MANUAL DE AUDITORIAS INTERNAS - dapre.presidencia.gov.co · MANUAL DE AUDITORÍAS INTERNAS 4 Proceso asociado y Mejoramiento Evaluación, Control Código M -EM 01 Versión 8 INTRODUCCIÓN

BOGOTÁ D.C. ABRIL 2019

MANUAL DE AUDITORIAS INTERNAS

MANUAL DE AUDITORÍAS INTERNAS

2

Proceso asociado

Evaluación, Control y Mejoramiento

Código M-EM-01

Versión 8

TABLA DE CONTENIDO

1. OBJETIVO --------------------------------------------------------- 5 2. ALCANCE ---------------------------------------------------------- 5 3. TERMINOS Y DEFINICIONES ----------------------------------------- 5 4. LINEAMIENTOS PARA LA PLANEACIÓN DE LAS AUDITORIAS ----------- 8 4.1 Formulación del Programa Anual de Auditorías Internas -------------- 8 4.2 Creación del Programa Anual de Auditoría Interna en el Módulo Revisiones – Auditoria --------------------------------------------------- 8 4.3 Creación del Plan de Auditoría Interna en el Módulo Revisiones – Auditoria -------------------------------------------------------------- 10

4.4 Identificación y evaluación de los riesgos relacionados con el Programa de Auditoría ------------------------------------------------ 14

5. LINEAMIENTOS PARA LA COORDINACIÓN DE LAS AUDITORIAS ------- 14 5.1 Selección de los Auditores Internos ------------------------------ 14

5.1.1 Responsabilidades -------------------------------------------- 17

5.1.1.1 Cuidado Profesional ----------------------------------------- 18

5.1.2 Asignación y Programación de Auditores Internos --------------- 18

5.2 Definición y socialización de alcance y directrices ----------------- 19

5.3 Elaboración y Aprobación del Plan General de Auditoría ----------- 19

5.4 Comunicación del Plan General de Auditoría ---------------------- 21

6. LINEAMIENTOS PARA LA EJECUCIÓN DE LAS AUDITORIAS ----------- 22 6.1 Recopilación, revisión y análisis de la documentación ------------- 22

6.2 Técnicas para obtener evidencias -------------------------------- 25

6.2.1 Determinación de la muestra de Auditoría ---------------------- 26

6.3 Reunión de Apertura -------------------------------------------- 30

6.4 Desarrollo de la Auditoría ---------------------------------------- 30

6.4.1 Registro de resultados parciales-------------------------------- 32

6.4.2 Características, clasificación y redacción de Hallazgos ----------- 33

6.5 Reunión de Cierre ----------------------------------------------- 37

7. LINEAMIENTOS PARA LA ELABORACIÓN Y PRESENTACIÓN DEL INFORME DE AUDITORIA --------------------------------------------------------- 37


3

Proceso asociado


Código M-EM-01

Versión 8

7.1 Elaboración del Informe de Auditoría ----------------------------- 37

7.1.1 Aprobación del Informe de Auditoría --------------------------- 38

7.1.1.1 Revisión del Informe de Auditoria por el auditado ------------- 38

7.1.1.2 Revisión de Descargos --------------------------------------- 39

7.1.1.3 Informe Final ------------------------------------------------ 40

7.2 Informe de Conclusiones Generales de las Auditorías Internas al SIGEPRE ------------------------------------------------------------- 40

8. SOLICITUD Y FORMULACIÓN DE MEJORAS -------------------------- 40 9. REGISTRO EN EL APLICATIVO SIGEPRE MODULO REVISIONES – AUDITORÍA ------------------------------------------------------------- 41 9.1 Auditoría Interna al SIGEPRE ----------------------------------------- 41 9.2 Auditoría Interna de Gestión ----------------------------------------- 46 10. EVALUACIÓN DE AUDITORES INTERNOS ---------------------------- 49 11. AUDITORIAS INTERNAS A LA OFICINA DE CONTROL INTERNO -------- 49 12. AUDITORIAS SECTORIALES ---------------------------------------- 50 13. SEGUIMIENTO Y VERIFICACIÓN DE LA OFICINA DE CONTROL INTERNO 50

14. MARCO LEGAL -------------------------------------------------- 51

15. REQUISITOS TÉCNICOS ------------------------------------------ 51

16. DOCUMENTOS ASOCIADOS -------------------------------------- 51

17. RESPONSABLE DEL DOCUMENTO -------------------------------- 51


4

Proceso asociado


Código M-EM-01

Versión 8

INTRODUCCIÓN La actividad de auditoría interna del Departamento Administrativo de la Presidencia de la República, es una actividad independiente y objetiva de evaluación y asesoría, concebida para agregar valor, mejorar la gestión de la Entidad y contribuir en la consecución de los objetivos institucionales. El ejercicio de auditoría se desarrolla en forma sistemática y disciplinada, basado en el ciclo P-H-V-A, y evalúa la eficacia de los procesos que conforman el Sistema Integrado de Gestión de la Presidencia de la República - SIGEPRE. La Auditoría Interna en la Presidencia de la República se realiza en concordancia con las Normas Generalmente Aceptadas así como con lo establecido en los sistemas de gestión adoptados por la Entidad mediante el SIGEPRE, los cuales cuentan con elementos comunes y complementarios que orientan el buen desarrollo de la gestión pública, como: 1. El Sistema de Gestión1, el cual se enfoca a dirigir, planear, ejecutar y controlar el desempeño institucional con el fin de generar resultados que atiendan el plan de desarrollo y resuelvan las necesidades de los clientes, con integridad y calidad en el servicio, según dispone el Decreto 1499 de 2017; 2. El Sistema de Control Interno, se orienta a la configuración de estructuras de control de la planeación, de la gestión, de la evaluación y seguimiento para lograr los objetivos institucionales; 3. el Sistema de Gestión de la Seguridad de la Información establece las políticas que regulan y controlan la seguridad de la información de la Entidad, fundamentados en la NTC ISO-27001:2013 así como el modelo de seguridad y privacidad de la Información; 4. El Sistema de Seguridad y Salud en el Trabajo, que contribuye a la protección, mantenimiento y mejora de la seguridad y salud en el trabajo de los funcionarios, visitantes y demás personas que intervienen en la ejecución de los procesos de la Entidad y 5. El Sistema Nacional de Servicio al Ciudadano que es el conjunto de políticas, orientaciones, normas, actividades, recursos, programas, organismos, herramientas y entidades públicas y privadas que cumplen funciones públicas, encaminados a la generación de estrategias tendientes a incrementar la confianza en el Estado y a mejorar la relación cotidiana entre el ciudadano y la Administración Pública. El propósito entonces de este presente manual es presentar las acciones de mejora que reflejan una mayor integración entre los sistemas de gestión, las

1 Que integra el Sistema de Desarrollo Administrativo y el Sistema de Gestión de Calidad, de acuerdo con el Decreto 1499 del 11 de septiembre de 2017, actualización de MIPG.


5

Proceso asociado


Código M-EM-01

Versión 8

Normas de Auditoría Generalmente Aceptadas y los Lineamientos Estatuto de Auditoría Interna L-EM-01 para la planeación, ejecución y cierre de las Auditorías Internas en la Presidencia de la República.

1. OBJETIVO Establecer los lineamientos para garantizar la planeación, coordinación, ejecución y cierre de las auditorías internas al Sistema Integrado de Gestión de la Presidencia de la República, con el propósito de determinar la conformidad frente a las disposiciones planificadas, los requisitos aplicables así como la eficacia, eficiencia y efectividad en el mejoramiento del SIGEPRE.

2. ALCANCE A partir de la aprobación del programa anual de auditorías internas hasta la evaluación del desempeño de los auditores internos. Aplica a todos los procesos de la Entidad.

3. TERMINOS Y DEFINICIONES Auditoría: proceso sistemático independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. Auditoría interna: se realizan por la propia Entidad para la revisión por la Dirección y para otros propósitos internos. Son denominadas de primera parte. Auditoría combinada: Auditoría llevada a cabo conjuntamente a un único auditado en dos o más sistemas de gestión. Auditor: persona con la competencia para llevar a cabo una auditoria. Auditado: Entidad, proceso, dependencia o actividad que es auditada. Alcance de la auditoría: extensión y límites de una auditoría, que incluye generalmente una descripción de las ubicaciones, las dependencias de la entidad, procesos y actividades, así como el período de tiempo cubierto. Cliente de la auditoría: Entidad o persona que solicita una auditoría.


