
| Procedimiento de Borrado de Información |  |
| Procedimiento de Mantenimiento de equipo de cómputo |  |
| Procedimiento para la Instalación de Cliente Antimalware |  |
| Gestión de Proyectos de TI |  |
| Gestión de claves telefonicas |  |
| Gestión de extensiones telefónicas |  |
| Procedimiento para el control de acceso a áreas restringidas |  |
| Procedimiento para la solicitud de permisos al Subsistema de Planeación, Recursos Financieros y Materiales (SPRFM) |  |
| Procedimiento para la solicitud de permisos al Subsistma de Recursos Humanos |  |
| Procedimiento para Apertura y cierre de puertos de red y páginas web |  |
| Procedimiento para Identificación y atención de vulnerabilidades de tecnologías de información |  |
| Procedimiento para Gestión técnica de salas de videoconferencia |  |
La Administración debe establecer controles sobre la adquisición, desarrollo, mantenimiento y cambios tecnológicos, mediante metodologías como el Ciclo de Vida del Desarrollo de Sistemas (CVDS).
A través del CVDS, debe diseñar las actividades de control sobre los cambios en la tecnología. Esto puede implicar el requerimiento de autorización para realizar solicitudes de cambio, la revisión de los cambios, las aprobaciones correspondientes y los resultados de las pruebas, así como el diseño de protocolos para determinar si los cambios se han realizado correctamente.
La Administración puede adquirir software de TIC, por lo que debe incorporar metodologías para esta acción y debe diseñar actividades de control sobre su selección, desarrollo continuo y mantenimiento.
Las actividades de control sobre el desarrollo, mantenimiento y cambio en el software de aplicaciones previenen la existencia de programas o modificaciones no autorizados.
| Diseño de la adquisición, desarrollo y mantenimiento de las TIC | Enlace |
|---|---|
| Plan para el monitoreo y seguridad de la infraestructura tecnológica |  |
Implementar actividades de control
La Administración debe documentar, a través de políticas, manuales, lineamientos y otros documentos de naturaleza similar las responsabilidades de control interno en la institución. También debe comunicar al personal las políticas y procedimientos para que éste pueda implementar las actividades de control respecto de las responsabilidades que tiene asignadas.
| Documentación y formalización de responsabilidades a través de políticas | Enlace |
|---|---|
| Reglamento para el Control de Bienes Muebles e Inmuebles |  |
| Reglamento para las Adquisiciones, Arrendamientos y Servicios de la Universidad Veracruzana |  |
| Lineamiento Operativo para la actualización de expedientes de personal enero 2023 |  |
| Lineamiento Operativo para la integración de expedientee electrónico para personal de nuevo ingreso enero 2023 |  |
La Administración debe revisar de forma periódica las políticas, procedimientos y actividades de control, especialmente ante cambios significativos en los procesos de la institución.
| Revisiones periódicas a las actividades de control | Enlace |
|---|---|
| Reporte de solicitudes atendidas a los subsistemas informáticos que permiten la gestión administrativa |  |
| Reporte de mejora del enlace de telecomunicaciones |  |
| Sistema de registro de quejas UGE | |
| Documento | Enlace |
|---|---|
| Expectativas de competencia profesional | |
| Atracción, desarrollo y retención de profesionales | |
| Planes y preparativos para la sucesión y contingencias | |
| Programa integral de capacitación anual al personal academico implementado | |
| Lineamientos para la ocupación de plazas vacantes | |
Información y comunicación
La Administración debe utilizar información de calidad para respaldar el control interno. La información y comunicación eficaces son vitales para la consecución de los objetivos institucionales.
La Administración requiere tener acceso a comunicaciones relevantes y confiables en relación con los eventos internos y externos.
