Este instructivo aplica para las auditorias programadas en el Plan Anual de Auditorías aprobado por el Comité Institucional Coordinador de Control Interno de la Universidad, para las auditorías obligatorias según normatividad interna y externa y demás particulares solicitadas por dependencias, áreas, proyectos y demás según se requiera.

Comprende la definición de responsabilidades y las actividades comprendidas desde la planificación de las auditorías, su realización, seguimiento y verificación, la difusión de la información de los resultados, la recolección y mantenimiento de los registros que dan evidencia de su conformidad y el acompañamiento a los responsables en la elaboración y seguimiento a los planes de mejoramiento que se deriven de los resultados obtenidos

RESPONSABILIDAD:

1. Corresponde a la Oficina de Control Interno de Gestión planificar el programa anual de auditorías, el cual debe ser socializado y aprobado por el Comité Institucional Coordinador de Control Interno. De igual manera le corresponde la coordinación de la ejecución del programa con apoyo de los auditores internos de la Oficina, revisar, aprobar y socializar los informes que se deriven del ejercicio auditor a los responsables de las Oficinas y dependencias. Finalmente realizar el seguimiento a los planes de mejoramiento que se deriven de las auditorías realizadas.

2. Corresponde Comité Institucional de Control Interno aprobar el Programa Anual de Auditorías, conocer los resultados de las auditorías realizadas y promover la toma de decisiones y acciones eficaces para contrarrestar las situaciones identificadas en el marco de la Revisión por la Alta Dirección.

3. Corresponde a los jefes de oficina, dependencias y demás, atender el proceso auditor según planificación realizada en el Programa de Auditorías, aportar las evidencias que sean requeridas, analizar los informes de resultados y formular las acciones que sean eficaces para intervenir las causas identificadas de los problemas detectados. De igual manera garantizar la ejecución del plan de mejoramiento en el respectivo proceso.

4. Corresponde al equipo de auditores de la Oficina de Control Interno establecer el Plan de auditoría específico, preparar la lista de verificación, ejecutar la auditoría y entregar los informes finales para ser socializados por parte de la Oficina de Control Interno de Gestión.

5. Corresponde a los auditados atender el proceso de auditoría, suministrar las evidencias que sean requeridas, atender las diferentes entrevistas y analizar los informes de auditoría resultantes con el fin de participar en la toma de decisiones y acciones pertinentes para la mejora.

DEFINICIONES Y TÉRMINOS: Según ISO 19011

Auditoría: proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.

Auditor: Persona que lleva a cabo una auditoría.

Auditado: Organización, proceso o persona que es auditado.

Equipo auditor: Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario de expertos técnicos.  

Experto Técnico: Persona que aporta conocimientos o experiencia específica al equipo auditor.

Criterios de auditoría: Conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditoría.

 Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.

Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.

Conclusiones de la auditoría: Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.

Programa de auditoría: Detalles acordados para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico.

Plan de auditoría: Descripción de las actividades y de los detalles acordados de una auditoría.

Alcance de la auditoría: Extensión y límites de una auditoría.

Competencia: Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos.

Riesgo: Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias. La tendencia más común es la valoración del riesgo como una amenaza; en este sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia. Pero existe también la percepción del riesgo como una oportunidad, lo cual implica que su gestión está dirigida a maximizar los resultados que este genera. (Definición del DAFP).  

1. PLANIFICACION DE LAS AUDITORIAS

 a) Es responsabilidad del Asesor de la Oficina de Control Interno de Gestión, planificar e implementar un Programa Anual de Auditorías, dentro del cual se incluye el programa de auditorías internas, este debe ser aprobado por el Comité Institucional de Control Interno.

b) Para definir los criterios de auditoría que serán verificados en el programa anual, deben definirse las situaciones objeto de control que son de relevancia y prioridad institucionales y que serán objeto de seguimiento en la respectiva vigencia.   

c) Se debe establecer el Objetivo del programa de auditorías internas, definiendo lo que se pretende lograr con el conjunto de auditorías.

d) El alcance del Programa de Auditoría describe la extensión y los límites de la auditoría, incluye actividades, proyectos, etc., que van a ser auditados, así como el periodo de tiempo cubierto por el programa.

e) La Oficina de Control Interno de Gestión establece los riesgos potenciales que ocasionarían el incumplimiento de los objetivos del Programa de Auditoría.