6

Proceso asociado


Código M-EM-01

Versión 8

Criterios de auditoría: conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia objetiva. Si los criterios de auditoría son requisitos legales, incluyendo los reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento. Conclusiones de la auditoría: resultado de una auditoría tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría. Conformidad: cumplimiento de un requisito Evidencia de la auditoría: registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable.

Enlace: Persona designada por el auditado para asistir al equipo auditor. Entrevista: técnica de auditoría que busca a través de la conversación, obtener información. Equipo auditor: una o más personas que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos. A un auditor del equipo se le designa como líder del mismo. El equipo auditor puede incluir auditores en formación. Experto técnico: persona que aporta conocimientos o experiencia específicos al equipo auditor. El conocimiento o experiencia específicos son los relacionados con la organización, el proceso o la actividad a auditar. Hallazgos de la auditoría: resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de la auditoría. Los hallazgos de la auditoria indican: conformidad o no conformidad. Los hallazgos de la auditoría pueden conducir a la identificación de oportunidades para la mejora o el registro de buenas prácticas. Muestreo de auditoría: es la aplicación de un procedimiento de auditoría a menos del 100% de los elementos de una población o universo con el objetivo de obtener conclusiones acerca de toda la población.


7

Proceso asociado


Código M-EM-01

Versión 8

No conformidad: Incumplimiento de un requisito. Observador: persona que acompaña al equipo auditor pero no actúa como un auditor. Plan de auditoría: Descripción de las actividades y de los detalles acordados de una auditoría. Programa de auditoría: Conjunto de una o más auditorias planificadas para un período de tiempo determinado y dirigidas hacia un propósito específico.

Prueba de recorrido: técnica de auditoría que consiste en observar las actividades realizadas por los auditados. Prueba selectiva: técnica de auditoría que consiste en seleccionar una muestra para revisión, verificación y obtención de evidencia sobre los temas que se están auditando. Registro: documento que presenta resultados obtenidos o proporciona evidencia de actividades ejecutadas. Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria. Revisión: actividad emprendida para asegurar la conveniencia, adecuación, eficacia, eficiencia y efectividad del tema objeto de la revisión, para alcanzar unos objetivos establecidos. Riesgo: efecto de la incertidumbre sobre los objetivos. Técnicas de auditoría: son los métodos que se aplican para obtener evidencias necesarias y suficientes sobre las cuales se emite una opinión respecto al proceso auditado, necesarios para alcanzar los objetivos de auditoría establecidos a fin de formarse un juicio profesional y objetivo sobre el tema objeto de revisión. Validación: confirmación mediante el suministro de evidencia de que se han cumplido los requisitos para una utilización o aplicación específica prevista.


8

Proceso asociado


Código M-EM-01

Versión 8

4. LINEAMIENTOS PARA LA PLANEACIÓN DE LAS AUDITORIAS 4.1 Formulación del Programa Anual de Auditorías Internas

El Programa Anual de Auditorías Internas se elabora de acuerdo con los parámetros establecidos en la Guía para la Planeación y Gestión de la Oficina de Control Interno G-EM-02, y es presentado para aprobación del Comité Institucional de Coordinación del Sistema de Control Interno. El Programa puede incluir auditorías que tengan en consideración una o más normas de sistemas de gestión (Sistema de Gestión en dimensiones como Talento Humano, Direccionamiento Estratégico y Planeación, Gestión con Valores para Resultados, Evaluación de Resultados, Información y Comunicación, Gestión del Conocimiento y la Innovación y Control Interno, Seguridad y Salud en el Trabajo, Seguridad de la Información, Modelo Estándar de Control Interno, Sistema Nacional de Servicio al Ciudadano y demás adoptados por la Entidad), llevadas a cabo de manera individual o combinada.

4.2 Creación del Programa Anual de Auditoría Interna en el Módulo Revisiones – Auditoria

Una vez el Programa Anual de Auditorías es aprobado por el Comité Institucional de Coordinación del Sistema de Control Interno, se procede a crear el Programa Anual de Auditorías Internas en el aplicativo SIGEPRE – Módulo Revisiones – Auditorías – Crear Programas, como se indica a continuación: 1. Ingresa al SIGEPRE:

2. Ingresa los datos:


9

Proceso asociado


Código M-EM-01

Versión 8

3. Ingresa al Módulo Revisiones – Auditoría – crear Programa:

En el campo Nombre:*, se registra el nombre del Programa Anual de Auditoría, como se muestra en la ilustración anterior. En el campo Responsable:* se registra el nombre del Jefe de la Oficina de Control Interno, quien es el garante del Programa Anual de Auditorías Internas de la Entidad. En el campo Descripción:*, se detallaran los siguientes aspectos:

1

2

3 4


10

Proceso asociado


Código M-EM-01

Versión 8

a) Objetivo del Programa de Auditorías b) Alcance del Programa de Auditorías

Una vez diligenciados los campos, se guarda la información y el aplicativo indicará operación exitosa.

4.3 Creación del Plan de Auditoría Interna en el Módulo Revisiones – Auditoria

Seguidamente, el responsable del Programa de Auditorías ingresa al módulo Revisiones – Mis responsabilidades y procede a “Crear Auditoría” como se observa en la siguiente ilustración:

El aplicativo le mostrará el formato con la información básica de la auditoría, la cual deberá concordar con lo diligenciado en el Plan General de Auditoría. A modo de ejemplo se muestra lo siguiente:

5


11

Proceso asociado


Código M-EM-01

Versión 8

Seleccione y agregue los auditores asignados por el Jefe de Control Interno

Registre el nombre de la Auditoría, indicando la vigencia. Ej: 2019 – Evaluación Eficacia PM

Seleccione el nombre del auditor líder, asignado por el Jefe de la Oficina de Control Interno

Nota 1

Describa en forma breve en qué consiste la Auditoría. Ej: En cumplimiento del Programa Anual de Auditorías 2019, se efectúa la Auditoría Interna de desempeño a la eficacia de los planes de mejoramiento finalizados por la Entidad.

Registre el objetivo de la Auditoría, como se identificó y registró en el Plan General de Auditoría. Ej: Evaluar la eficacia de los planes de mejoramiento finalizados por los procesos y dependencias

Registre el alcance de la Auditoría, la cual se expresa en términos de tiempo, ubicación, proceso, dependencia o actividad. Ej: Se evalúan los planes de mejoramiento finalizados hasta diciembre de 2018.

Registre la política, procedimiento o requisitos utilizados como referencia. Ej: Procedimiento, Formulación, Seguimiento y Evaluación de Planes de Mejoramiento (P-EM-06)

Registre el requisito normativo legal o técnico. Ej: Ley 87 de 1993; MECI 2.2.1 Auditorías Internas, 2.3.1 Plan de Mejoramiento; ISO 9001:2015, 9.2 Auditoría Interna, 10. Mejora.

Nota 2

Nota 3


12

Proceso asociado


Código M-EM-01

Versión 8

Una vez se selecciona guardar, el aplicativo le indicará Operación Exitosa y le mostrará la Auditoría creada, como se observa a continuación:

Seleccione y agregue el (los) proceso(s) sujeto(s) de auditoria

6

Auditoría creada


13

Proceso asociado


Código M-EM-01

Versión 8

Nota 1: Al seleccionar las fechas inicial y final, tenga en cuenta los tiempos establecidos desde la remisión del Plan General de Auditoría al auditado hasta la presentación del informe versión Final de Auditoria o solicitud de las No Conformidades. Nota 2: En relación al campo Seleccione una opción, seleccione externa para el caso que se opte por registrar en el módulo de auditorías, una auditoria de ente externo (ICONTEC, Contraloría General de la República, entre otros). Nota 3: En relación al campo Plan asociado, aplica cuando se opta por crear un plan adicional en el módulo planes y se formulará atendiendo las orientaciones establecidas en la Guía para la planeación estratégica y operativa institucional G-DE-02, como se observa a continuación:

Para el caso del Programa Anual de Auditorías Internas al SIGEPRE, se creará el Programa en el módulo Planes con el mismo nombre, registrando las siguientes categorías y actividades:

Categoría / Etapa Actividades

1. Planeación y coordinación de las auditorías internas

Programa aprobado Selección auditores Designación, asignación y programación de

auditores Socialización de directrices

2. Ejecución del ciclo de auditorías

Reunión de Apertura del ciclo auditor Plan General de Auditoría Plan detallado de auditoría y ejecución de auditoría Presentación Informe preliminar, mesa de trabajo u

Informe de descargos, e Informe final. Reunión de Cierre del ciclo auditor


14

Proceso asociado


Código M-EM-01

Versión 8

3. Cierre y conclusiones de las auditorías internas

Informes consolidados de procesos Informe Conclusiones Generales Mejoras por ciclo auditor

A cada categoría se le agregan las tareas correspondientes para su ejecución, conforme a los criterios establecidos en el presente Manual. Una vez creado el Programa en el módulo Planes, se procede a asociarlo en el Módulo Revisiones - Auditoría, en el Programa Anual de Auditorías Internas al SIGEPRE. El Auditor líder asignado para cada auditoría, es el responsable de ejecutar las actividades de las auditorías internas y de registrarlas en el aplicativo SIGEPRE - módulos planes, adjuntando las evidencias que soportan su ejecución, como se detalla en el numeral 9 del presente Manual.