Usar Información de calidad
La Administración debe establecer un proceso continuo para identificar los requerimientos de información necesarios para alcanzar los objetivos institucionales y enfrentar los riesgos asociados. Dichos requerimientos deben actualizarse conforme cambien los objetivos o el entorno institucional, y considerar las necesidades de los usuarios internos y externos.
| Identificación de los requerimientos de información | Enlace |
|---|---|
| Reglamento para la Comunicación Universitaria |  |
La Administración debe obtener datos relevantes y oportunos de fuentes internas y externas confiables, libres de errores y sesgos, que respondan a los requerimientos previamente definidos. Debe evaluar los datos provenientes de fuentes internas y externas, para asegurarse de que son confiables.
| Datos relevantes de fuentes confiables | Enlace |
|---|---|
| Reglamento para la Comunicación Universitaria | |
La Administración debe transformar los datos obtenidos en información de calidad, revisando que sea apropiada, veraz, completa, exacta, accesible y proporcionada de manera oportuna. Esta información debe apoyar la toma de decisiones y la evaluación del desempeño institucional.
Debe procesar datos relevantes a partir de fuentes confiables y transformarlos en información de calidad dentro de los sistemas de información de la institución. Un sistema de información se encuentra conformado por el personal, los procesos, los datos y la tecnología utilizada, organizados para obtener, comunicar o disponer de la información.
| Datos procesados en información de calidad | Enlace |
|---|---|
| Reglamento para la Comunicación Universitaria | |
Comunicar internamente
La Administración debe comunicar información de calidad en todos los niveles institucionales, a través de líneas de reporte y autoridad establecidas (ascendentes, descendentes y laterales).
El Órgano de Gobierno, en su caso, o el Titular debe recibir información de calidad que fluya hacia arriba por las líneas de reporte, proveniente de la Administración y demás personal.
La información relacionada con el control interno que es comunicada al Órgano de Gobierno o al Titular, debe incluir asuntos importantes acerca de la adhesión, cambios o asuntos emergentes en materia de control interno.
La comunicación ascendente es necesaria para la vigilancia efectiva del control interno.
| Comunicación en toda la institución | Enlace |
|---|---|
| Contar con un portal web del COCODI actualizado |  |
| Portal web del COCODI actualizado |  |
| Reglamento para la Comunicación Universitaria |  |
| Recomendaciones para la accesibilidad a portales web institucionales |  |
| Reglamento para la Seguridad de la Información |  |
La Administración debe seleccionar y evaluar periódicamente los métodos más adecuados para la comunicación interna considerando los destinatarios, la naturaleza de la información, la disponibilidad, los costos, y los requisitos legales o reglamentarios, a fin de asegurar una comunicación institucional eficaz y oportuna.
| Datos procesados en información de calidad | Enlace |
|---|---|
| Contar con un portal web del COCODI actualizado | |
| Portal web del COCODI actualizado | |
| Reglamento para la Comunicación Universitaria | |
| Recomendaciones para la accesibilidad a portales web institucionales | |
| Reglamento para la Seguridad de la Información | |
Comunicar externamente
La Administración debe mantener comunicación bidireccional y oportuna con las partes externas (proveedores, contratistas, servicios tercerizados, reguladores, auditores externos, instituciones gubernamentales y el público en general) para intercambiar información de calidad que apoye el logro de los objetivos institucionales y la gestión de riesgos. Debe comunicar información de calidad externamente a través de las líneas de reporte.
Cuando las líneas de reporte directas se ven comprometidas, las partes externas utilizan líneas separadas para comunicarse con la institución. Las disposiciones jurídicas y normativas, así como las mejores prácticas internacionales pueden requerir a las instituciones establecer líneas separadas de comunicación, como líneas éticas de denuncia, para comunicar información confidencial o sensible.
La Administración debe informar a las partes externas sobre estas líneas separadas, la manera en que funcionan, cómo utilizarlas y cómo se mantendrá la confidencialidad de la información y, en su caso, el anonimato de quienes aporten información.
| Comunicación con partes externas | Enlace |
|---|---|
| Reglamento para la Comunicación Universitaria |  |
| Coordinación Universitaria de Transparencia |  |
La Administración debe seleccionar métodos apropiados para comunicarse externamente; considerando los destinatarios, la naturaleza de la información, disponibilidad, los costos necesarios para comunicar y los requisitos legales o reglamentarios aplicables.