El auditor debe:

• Establecer los riesgos de la unidad auditable con base en el conocimiento y estructura de los mismos y, verificar de los riesgos establecidos cuáles se encuentran incluidos en la matriz de riesgos. 

• Revisar los controles asociados al riesgo diseñados por la entidad en cuanto a ¿quién lo hace?, periodicidad, ¿qué se hace?, ¿cómo lo hace?, en caso de observar excepciones, ¿qué pasa? y la evidencia), e identificar si existen debilidades en el diseño del control.

• Realizar diferentes pruebas como la de recorrido o prueba del paso a paso que le permitan verificar la existencia de controles clave en las actividades ordinarias y si están funcionando adecuadamente.

• Validar tanto el diseño como la ejecución y la documentación del control.

• Riesgos con grandes diferencias entre el riesgo inherente y el riesgo residual 

• Riesgos inherentes extremos. 

• Planeación de pruebas a controles (diseño, efectividad, detalle). Cada actividad de auditoría (entendimiento del proceso, área o unidad, evaluación del riesgo y evaluación y prueba de controles) será desarrollada mediante: Lectura de la documentación vigente del proceso o unidad. Entrevistas/talleres con el líder del proceso o unidad y el personal involucrado en el mismo. Inspección de documentos relacionados con la ejecución del proceso o unidad; Solicitud de información adicional, requerida dentro del análisis del proceso o unidad. 

f) El Programa aprobado solo puede ser modificado por solicitud del Comité Institucional de Control Interno; así mismo la ejecución de auditorías extraordinarias.  

g) La determinación de la viabilidad en la programación de las auditorías incluye la consideración de factores como la disponibilidad de información suficiente y apropiada, la cooperación adecuada de los auditados, el tiempo y los recursos adecuados, entre otros que se considere intervienen en el normal desarrollo futuro del programa.

2. COMPETENCIA DE LOS AUDITORES INTERNOS

El Asesor de la Oficina de Control Interno de Gestión verifica el mínimo de los requisitos que deben tener los auditores internos de su equipo de trabajo:

1) Educación: Mínimo título técnico o tecnológico en cualquier campo.

2) Formación: Asistencia y aprobación al Diplomado o curso de auditores internos ofrecido por la Universidad o certificar la asistencia y aprobación a 24 horas de capacitación en auditorías internas. Demostrar conocimiento frente al Procedimiento para planificar y ejecutar auditorías internas del Sistema Integrado de Gestión.

3) Experiencia: Por lo menos un (1) año de labor en la Universidad.

4) Habilidades:

• Conducta ética – fundamento de la profesionalidad, seguridad en sí mismo.

• Presentación ecuánime - Obligación de informar con veracidad y exactitud.

• Debido cuidado profesional – La aplicación de diligencia y juicio al auditar, diplomacia.

• Independencia – Imparcialidad y objetividad.

• Enfoque basado en evidencia – Conclusiones fiables y demostrables.

• Mentalidad abierta - Observador, Perceptivo, Versátil, Tenaz, Decidido.

• Para auditores del sistema de control interno, aptitud para describir los métodos y principios de dicho sistema.

Los auditores deberán recibir formación en los siguientes temas con el fin de que tengan los conocimientos y habilidades necesario para desarrollar las auditorías:

Principios, procedimientos y métodos de auditoría. 

• Documentos del Sistema Integrado de Gestión y de referencia, que incluya, la interacción entre los componentes del SIG, las normas aplicables, documentación del SIG. 

• Contexto de la institución.

• Requisitos legales y contractuales aplicables y otros requisitos que aplican al auditado.

• Conocimientos y habilidades específicos de la disciplina que sea requerida en el proceso de auditoría.

Las auditorías internas y obligatorias son efectuadas por los auditores del equipo de trabajo de la Oficina de Control Interno de Gestión, liderado por el Asesor de esta oficina.