4.4 Identificación y evaluación de los riesgos relacionados con el Programa de Auditoría

El proceso de Evaluación, Control y Mejoramiento identificará y evaluará los riesgos asociados al Programa de Auditoría, de conformidad con los Lineamientos para la Administración del Riesgo L-DE-01 y los registrará en el Aplicativo SIGEPRE – Módulo Gestión del Riesgo.

5. LINEAMIENTOS PARA LA COORDINACIÓN DE LAS AUDITORIAS

5.1 Selección de los Auditores Internos El Jefe de la Oficina de Control Interno selecciona los auditores internos que participaran en las Auditorías Internas al SIGEPRE, teniendo en cuenta el perfil de los servidores públicos de la Entidad en cuanto a su educación, formación o experiencia, información que es registrada en el Formato Evaluación Competencias Auditores Internos (F-EM-12):


15

Proceso asociado


Código M-EM-01

Versión 8

Para la selección de auditores, se tendrán en cuenta los siguientes aspectos, los cuales deberán ser validados en las historias laborales por el Proceso de Talento Humano y comunicados al Jefe de la Oficina de Control Interno, previa solicitud de éste: a. Educación:

Auditor líder y equipo auditor: Profesional o técnico en cualquier

disciplina

b. Formación:

Tanto el auditor líder como el equipo auditor deberán acreditar mediante certificados, los cursos en Auditoría Interna o conceptos asociados.

c. Experiencia:

Auditor Líder: mínimo 3 ciclos de auditoría interna, (registro en programación de auditores e informe de auditoría) o haber participado como equipo auditor en mínimo 3 auditorías internas de gestión o como auditor líder en 1 auditoría interna de gestión (registro en planes generales de auditoría y módulo auditorias aplicativo SIGEPRE).

Equipo Auditor: mínimo 2 ciclos de auditoría Interna como observador (registros de acompañamiento en programación de auditores e informe de auditoría) o haber participado como observador en mínimo 2 auditorías internas de gestión (registro en planes generales de auditoría y módulo auditorias aplicativo SIGEPRE).


16

Proceso asociado


Código M-EM-01

Versión 8

Observador: no requiere experiencia dado que no influye ni interfiere en la realización de la auditoría.

d. Equivalencias:

Auditor Líder: si el auditor no cuenta con formación en auditorías, debe haber participado en 4 o más ciclos de auditoría interna y cumplir con el criterio de Educación.

Equipo Auditor: si el auditor no cuenta con formación en auditorías, debe haber participado en 3 o más ciclos de auditoría interna al SIGEPRE y cumplir con el criterio de Educación.

Otros aspectos que podrán tenerse en cuenta: 1. Los auditores internos pueden reunir los conocimientos, las aptitudes y

otras competencias necesarias para cumplir con sus responsabilidades individuales.

2. En caso que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte de la Auditoría Interna, el Jefe de la Oficina podrá obtener asesoría o asistencia competente.

3. El Jefe de la Oficina de Control Interno podrá propender porque los auditores internos tengan conocimientos para evaluar el riesgo de fraude y la forma de cómo se gestiona por parte de la Entidad, pero sin la exigencia que deban tener el mismo conocimiento a los que tienen la responsabilidad principal en su detección e investigación.

4. El Jefe de la Oficina de Control Interno podrá propender porque los auditores internos tengan el conocimiento de los riesgos y controles en tecnología de la información y de las técnicas de auditoría disponibles basadas en tecnología para desempeñar el trabajo asignado.

5. Los auditores internos podrán perfeccionar sus conocimientos y otras competencias mediante la capacitación profesional continua.

Nota 4. Las auditorías internas de gestión serán ejecutadas por los auditores internos de la Oficina de Control Interno de acuerdo con los requisitos establecidos en el Manual de Funciones de la Entidad.


17

Proceso asociado


Código M-EM-01

Versión 8

5.1.1 Responsabilidades

Los auditores internos de la Presidencia de la República deberán ejercer su labor observando los Lineamientos Código de Ética del Auditor L-EM-02 con el fin de guiar la conducta ética en la labor designada. Los principios rectores en el ejercicio de auditoría interna son la Integridad, Objetividad, Confidencialidad y Competencia y se encuentran desarrollados mediante reglas de conducta en el Código de Ética. De acuerdo con el Código de Ética del Auditor Interno, los auditores asignados a cada proceso deben abstenerse de evaluar operaciones específicas de las cuales hayan sido previamente responsables, con el fin de mantener la objetividad a lo largo del proceso de auditoría y asegurar que los hallazgos y conclusiones de la auditoría, estarán basados en evidencia objetiva. Si la independencia u objetividad se viese comprometida de hecho o apariencia, por conflictos de intereses, limitaciones al alcance, restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos tales como el financiero, los detalles del impedimento deberán darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento, en cuanto a:

Impedimento Naturaleza de la comunicación

Toma de decisiones

Si el impedimento está asociado a la actividad de auditoría asignada

El auditor interno lo deberá comunicar al responsable del Programa de Auditoría, es decir al Jefe de la Oficina de Control Interno

El Responsable del Programa – Jefe de la Oficina de Control Interno, lo evalúa y adopta las acciones inmediatas a que haya lugar y que estén a su alcance. En sentido contrario, lo deberá comunicar al Comité Institucional de Coordinación del Sistema de Control Interno.

Si el impedimento está asociado al responsable del Programa de Auditorías Internas – Jefe de la Oficina de Control Interno

El Jefe de la Oficina de Control Interno lo deberá comunicar al Comité Institucional de Coordinación del Sistema de Control Interno

El Comité Institucional de Coordinación del Sistema de Control Interno, será la instancia que deberá adoptar las acciones pertinentes que den tratamiento a la situación comunicada.


18

Proceso asociado


Código M-EM-01

Versión 8

5.1.1.1 Cuidado Profesional Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se espera de un auditor interno razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad. El auditor interno debe ejercer el cuidado profesional, al considerar: El alcance necesario para lograr los objetivos de la auditoría: definido a

través del Programa Anual de Auditorías, el cual es previamente presentado y sustentado al Comité Institucional de Coordinación del Sistema de Control Interno.

La adecuación y eficacia de los procesos del SIGEPRE: partir de los resultados de auditorías anteriores, de evaluaciones de seguimiento y control al desempeño de los procesos y los resultados obtenidos.

La probabilidad de errores materiales, fraude o incumplimientos: partir de análisis de los riesgos, sus controles y monitoreos.

El costo de la auditoría en relación con los beneficios potenciales: enfocar el trabajo de auditoría a las actividades con mayor nivel de riesgo.

La utilización de auditoría basada en tecnología y otras técnicas de análisis de datos: consiste en la aplicación de las técnicas de auditoría con el fin de obtener los resultados esperados en el ejercicio de auditoría interna. Ver el numeral 6.2 Técnicas para obtener evidencias del presente Manual.

Respecto a las facultades y restricciones de los auditores internos, deberán consultarse en los Lineamientos Estatuto de Auditoría Interna L-EM-01.

5.1.2 Asignación y Programación de Auditores Internos Una vez seleccionados los auditores internos, el Jefe de la Oficina de Control Interno realiza la asignación de un auditor líder y de un equipo auditor competente para cada uno de los procesos y dependencias a auditar en las Auditorías Internas al SIGEPRE, y se consignan en el Formato Programación Auditores Internos (F-EM-19), con las fechas aprobadas en el Programa Anual de Auditorías.