También, es necesario evaluar periódicamente los métodos de comunicación de la institución para asegurar que cuenta con las herramientas adecuadas para comunicar externamente información de calidad de manera oportuna.
| Comunicación en toda la institución | Enlace |
|---|---|
| Métodos apropiados de comunicación | |
| Coordinación Universitaria de Transparencia | |
Supervisión
La supervisión del control interno es esencial para contribuir a asegurar razonablemente que el control interno se mantiene alineado con los objetivos institucionales, el entorno operativo, las disposiciones jurídicas aplicables, los recursos asignados y los riesgos asociados al cumplimiento de los objetivos, todos ellos en constante cambio.
La supervisión del control interno permite evaluar la calidad del desempeño en el tiempo y asegura que los resultados de las auditorías y de otras revisiones se atiendan con prontitud.
Las acciones correctivas son un complemento necesario para las actividades de control, con el fin de alcanzar los objetivos institucionales.
Realizar actividades de supervisión
La Administración debe establecer bases de referencia para supervisar el control interno, comparando el estado actual del control interno contra el diseño efectuado por la Administración. Estas bases permiten identificar debilidades y deficiencias, y sirven como criterio para evaluar y mejorar tanto el diseño como la eficacia operativa del control interno.
La Administración debe supervisar el control interno a través de autoevaluaciones y evaluaciones independientes.
Las autoevaluaciones están integradas a las operaciones diarias y responden a los cambios.
Las evaluaciones independientes se utilizan periódicamente y proporcionan información respecto de la eficacia e idoneidad de las autoevaluaciones. Proporcionan una mayor objetividad cuando son realizadas por revisores que no tienen responsabilidad en las actividades que se están evaluando (son realizadas por auditores gubernamentales internos, auditores externos, entidades fiscalizadoras y otros revisores externos).
La Administración debe evaluar y documentar los resultados de las autoevaluaciones y de las evaluaciones independientes para identificar problemas en el control interno. Asimismo, debe utilizar estas evaluaciones para determinar si el control interno es eficaz y apropiado. También, debe considerar si los controles actuales hacen frente de manera apropiada a los problemas identificados y, en su caso, modificar los controles.
Comunicar externamente
Todo el personal debe reportar oportunamente los problemas de control interno detectados, utilizando las líneas de reporte establecidas. El personal puede identificar problemas de control interno en el desempeño de sus responsabilidades. Asimismo, debe comunicar estas cuestiones internamente al personal en la función clave responsable del control interno o proceso asociado y, cuando sea necesario, a otro de un nivel superior a dicho responsable.
La Administración debe evaluar y documentar los problemas de control interno y debe determinar las acciones correctivas apropiadas para hacer frente oportunamente a los problemas y deficiencias detectadas. También debe evaluar los problemas que han sido identificados mediante sus actividades de supervisión o a través de la información proporcionada por el personal, y debe determinar si alguno de estos problemas reportados se ha convertido en una deficiencia de control interno.
La Administración debe poner en práctica y documentar en forma oportuna las acciones para corregir las deficiencias de control interno. Dependiendo de la naturaleza de la deficiencia, el Órgano de Gobierno, en su caso, el Titular o la Administración deben revisar la pronta corrección de las deficiencias, comunicar las medidas correctivas al nivel apropiado de la estructura organizacional, y delegar al personal apropiado la autoridad y responsabilidad para realizar las acciones correctivas.
| Documento | Enlace |
|---|---|
| Estructura organizacional | |
| Asignación de responsabilidad y delegación de autoridad | |
| Programa de trabajo 2024-2025 | |
| Documento | Enlace |
|---|---|
| Expectativas de competencia profesional | |
| Atracción, desarrollo y retención de profesionales | |
| Planes y preparativos para la sucesión y contingencias | |
| Programa integral de capacitación anual al personal academico implementado | |
| Lineamientos para la ocupación de plazas vacantes | |
| Documento | Enlace |
|---|---|
| Establecimiento de una estructura para responsabilizar al personal por sus obligaciones de control interno | |
| Acuerdos de la Sesión Ordinaria | |