3. EJECUCION DE LAS AUDITORIAS INTERNAS

Planificación de la ejecución de la auditoría

a) Con el Programa de Auditorías Internas, elaborado, aprobado y socializado y los equipos auditores conformados, inicia la ejecución de las auditorías, realizando las siguientes actividades previas:

• Elaboración del Plan de Auditoría: Este proporciona la información relacionada con el objetivo de la auditoría, los criterios de auditoría y documentos de referencia, el alcance de la auditoría, fecha y lugar donde será realizada, hora y duración estimada.

• Asignación de tareas al equipo auditor: El auditor responsable puede asignar dentro de su grupo las tareas que involucran la preparación de la auditoría. Adicionalmente el auditor responsable asigna a cada miembro del equipo auditor, funciones, áreas, lugares o actividades específicas.

• Preparación de los documentos de trabajo: involucra la preparación de la Lista de Verificación utilizada para guiar el desarrollo de la auditoría, en la que deben consignarse las preguntas a realizar y situaciones a verificar según revisión previa de documentación, informes de auditoría anteriores, entre otros insumos.

Actividades de ejecución de la auditoría:

• La ejecución de la auditoría inicia con una reunión de apertura con el auditado y opcionalmente su equipo de trabajo, en la que se confirma el Plan de Auditoría, se aclaran detalles de cómo se llevará a cabo la misma y se genera el espacio para que el auditado exprese sus inquietudes. De esta reunión se registra la asistencia en el informe de la auditoría. En el caso de una auditoría obligatoria, es suficiente con informar al auditado mediante oficio del inicio de la auditoría y la solicitud de la información de conformidad con la normatividad interna y externa aplicable a la auditoría obligatoria.

• La recopilación y verificación de la información (evidencia objetiva) se registra en las Listas de Verificación e incluye las declaraciones en entrevistas, observaciones de actividades y revisión de documentos.

• El auditor responsable puede disponer de un tiempo, durante la ejecución de la auditoría para evaluar la información y clasificar los hallazgos con su equipo auditor en tanto así lo establezca en el Plan de Auditoría.

• Al concluir la fase de recolección de información, la evidencia objetiva de la auditoría es evaluada frente a los criterios de auditoría para generar los hallazgos de auditoría. El auditor responsable se reúne con su equipo auditor con el fin de revisar los hallazgos y registrarlos adecuadamente en la lista de verificación.

• Con esta información registrada, el equipo auditor o auditor prepara la reunión de cierre de la auditoría o el envío de un informe preliminar en la que se deben exponer los hallazgos.

• La reunión de cierre se considera opcional, dado que además se puede obviar por el envío del informe preliminar con el objeto de que el auditado apruebe los hallazgos o los desvirtúe justificadamente.  

• El Informe de Auditoría Interna es elaborado por el equipo auditor de la oficina de Control de Gestión bajo la supervisión del Asesor de la Oficina, debe contener los objetivos de la auditoría, el alcance, la identificación de los auditados, la identificación de los auditores, las fechas, los hallazgos y enviado al auditado de manera preliminar para su revisión.

• Los funcionarios de apoyo de la Oficina de Control Interno de Gestión en cabeza del Asesor acompañan a los auditados de los procesos en el análisis de los hallazgos, para la formulación del Plan de Mejoramiento

4. EVALUACION DE LOS AUDITORES INTERNOS Y RETROALIMENTACION DE LOS RESULTADOS

El Asesor de la Oficina de Control Interno de Gestión se reúne con su equipo auditor y realiza una evaluación objetiva en la que se tendrán en cuenta los criterios relevantes para medir su desempeño. Esto con el fin de promover la mejora de las competencias de los auditores a través de acciones de capacitación y acompañamiento.

5. EVALUACIÓN Y SEGUIMIENTO DEL DESEMPEÑO DEL PROGRAMA DE AUDITORÍAS

El Asesor de la Oficina de Control Interno de Gestión prepara un Informe General de Auditorías con el propósito de informar al Comité Institucional de Control Interno respecto de los resultados obtenidos en la ejecución de las auditorías efectuadas y las eventualidades presentadas durante su ejecución. Este informe contiene información estadísticamente que muestra la eficacia del cumplimiento del Programa de Auditorías concluido y su desempeño comparativo con ciclos anteriores. Así mismo, contiene la información comparativa de los resultados obtenidos en respuesta al objetivo y alcance planificados.