19

Proceso asociado


Código M-EM-01

Versión 8

Nota 5. El Jefe de la Oficina de Control Interno aprobará los ajustes en la Programación Auditores Internos (F-EM-19) y en el Plan General de Auditoría, así mismo, de ser necesario se realizan los ajustes en el Programa Anual de auditorías en el aplicativo SIGEPRE – Modulo Planes y Modulo Auditorias. Nota 6. Para el caso de las auditorías internas de gestión, el Jefe de la Oficina de Control Interno asigna a un auditor líder y equipo auditor y se registra en el Plan General de Auditoría F-EM-09.

5.2 Definición y socialización de alcance y directrices El Jefe de la Oficina de Control Interno define el alcance de las auditorías, teniendo en cuenta el objetivo, extensión de tiempo requerido, complejidad, sedes, equipo auditor disponible y establece los criterios y requisitos con respecto a los cuales se realizará la auditoría, estos pueden ser: de los clientes, legales, técnicos y los establecidos por la Entidad. Posteriormente, se convoca a los auditores internos para efectuar la reunión de socialización de los aspectos generales a tener en cuenta para el desarrollo de las auditorías.

5.3 Elaboración y Aprobación del Plan General de Auditoría

Teniendo en cuenta los lineamientos establecidos por el Jefe de la Oficina de Control Interno y dados a conocer mediante reuniones con los auditores internos, el auditor líder y el equipo auditor planean la auditoría, realizan una revisión documental inicial y elaboran el Plan General de Auditoría en el formato (F-EM-09). En la revisión inicial se debe tener en cuenta la estructura del SIGEPRE y la armonización entre los elementos que lo conforman así como conocer las características y aspectos mínimos del proceso a auditar y su interacción con otros procesos establecidos en el Manual del Sistema Integrado de Gestión de la Presidencia de la República SIGEPRE M-DE-02.


20

Proceso asociado


Código M-EM-01

Versión 8

Nota 7. El número de Auditoría del Proceso o dependencia es el asignado en el Programa Anual de Auditorías, publicado en el aplicativo SIGEPRE – en el Modulo Revisiones – Auditorias. Nota 8. Corresponde a la fecha de la Auditoría establecida en el Programa Anual de Auditorías. Seguidamente en el mismo Formato Plan General de Auditoría (F-EM-09), se determina la agenda a desarrollar, los responsables y las actividades a ejecutar, las cuales deberán estar armonizadas con los lineamientos impartidos por el Jefe de la Oficina de Control Interno y encaminadas a verificar las acciones definidas por los procesos para la prestación del servicio y el cumplimiento de sus objetivos, las fechas específicas y las horas en las cuales se realizará el trabajo de campo.

Nota 7 8 Nota 8


21

Proceso asociado


Código M-EM-01

Versión 8

En el campo Observaciones, se podrá hacer énfasis sobre la importancia de la disponibilidad del líder del proceso y de su equipo para garantizar la adecuada ejecución de la auditoria, disponer de los documentos y demás soportes que den cuenta de la planificación, coordinación, seguimiento, medición y control de las actividades y metas propuestas.

5.4 Comunicación del Plan General de Auditoría Una vez el Plan General de Auditoría sea presentado por el auditor líder al Jefe de la Oficina de Control Interno, se procederá a revisarlo y de ser necesario se realizaran los comentarios y los ajustes junto con el auditor líder. De lo contrario, se aprobará y se remitirá a través de comunicación escrita al líder del proceso o dependencia a auditar, en un término mínimo de ocho (8) días calendario, antes de la ejecución de la Auditoría. Nota 9. En caso de requerirse comisiones y desplazamientos por parte de los auditores, la Oficina de Control Interno los gestionará con el Área de Talento Humano, atendiendo los lineamientos establecidos en el Procedimiento Trámite de Comisiones y Gastos de Viaje P-TH-11.

Auditor líder y/o equipo auditor Jefe Oficina de Control Interno


22

Proceso asociado


Código M-EM-01

Versión 8

Nota 10. Si el equipo auditor requiere más tiempo para el desarrollo de la auditoría interna a la gestión, deberá informarlo al Jefe de la Oficina de Control Interno para que a su vez, sea comunicado al Líder del Proceso o dependencia en la reunión de apertura o durante la ejecución de la auditoría. Nota 11. Si el equipo auditor requiere más tiempo para el desarrollo de la auditoría interna al SIGEPRE, deberá informarlo al auditado en la reunión de apertura o durante la ejecución de la auditoría, previa validación con el Jefe de la Oficina de Control Interno. 6. LINEAMIENTOS PARA LA EJECUCIÓN DE LAS AUDITORIAS

6.1 Recopilación, revisión y análisis de la documentación El auditor líder en coordinación con el equipo auditor recopilan, revisan y analizan la documentación asociada al proceso a auditar, como: caracterizaciones, manuales, guías, lineamientos, instructivos, procedimientos, formatos, requisitos legales y requisitos de normas técnicas, así como los informes de gestión, de resultados, de auditorías anteriores, de análisis de datos, de gestión de cambios, riesgos, mejoras, planes, entre otros. Esto con el propósito de preparar la auditoría y tener un conocimiento más cercano a las actividades, documentos, registros y requisitos que deben tenerse en cuenta al momento de efectuar la auditoría de campo. La mayor parte de la información mencionada, está disponible en el Aplicativo SIGEPRE, ingresando por la Intranet de la Entidad, como se muestra a continuación: Paso 1. Ingresar al Aplicativo SIGEPRE: en la página principal del computador identifique el ícono del SIGEPRE, como se muestra a continuación:


23

Proceso asociado


Código M-EM-01

Versión 8

Paso 2. Registre los datos: Dominio – seleccionar Presidencia.int; Usuario: diligencie el usuario con el cual ingresa a su equipo de cómputo; Contraseña: diligencie con la cual inicia sesión en su equipo de cómputo e ingrese como se muestra en el siguiente esquema:

Paso 3. Explore los Reportes: a continuación se presenta la información asociada a cada proceso la cual se podrá explorar ingresando por el Mapa de Procesos en el Aplicativo SIGEPRE, así mismo podrá consultar la misión, visión, política del SIGEPRE, objetivos institucionales, el seguimiento a la planeación estratégica e institucional. Al explorar el Mapa de Procesos, el aplicativo le mostrará la siguiente información:


24

Proceso asociado


Código M-EM-01

Versión 8

Seguidamente, podrá explorar el proceso que va a auditar, a modo de ejemplo se selecciona el Proceso de Evaluación, Control y Mejoramiento, el cual presenta la siguiente información, para revisión y análisis:


25

Proceso asociado


Código M-EM-01

Versión 8

Derivado del análisis de la documentación asociada al Proceso, se registra en el formato Plan Detallado de Auditoría (F-EM-02) siguiendo el Ciclo P.H.V.A2., los aspectos a evaluar y la base informativa (documentos y registros) para ser verificados en el trabajo de campo, a modo de ejemplo se presenta el siguiente plan detallado:

Este plan detallado se constituye en papel de trabajo del auditor, cuyo fin es documentar los aspectos importantes de la auditoría que proporcionan evidencia que el ejercicio auditor, se llevó a cabo de acuerdo con las Normas de Auditoría Generalmente Aceptadas. Los papeles de trabajo se pueden registrar en físico o electrónico y deben ser legibles, lógicos, completos y fáciles de entender. Nota 12: El Plan detallado se deberá aplicar en las Auditorías Internas al SIGEPRE y es facultativo en las Auditorías Internas de Gestión.

6.2 Técnicas para obtener evidencias Son las técnicas o métodos de auditoría que se aplican para obtener evidencias suficientes y apropiadas, es decir, relevante, valida y confiable. La evaluación del auditor sobre la evidencia debe ser objetiva, justa y equilibrada. Las técnicas o métodos que se aplican, dependen de los objetivos, el alcance y los criterios definidos así como la duración y la ubicación.

2 Planear, Hacer, Verificar y Actuar

¿Qué aspectos se tuvieron en cuenta para la elaboración del Programa Anual de Auditorías?

Guía para la Planeación y Gestión de la Oficina de Control Interno


26

Proceso asociado


Código M-EM-01

Versión 8

A continuación, se proporcionan algunas técnicas de auditoría que pueden usarse, por separado o en combinación, que permiten optimizar la eficiencia y eficacia del proceso de auditoría y alcanzar los objetivos de la misma.

TÉCNICAS DE AUDITORIA

Consulta

Consiste en realizar preguntas al personal del proceso auditado o a terceros y obtener sus respuestas orales o escritas. Los tipos de consulta más formales incluyen entrevistas, encuestas y cuestionarios. Para las entrevistas pueden aplicarse preguntas abiertas, cerradas o inductivas. Se pueden realizar in situ o a distancia con el auditado.

Observación o prueba de recorrido

Consiste en observar a las personas, los procedimientos o los procesos; realizar visitas al sitio. Se pueden realizar in situ o a distancia sin el auditado.

Inspección

Consiste en estudiar documentos como registros, análisis de datos, entre otros y en examinar físicamente los recursos tangibles. Los auditores internos deben reconocer y considerar su nivel de competencia (en otras palabras, su capacidad para comprender lo que leen y lo que ven). Se pueden realizar in situ o a distancia con o sin el auditado.

Revisión documental

La revisión de comprobantes se realiza específicamente para probar la validez de la información documentada o registrada.

Prueba selectiva o muestreo

Se realiza específicamente para probar la integridad de la información documentada o registrada en poblaciones o universos numerosos o muy grandes; la aplicación de la muestra se realiza a criterio del auditor “muestreo no estadístico” o con fórmula para su cálculo por “muestreo estadístico”.

En todo caso, el auditor debe respetar todos los requerimientos respecto a la Seguridad de la Información y confidencialidad, aplicando las Políticas de Seguridad de la Información adoptadas por la Entidad en el Manual de políticas de seguridad de la información M-TI-01.

6.2.1 Determinación de la muestra de Auditoría

Durante la ejecución de la auditoría “in situ” se recopila información aplicando alguna técnica de auditoría, con el fin de determinar de un total de universo la cantidad de elementos que se requieren para ser evaluados, como las


27

Proceso asociado


Código M-EM-01

Versión 8

transacciones de pagos, comisiones, contratos, elementos de almacén entre otros, esto se conoce como la muestra de auditoría.

6.2.1.1 Diseño de la muestra

1. Métodos de muestreo estadístico3: se basa en la teoría de la distribución normal, la cual requiere de una fórmula para su cálculo y se aplica para poblaciones finitas, como se observa a continuación:

𝑛 = 𝑃 ∗ 𝑄 ∗ 𝑧2 ∗ 𝑁

(𝑁 ∗ 𝐸2) + (𝑧2 ∗ 𝑃 ∗ 𝑄)

Las variables expresan:

Z = Valor de la distribución normal estándar de acuerdo al nivel de confianza E = Error de muestreo (precisión) N = Tamaño de la Población P = Proporción de Éxito Q = 1-P

INGRESO DE PARÁMETROS

DESCRIPCIÓN

Tamaño de la Población

(N) 500

Identifique el tamaño o universo de la población objeto de cálculo (total de contratos, comprobantes, total de PSQR, transacciones, órdenes de compra, etc.). -números enteros- Ejemplo: 500 PSQR. 17.221 transacciones financieras. 13.526 comprobantes.

Error Muestral (E)

5%

Se puede escoger el error de muestreo que acepta cometer (digite números enteros entre 1% y máximo 10%). El auditor debe tener en cuenta que este es el error que va a asumir en la selección de la muestra, es decir, si asume solo el 1% de error, la muestra será más grande; si escoge el 10% la muestra será más pequeña, pero asume un mayor riesgo de auditoría. Es decir, que el nivel de confianza es del 99% y 90% respectivamente. Para los ejercicios auditores se recomienda aplicar el 5%.

3Contraloría General de la República. Contraloría Delegada para el Sector Social. Agosto 2011


28

Proceso asociado


Código M-EM-01

Versión 8

INGRESO DE PARÁMETROS

DESCRIPCIÓN

Proporción de Éxito (P)

17%

La proporción de éxito corresponde al % de elementos de la población que se estima no cumplen con el control que se está probando. Ej. Se estima que el xx% de las PSQR no se respondieron en los términos establecidos en la Ley. Si se quiere estimar el % de las PSQR que no se respondieron en los términos establecidos en la ley, debe investigar si en una auditoría anterior se cuenta con este porcentaje; en caso afirmativo, utilice ese valor como una estimación de (P). Ej. En la Auditoria de la vigencia anterior se determinó que el 17% de las PSQR se respondieron fuera de los términos de ley. Por tanto (P) = 17%. En caso contrario que no disponga de estimación histórica, se deberá tomar el 5% como se explica en forma amplia en el siguiente título “Alcance del método estadístico”.

Nivel de Confianza

95% Al utilizar el 5% de error maestral, el nivel de confianza corresponde al 95%.

Nivel de Confianza (Z)

(1) 1.96

Al estandarizar el nivel de confianza en 95%, el nivel de confianza Z es 1.96

A continuación se presenta cómo se calcula la muestra de acuerdo a los parámetros explicados anteriormente, la fórmula se alimentará con los valores parametrizados que están marcados en color azul, dado que se tomaran como constantes, y en color rojo los valores que varían de acuerdo al tamaño de la población y la proporción de éxito. Conforme a lo anterior, la formula quedaría así:

𝒏 = ((17%) ∗ (1 − 17%) ∗ ((1.96)2 ) ∗ 500)

(500 ∗ ((5%)2) + ((1.96)2) ∗ (17%) ∗ (1 − 17%))

El resultado corresponde a la muestra óptima a evaluar, que para el ejemplo es de: n = 151 PSQR.


29

Proceso asociado


Código M-EM-01

Versión 8

Alcance del método estadístico El método estadístico se aplicará en la ejecución de auditorías internas que involucren bases de datos extensas y voluminosas como por ejemplo viáticos, contratos, transacciones financieras, PSQR y demás bases de este tipo, las cuales requieren del uso de una muestra para su análisis. Para la aplicación inicial de la fórmula en el evento que no se dispone de una proporción de éxito histórica, se deberá tomar el 5% en la variable Proporción de Éxito (P) para poblaciones o universos iguales y superiores a 200 con el fin de reducir la subjetividad a la hora de evaluar las dependencias. Quedando así:

𝒏 = ((5%) ∗ (1 − 5%) ∗ ((1.96)2 ) ∗ 200)

(200 ∗ ((5%)2) + ((1.96)2) ∗ (5%) ∗ (1 − 5%))

n = 53 contratos Para los eventos que la población sea menor a 200, prevalecerá la aplicación del criterio del auditor en la prueba selectiva que oscila entre el 1% y el 20% del total de la población. Ejemplo: n = 170 * 20% = 34 contratos n = 150 * 10% = 15 contratos

2. Métodos de Muestreo No Estadístico: se presenta cuando el auditor selecciona la muestra sin emplear una técnica estructurada, pero evitando cualquier desvío consciente o predecible. El muestreo basado en juicios depende de los conocimientos, habilidades y experiencia del equipo auditor. Se aplica un muestreo discrecional, donde el auditor sitúa un desvío en la selección de la muestra, por ejemplo: todas las unidades superiores a determinado valor, todas las que cumplan una característica específica, todas las negativas, todos los nuevos usuarios,

Entre otros que puedan tenerse en cuenta a criterio del auditor y a partir de los cuales se selecciona la muestra.


30

Proceso asociado


Código M-EM-01

Versión 8

El auditor debe seleccionar los elementos de la muestra de forma tal que la misma sea representativa de la población y basado en otros trabajos y de acuerdo a su experiencia, puede determinar las transacciones más riesgosas y enfatizar en ellas.

6.3 Reunión de Apertura Para el caso de las Auditorías Internas al SIGEPRE, el auditor líder realiza la reunión de apertura con el responsable del proceso y los auditados, para presentar el plan general de auditoría y el equipo auditor, definiendo roles y responsabilidades para la auditoría. En el caso de las Auditorías Internas ejecutadas por el equipo de la Oficina de Control Interno, asiste el Jefe de la Oficina y el Auditor Líder. Se debe ilustrar al auditado de una manera clara y detallada acerca del objetivo, alcance, criterios, informe y plan de acción que se relacionan con la auditoría así como el establecimiento de los canales de comunicación formales entre el equipo auditor y el auditado y la confirmación de los temas relacionados con la confidencialidad y la seguridad de la información que el auditado proporcione, cuando aplique. Adicionalmente, el auditor deberá resolver cualquier inquietud o duda que en tal sentido tenga el auditado.

6.4 Desarrollo de la Auditoría

De acuerdo con la agenda establecida, se aplican las técnicas de auditoría en el tiempo previsto (vea numeral 6.2), para lo cual las preguntas o intervenciones del auditor deben ser cortas, precisas, claras y correctamente formuladas.


31

Proceso asociado


Código M-EM-01

Versión 8

El auditor selecciona las evidencias que requiere revisar, solicitándolas de la manera más precisa posible. La explicación de los registros debe ser dada por el AUDITADO. Cuando se trate de Auditoria Interna de Gestión, las solicitudes de información se realizarán a través del Jefe de la Oficina de Control Interno o Auditor Líder, al responsable del proceso y el término de respuesta se definirá de acuerdo a la complejidad de la información solicitada.

Es

Reco

men

dab

le

Que el manejo de las entrevistas sea una responsabilidad directa delAuditor Líder.

Durante el desarrollo de la entrevista, se deben considerar todos losaspectos específicos que se han relacionado previamente en el formato deplan detallado.

Lo anterior, no debe limitar el alcance y profundidad de la entrevista, lacual en un determinado momento pueda requerir de la verificación deaspectos que no se han considerado previamente.

•Se deben evitar las distracciones, respuestas generales o fuera decontexto.

•Desarrollar la Auditoria en un ambiente de escucha activa, respeto yamabilidad.

Recuerde

•El registro de las notas relacionadas con los hallazgos debe ser tomado enel momento en que se obtienen.

•Evitar las generalizaciones y ambigüedades al redactar los hallazgos.

Tenga en cuenta

Es Recomendable


32

Proceso asociado


Código M-EM-01

Versión 8

6.4.1 Registro de resultados parciales

Una vez ejecutada la auditoria “In Situ” y teniendo la seguridad que existen evidencias objetivas que soportan un determinado aspecto conforme o no conforme, se registraran en forma resumida en el Plan Detallado de Auditoria (F-EM-02) - Resultados, con el fin de facilitar la presentación formal de las conclusiones de la auditoria en la reunión de cierre.

Los resultados se registran marcando con una X, si el aspecto evaluado es Conforme o No Conforme. Si es No Conforme, identifique si es por Documentación, Aplicación o por Resultado y detalle la evidencia encontrada que sustenta tanto el aspecto Conforme como el No Conforme. El Plan Detallado debidamente diligenciado se registrará en la ejecución de la auditoría del aplicativo SIGEPRE – Revisiones – Auditoría, de acuerdo con el numeral 9 del presente Manual. En forma resumida en el siguiente esquema, se puede observar la conclusión del ejercicio auditor:

3. Cumplimiento 1. Requisito

Requisito: Legales, técnicos, Entidad y del Cliente

2. Aplicación del Requisito

Cómo se desarrolla la actividad

¿Se desarrolla conforme al requisito?: SI = Conforme u Oportunidad de Mejora NO = No Conformidad

¿Qué aspectos se tuvieron en cuenta para la elaboración del Programa Anual de Auditorías?

Guía para la Planeación y Gestión de la Oficina de Control Interno

X

No se encuentra documentado el programa de auditorías ni se consideraron los resultados de auditorías anteriores.


33

Proceso asociado


Código M-EM-01

Versión 8

Ejemplo de aplicación:

6.4.2 Características, clasificación y redacción de Hallazgos Con base en los resultados de las entrevistas, de las pruebas selectivas, de recorrido y el análisis de la documentación asociada y aportada por el Proceso, el auditor realiza un análisis ágil y metódico con el propósito de facilitar la concreción de los hallazgos, teniendo en cuenta lo siguiente:

a. Características de los Hallazgos Los auditores deben asegurarse de tener la suficiente evidencia objetiva que soporte cada uno de los hallazgos, para lo cual es importante tener en cuenta las siguientes características:

Característica del Hallazgo

Concepto

Objetivo Se debe establecer con fundamento en la comparación entre el criterio y la situación encontrada.

Factual Basado en hechos y evidencias precisas.

Claro y Preciso Que contenga afirmaciones inequívocas, libres de ambigüedades, que esté argumentado y que sea válido para los interesados.

Verificable Que se pueda confrontar con hechos, evidencias o pruebas.

Da valor agregado Que su establecimiento contribuya al mejoramiento continuo de la Entidad

Requisito: Numeral 9.2, literal f) Auditoría Interna ISO 9001:2015.

Cómo se desarrolla la actividad: Se revisaron las actas de los Comités Institucionales de Coordinación del Sistema de Control Interno efectuados en las vigencias anteriores

¿Se desarrolla conforme al requisito?: NO = No se conservaron las actas del Comité Institucional de Coordinación del Sistema de Control Interno.


34

Proceso asociado


Código M-EM-01

Versión 8

Clasificación de los Hallazgos El auditor líder clasifica los hallazgos obtenidos, según estos sean:

Conformidad No Conformidad Oportunidad de Mejora

Cumplimiento de un requisito técnico, legal, del cliente y de la Entidad

Incumplimiento de un requisito técnico, legal, cliente u Entidad. Se constituye cuando existe evidencia objetiva del incumplimiento.

Actividad para mejorar el desempeño. Hecho o situación que se puede fortalecer, para incrementar el grado de satisfacción de los clientes o de las partes interesadas.

A modo de Ejemplo, se describen algunos casos en los cuales se podría generar un hallazgo:

1. Conformidad:

La situación encontrada en el ejercicio del proceso auditor con respecto a las operaciones, actividades o procesos desarrollados por el auditado, cumplen los criterios. El aspecto conforme se entenderá como aquella situación de conformidad y que generó algún beneficio de valor agregado para la Entidad.

2. No Conformidad:

La situación encontrada no se ajusta a los criterios, ejemplo:

Por la no documentación de la información del proceso

Por el incumplimiento de algún requisito legal, técnico, del cliente y de la Entidad

Por ausencia de formulación y ejecución de acciones correctivas o preventivas, asociadas a no conformidades.

Por incumplimiento de planes de mejoramiento generados por no conformidades detectadas en las auditorías internas o externas.


35

Proceso asociado


Código M-EM-01

Versión 8

Por el no seguimiento al desempeño del proceso, con el análisis de datos para la toma de acciones.

Por falta de relación entre las actividades y los registros obtenidos.

Por el diligenciamiento incorrecto o incompleto de registros, siempre y cuando el hecho sea recurrente.

3. Oportunidad de Mejora:

La situación encontrada se ajusta satisfactoriamente a los criterios y son aspectos que pueden mejorar el nivel de desempeño (resultado medible) de la gestión, de actividades, procesos, servicios, sistemas y de la Entidad. A modo de ejemplo:

El proceso cuenta con formatos que le permiten controlar las actividades pero es factible automatizar estas herramientas.

El proceso tiene actividades secuenciales pero es posible simplificarlas para hacer más eficiente su gestión.

b. Redacción de hallazgos

1. Conformidad u aspecto conforme

Para la redacción de este aspecto, no se requieren incluir los elementos constitutivos del hallazgo, pero si se debe para el caso del aspecto conforme, efectuar su redacción describiendo lo relevante y el beneficio obtenido. Ejemplo:

El compromiso e interés de la Alta Dirección ha permitido mantener y mejorar el Sistema Integrado de Gestión de la Presidencia de la República.

2. No Conformidad

Una vez el hallazgo cumpla con las características y la clasificación, se debe redactar atendiendo los siguientes elementos:


36

Proceso asociado


Código M-EM-01

Versión 8

A modo de ejemplo, se presenta el siguiente hallazgo redactado con los tres elementos constitutivos:

Redactado en el Informe, quedaría: No se registró la aprobación del Programa Anual de Auditorías Internas en las Actas del Comité Institucional de Coordinación del Sistema de Control Interno, como se evidenció en la revisión de las actas de las sesiones trimestrales de la vigencia 2017, archivadas en la carpeta Actas de Comité del Proceso de Evaluación, Control y Mejoramiento. Incumpliendo lo establecido en el numeral 9.2 Auditoría Interna, literal F) de la ISO 9001:2015.

1. Descripción

del Problema

2. Evidencia

Objetiva

3. Requisito

que Incumple

¿Cuál es el requisito Incumplido con Respecto a los Criterios de Auditoría?

Son los registros, declaraciones de hechos o información que son pertinentes y verificables para los Criterios de Auditoría

Capítulo, Cláusula o Ítem incumplido relacionado con los Criterios de Auditoría

1. Descripción

del Problema

2. Evidencia

Objetiva

3. Requisito

que Incumple

No se registró la aprobación del Programa Anual de Auditorías en las Actas del Comité de Coordinación del Sistema de Control Interno.

Como se evidenció en la revisión de las actas de las sesiones trimestrales de la vigencia 2017, archivadas en la carpeta Actas de Comité del Proceso de Evaluación, Control y Mejoramiento.

Incumpliendo lo establecido en el numeral 9.2 Auditoría Interna, literal F) de la ISO 9001:2015.


37

Proceso asociado


Código M-EM-01

Versión 8

3. Oportunidad de mejora Para la redacción de este aspecto, no se requiere incluir los elementos constitutivos del hallazgo pero si se debe, describir la situación que se recomienda mejorar y el beneficio que se obtendría. Ejemplo:

El DAPRE adelanta un proceso de identificación, valoración y análisis de riesgo de seguridad de la información, y se cuenta con un conjunto de controles para su mitigación, muchos de ellos asociados al anexo A de la ISO 27001:2013. Se puede evaluar la efectividad de un control, así como qué tan controlado está un riesgo, mediante la elaboración de una matriz de riesgos vs controles, insumo que permitirá determinar si la gestión de seguridad es o no suficiente para un riesgo en particular.

6.5 Reunión de Cierre Es la última actividad programada en la agenda del Plan General de Auditoría, donde el auditor líder presenta en forma general los aspectos conformes y no conformes así como las conclusiones de la auditoría, al responsable del proceso y demás auditados. Nota 13: Cuando se detecten aspectos no conformes transversales a un proceso líder, estos deberán serán comunicados mediante el Informe Preliminar. 7. LINEAMIENTOS PARA LA ELABORACIÓN Y PRESENTACIÓN DEL INFORME

DE AUDITORIA

7.1 Elaboración del Informe de Auditoría a. Auditoría Interna al SIGEPRE, el auditor líder y el equipo auditor elaboran

el Informe en el formato Informe de Auditoria Interna (F-EM-03) y lo

•La redacción clara de los hallazgos incluyendo los tres elementos, facilitasu comprensión para la formulación de acciones preventivas, correctivas yde mejora.

Recuerde


38

Proceso asociado


Código M-EM-01

Versión 8

remiten a la Oficina de Control Interno en un tiempo máximo de cinco (5) días después de la reunión de cierre.

b. Auditoria Interna de Gestión, el Líder de la Auditoría consolidará y presentará los resultados utilizando la Plantilla 20 y lo remitirá al Jefe de la Oficina de Control Interno, en un tiempo máximo de diez (10) días después de la reunión de cierre.

La relación de aspectos no conformes puede variar de los presentados en la reunión de cierre en casos, como: Si una vez realizada la reunión de cierre y analizados los registros

entregados durante la auditoria, se constituye evidencia objetiva para presentar un nuevo aspecto no conforme.

Por los aspectos transversales detectados como resultados de auditorías a otros procesos.

7.1.1 Aprobación y comunicación del Informe de Auditoría

a. Informe de Auditoría Interna al SIGEPRE, el Jefe de la Oficina de Control Interno y su equipo de trabajo revisan el informe de auditoría con sus respectivos soportes y en caso de ser necesario, se efectúan los ajustes con el auditor líder.

b. Informe de Auditoria Interna de Gestión, el Jefe de la Oficina de Control

Interno revisa el informe de auditoría con sus respectivos soportes y en caso de ser necesario, efectúa los ajustes con el auditor líder.

Una vez el Informe es aprobado por el Jefe de la Oficina de Control Interno, se comunicará la versión preliminar del mismo al Responsable del Proceso o Jefe de la dependencia, en un tiempo máximo de dos (2) días, después de aprobado.

7.1.1.1 Revisión del Informe de Auditoria por el auditado

El Responsable del proceso o líder de área revisará el Informe de Auditoria y en caso que presente comentarios o esté en desacuerdo con el Informe de Auditoría Interna al SIGEPRE o de Gestión versión Preliminar, podrá tomar cualquiera de las siguientes alternativas:


39

Proceso asociado


Código M-EM-01

Versión 8

1. Solicitar una reunión (mesa de trabajo): dentro de los cinco (5) días siguientes al recibo del mismo, para que presente los argumentos y soportes que permitan desvirtuar el aspecto no conforme.

2. Remitir el informe de descargos: dentro de los cinco (5) días siguientes al recibo del mismo, en el cual se señalen las respuestas concretas, claras y precisas con los soportes de los aspectos en discusión.

3. Hacer uso de las dos opciones 1 y 2: el auditado una vez remita el Informe de Descargos, también podrá solicitar mesa de trabajo con el propósito de discutir y comprender con mayor acierto, los argumentos planteados en la respuesta.

7.1.1.2 Revisión de Descargos a. Oficina de Control Interno Si una vez analizadas las respuestas del auditado por el equipo auditor, estas satisfacen y desvirtúan de manera idónea y soportada el aspecto no conforme, se efectúan los ajustes en el Informe, dejando constancia de las razones de la decisión tomada por el equipo auditor así como de las evidencias que la soportan. De lo contrario, se confirmaran los hallazgos inicialmente presentados en el Informe Final. b. Comité Institucional de Coordinación del Sistema de Control Interno Si una vez surtidos los pasos del numeral 7.1.1.1, el auditado no está de acuerdo con lo presentado por la Oficina de Control Interno en el Informe Final de Auditoría, podrá solicitar la revisión del aspecto en desacuerdo al Comité Institucional de Coordinación del Sistema de Control Interno, como instancia para resolver diferencias que surjan del ejercicio de auditoría interna. De acuerdo con la decisión tomada por el Comité, se procederá a realizar un alcance al Informe final generando una nueva versión, o en caso contrario, se confirma la versión final inicialmente comunicada por la Oficina de Control Interno.


40

Proceso asociado


Código M-EM-01

Versión 8

7.1.1.3 Informe Final Se remitirá al Responsable del Proceso, el Informe de Auditoria Interna al SIGEPRE o de Gestión versión Final, con los aspectos conformes, no conformes u oportunidades de mejora confirmados en la mesa de trabajo o a través del análisis del Informe de descargos del proceso auditado o con los aspectos presentados en la versión preliminar, sobre los cuales no se pronunció el proceso auditado en los términos señalados, o los confirmados en la instancia ejercida por el Comité Institucional de Coordinación del Sistema de Control Interno. Ver en el numeral 9 del presente Manual el registro de la Información en el aplicativo SIGEPRE – Módulo Revisiones – Auditoría.

7.2 Informe de Conclusiones Generales de las Auditorías Internas al SIGEPRE

Teniendo en cuenta los resultados de las Auditorías Internas al SIGEPRE, la Oficina de Control Interno elabora el Informe de Conclusiones Generales de Auditorías Internas (F-EM-10), el cual se envía al Proceso de Direccionamiento Estratégico – Oficina de Planeación, como insumo para la revisión que realiza la Alta Dirección al Sistema Integrado de Gestión de la Presidencia de la República – SIGEPRE, una vez al año. Ver Procedimiento Revisión del Sistema Integrado de Gestión (P-DE- 06).

8. SOLICITUD Y FORMULACIÓN DE MEJORAS El Jefe de la Oficina de Control Interno procederá dentro de los cinco (5) días siguientes al envío del Informe Final, a solicitar las mejoras de los aspectos No Conformes detectados mediante las Auditorías Internas al SIFEPRE o de Gestión, en el Módulo MEJORAS - Aplicativo SIGEPRE de conformidad con el Procedimiento Formulación, Seguimiento y Evaluación de Planes de Mejoramiento P-EM-06. Teniendo en cuenta el Procedimiento (P-EM-06), las Oportunidades de Mejora (Recomendaciones) presentadas en los Informes de Auditoría, podrán ser solicitadas por los responsables de los Procesos en el Módulo MEJORAS - Aplicativo SIGEPRE.


41

Proceso asociado


Código M-EM-01

Versión 8

9. REGISTRO EN EL APLICATIVO SIGEPRE MODULO REVISIONES – AUDITORÍA Una vez se haya avanzado en la ejecución de cada auditoría o finalizado el proceso auditor, el auditor líder deberá registrar la información que dé cuenta del cumplimiento del Procedimiento de Auditoría Interna P-EM-01 en cada auditoría, de la siguiente manera, así:

9.1 Auditoría Interna al SIGEPRE El auditor líder asignado para cada auditoria es el responsable de ejecutar las actividades de los planes de auditorías internas y de registrarlas en el aplicativo SIGEPRE Modulo Revisiones – Auditorías y Planes, adjuntando las evidencias que soportan su ejecución y remitirlas para aprobación del Jefe de la Oficina de Control Interno, así:

a. Documente el Plan General de Auditoría


42

Proceso asociado


Código M-EM-01

Versión 8

Explorar


43

Proceso asociado


Código M-EM-01

Versión 8

b. Documente el Plan detallado y ejecución de la Auditoría:

Explorar


44

Proceso asociado


Código M-EM-01

Versión 8

c. Documente el Informe de Auditoría:


45

Proceso asociado


Código M-EM-01

Versión 8

Explorar


46

Proceso asociado


Código M-EM-01

Versión 8

9.2 Auditoría Interna de Gestión El auditor líder asignado para cada auditoria es el responsable de ejecutar las actividades de la auditoría interna de gestión y de registrarlas en el aplicativo SIGEPRE Modulo Revisiones – Auditorías, adjuntando las evidencias que soportan su ejecución, previamente aprobadas por el Jefe de la Oficina de Control Interno, así:

Al oprimir el clic izquierdo, le mostrará la opción de

Editar. Selecciónelo.


47

Proceso asociado


Código M-EM-01

Versión 8

Al seleccionar la opción Editar, le permitirá al auditor líder registrar los comentarios necesarios en la ejecución de la Auditoria, de acuerdo con los criterios establecidos en el presente Manual.

Para solicitar las mejoras desde el módulo de Auditorías, deberá efectuar lo siguiente:

Seleccione esta opción “Solicitar” para crear la

mejora en el Modulo Mejoras, conforme al

(P-EM-06)

Seleccione esta opción “Agregar”, cuando la

mejora ya esté creada en el Módulo Mejoras


48

Proceso asociado


Código M-EM-01

Versión 8

Seguidamente, los responsables de los Procesos auditados deben iniciar la formulación del Plan de Mejoramiento, de conformidad con el Procedimiento Formulación, Seguimiento y Evaluación de Planes de Mejoramiento -P-EM-06. A modo de ejemplo, se muestra a continuación el registro del procedimiento de Auditorías Internas en el módulo Revisiones - Auditoría:

Nota 14: Una vez creado y guardado el comentario, el mismo no se podrá eliminar. Creado el comentario, el responsable del Programa no podrá eliminar la auditoria creada ni el programa creado en el aplicativo – Modulo Revisiones – Auditoria. Recuerde que deberá quedar registrado en los comentarios de ejecución de la Auditoria, los pasos dispuestos en el presente manual, esto es el registro del


49

Proceso asociado


Código M-EM-01

Versión 8

Plan General, Reuniones de apertura y cierre, Informe preliminar, mesa de trabajo (si aplica), informe Final y relación de mejoras (si aplica).

10. EVALUACIÓN DE AUDITORES INTERNOS La evaluación de Auditores Internos aplica para todos los auditores que participen tanto en el Ciclo de Auditoria Interna al SIGEPRE como en las Auditorías Internas de Gestión, para lo cual el Jefe de la Oficina de Control Interno solicitará mediante correo electrónico la aplicación de la evaluación del equipo auditor una vez finalice la Auditoria, en la modalidad de encuesta digital. El Responsable del Proceso Auditado, evaluará de manera objetiva el desempeño de los auditores diligenciando el link de la encuesta. La Oficina de Control Interno realizará el análisis de los resultados una vez al año, con base en la información consolidada y remitida por el Área de Tecnologías y Sistemas de Información. Con base en los resultados de los aspectos evaluados sobre el desempeño de los Auditores Internos, el Jefe de la Oficina de Control Interno adoptará las acciones pertinentes, orientadas al fortalecimiento de las competencias que se requieran para el mejoramiento continuo del proceso, las cuales se llevaran a cabo según lo definido en el procedimiento Elaboración del Plan Institucional de Capacitación, Plan Anual de Bienestar Social e Incentivos y el SG-SST (P-TH-05). 11. AUDITORIAS INTERNAS A LA OFICINA DE CONTROL INTERNO Las Auditorías Internas a la Oficina de Control Interno las ejecutarán los auditores designados para participar en los ciclos de Auditoría Interna al SIGEPRE, pertenecientes a procesos diferentes al de Evaluación, Control y Mejoramiento a fin de garantizar el principio de objetividad e independencia. El Auditor Líder designado será el responsable de preparar, aprobar y comunicar al Jefe de la Oficina de Control Interno:

1. El Plan General de Auditoría. 2. El Plan detallado de Auditoría. 3. El Informe preliminar y final de Auditoría Interna.


50

Proceso asociado


Código M-EM-01

Versión 8

Todo lo anterior se deberá presentar de acuerdo con los lineamientos emanados en el presente Manual, en el Procedimiento de Auditorías Internas P-EM-01 y en las directrices establecidas de forma general por el Jefe de la Oficina de Control Interno. En los casos que el auditor líder requiera asesoría por parte de la Oficina de Control Interno para el desarrollo de la Auditoría, podrá solicitarla sin que esto interfiera en el desarrollo del ejercicio auditor. 12. AUDITORIAS SECTORIALES Los auditores internos de la Presidencia de la República podrán acompañar y apoyar la planeación, ejecución y cierre de las auditorías internas a las Entidades del Sector que requieran conocimientos especializados y se acuerden en el Comité Sectorial de Auditoría. Los Auditores Internos realizarán la planeación y ejecución de las auditorías internas de acuerdo con los requisitos establecidos por cada Entidad.

13. SEGUIMIENTO Y VERIFICACIÓN DE LA OFICINA DE CONTROL INTERNO En cumplimiento del rol de evaluación y seguimiento de la Oficina de Control Interno, se determinó que para los casos en que se requieran verificaciones a actividades puntuales, como revisar el reporte de información en cumplimiento a un requisito legal, técnico o de la organización, los auditores deberán efectuar la verificación correspondiente sin requerir de la aplicación total del procedimiento de Auditorías Internas, esto es no elaborar Plan General de Auditoria ni reunión de apertura o cierre, y se remitirá una única versión del Informe de Seguimiento y Verificación. El informe se constituye con la presentación del Formato Seguimiento y Verificación (F-EM-14) debidamente diligenciado por el auditor y firmado tanto por el responsable de la actividad como por el auditor. En el mismo sentido de efectuar seguimiento por parte de la Oficina de Control Interno, se determinó que trimestralmente se deberá presentar un informe de seguimiento a la gestión adelantada por los procesos y dependencias en cumplimiento de las metas y objetivos institucionales. Esta actividad se realizará por los auditores de la Oficina de Control Interno y se deberá registrar en el Formato Seguimiento a la Gestión de los Procesos y/o dependencias (F-EM-18), para presentación al Jefe de la Oficina.


51

Proceso asociado


Código M-EM-01

Versión 8

Por lo anterior, no requiere de la aplicación del Procedimiento de Auditorías Internas.

14. MARCO LEGAL Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos Evaluación, control y mejoramiento – Normograma o en el campo de documentos asociados cuando se consulta el documento.

15. REQUISITOS TÉCNICOS Norma Técnica Colombiana NTC – ISO 9000:2015 Sistema de Gestión de

la Calidad – Fundamentos y Vocabulario. Norma Técnica Colombiana NTC – ISO 9001:2015 Sistemas de Gestión de

la Calidad. Norma Técnica Colombiana NTC – ISO 19011:2012 Directrices para la

Auditoría de los Sistemas de Gestión. Dimensión de Control Interno – MECI adoptado mediante Decreto 1499

de 2017. Marco Internacional para la práctica profesional de la Auditoría Interna.

16. DOCUMENTOS ASOCIADOS Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos Evaluación, Control y Mejoramiento, Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.

17. RESPONSABLE DEL DOCUMENTO Jefe Oficina de Control Interno

Documents

MANUAL DE AUDITORIAS INTERNAS - dapre.presidencia.gov.co · MANUAL DE AUDITORÍAS INTERNAS 4 Proceso asociado y Mejoramiento Evaluación, Control Código M -EM 01 Versión 8 INTRODUCCIÓN