v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

*20155000103791*

 

Al contestar por favor cite estos datos:

 

Radicado No.: 20155000103791

 

Fecha: 22/06/2015 04:13:54 p.m.

 

Bogotá D.C.,

 

Referencia: Aclaraciones sobre el ciclo de auditorías. Radicados No. 20152060097002 del 25 de mayo de 2015 y 20152060096222 del 25 de mayo de 2015.

 

En respuesta a su solicitud de la referencia, a continuación me permito responder las inquietudes relacionadas en su comunicación en los siguientes términos:

 

CONSULTA:

 

(…)

 

Nos permitimos solicitar concepto frente a si es de obligatorio cumplimiento realizar un ciclo completo de auditorías de calidad para la vigencia 2015, teniendo en cuenta el desgaste administrativo que se puede generar al interior de la entidad, toda vez que se considera podría saturarse a los procesos con reiteradas visitas de auditoría bien sea externas (pre-auditoría y auditoría de certificación) y/o internas (ciclo de auditorías internas de calidad programado a los 22 procesos).

 

De igual forma, solicitamos asesoría frente a la mejor metodología a seguir al respecto, teniendo en cuenta lo anunciado, y de no saturar a los procesos con auditorías de calidad, sin dejar de dar cumplimiento a la normatividad vigente aplicable.

 

ANÁLISIS:

 

Para dar respuesta a sus inquietudes nos permitimos realizar las siguientes precisiones:

 

Para dar claridad sobre los procesos auditores que se surten en las entidades, es relevante mencionar en primera instancia respecto de las auditorías que realizan las Oficinas de Control Interno, en cumplimiento de su rol de evaluación y seguimiento establecido en el artículo 2.2.21.5.3 del Capítulo 5 del Decreto 1083 de 2015 “Por medio del cual se expide el Decreto Único Reglamentario del Sector de Función Pública”, que la guía de auditoría para entidades públicas emitida por este Departamento Administrativo define la auditoría interna como:

 

Un examen sistemático, objetivo e independiente de los procesos, actividades, operaciones y resultados de una Entidad Pública, permite emitir juicios basados en evidencias sobre los aspectos más importantes de la gestión, los resultados obtenidos y la satisfacción de los diferentes grupos de interés. (Subrayado fuera de texto).

 

Con respecto a las auditorías que se realizan con el fin de evaluar el Sistema de Gestión de la Calidad en las entidades, la Norma Técnica Colombiana NTC-ISO19011 “Directrices para la Auditoría de los Sistemas de Gestión” en su numeral 3 de términos y definiciones establece sobre la auditoría interna lo siguiente:

 

3.1 Auditoría. Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (3.3 Evidencia de auditoría) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. (Subrayado fuera de texto).

 

(…)

 

NOTA 3. Cuando dos o más sistemas de gestión de disciplinas diferentes (por ejemplo, de calidad, ambiental y salud ocupacional) se auditan juntos, se denomina auditoría combinada.

 

(…)

 

Como puede observarse en lo que respecta al concepto básico de la auditoría interna se trata en ambos ámbitos de un proceso sistemático, que debe desarrollarse bajo los principios de objetividad e independencia y como elementos básicos de análisis se encuentran los criterios y la evidencias de auditoría, a partir de las cuales es posible establecer o emitir opiniones, observaciones o hallazgos respecto de los procesos, procedimientos o proyectos que se estén evaluando.

 

Ahora bien desde ambos ámbitos (control interno y calidad) se establecen principios básicos necesarios para realizar una programación eficiente y efectiva de las auditorías a realizar, teniendo en cuenta el universo de auditoría, el cual de acuerdo a las normas internacionales en materia de auditoría interna lo definen como:

 

Norma Principalmente relacionada:

2010 – Planificación

 

(…)

 

Consejo para la práctica 2010-1:

 

1. (…) El universo de auditoría es una lista de todas las auditorías posible que pudieran realizarse. (Subrayado fuera de texto)

 

2. El universo de auditoría puede incluir componentes del plan estratégico de la organización. Los planes estratégicos probablemente también reflejarán la actitud de la organización hacia el riesgo y el grado de dificultad para cumplir con los objetivos planificados. El universo de auditoría estará normalmente influenciado por los resultados del proceso de gestión de riesgos.

 

(...)

 

4. El universo de auditoría y el plan de auditoría relacionado se mantienen actualizados de modo de reflejar los cambios en la dirección de la gestión, objetivos, énfasis y enfoques. Es aconsejable evaluar el universo de auditoría al menos una vez al año, con el fin de que refleje las estrategias y la dirección más actualizadas de la organización. En algunas situaciones, los planes de auditoría pueden tener que actualizarse más frecuentemente (por ejemplo trimestralmente), en respuesta a los cambios en los negocios, operaciones, sistemas y controles de la organización.

 

5. El calendario de trabajo de auditoría está basado, entre otros factores, en una evaluación de riesgos y exposiciones. Establecer prioridades es necesario para tomar decisiones al asignar los recursos relativos. (…)(Subrayado fuera de texto)

 

De este modo, a partir del análisis del universo de auditoría es posible entrar a realizar una priorización de los procesos a auditar, para lo cual es necesario tener en cuenta:

 

Para establecer las prioridades en los programas de trabajo se debe tener en cuenta lo siguiente¹ :

 

Las fechas y los resultados del último trabajo.

 

Las evaluaciones actualizadas de los riesgos y la eficacia de la gestión de riesgos y los procesos de control.

 

Los requerimientos formulados por la Alta Dirección. (…)

 

Los cambios realizados y las capacidades del personal de auditoría. El programa de trabajo debe ser lo suficientemente flexible como para cubrir las exigencias no esperadas que afectan la actividad de auditoría interna.

 

En el mismo sentido la Norma Técnica Colombiana NTC-ISO19011“Directrices para la Auditoría de los Sistemas de Gestión” en su numeral 5.1 Generalidades, establece respecto del programa de auditorías lo siguiente:

 

Un programa de auditoría también incluye todas las actividades necesarias para planificar y organizar el tipo y número de auditorías, y para proporcionar los recursos para llevarlas a cabo de forma eficaz y eficiente dentro de los plazos establecidos. (Subrayado fuera de texto)

 

(…)

 

Aquéllos a los que se ha asignado la responsabilidad de gestionar el programa de auditoría deberían:

 

a) establecer, implementar, realizar el seguimiento, revisar y mejorar el programa de auditoría, y

 

b) identificar los recursos necesarios y asegurarse de que se proporcionan.

 

En este orden de ideas, tanto las auditorías al Sistema de Gestión de la Calidad como las que se realizan por parte de la Oficina de Control Interno deben responder a una planificación y al análisis de diferentes factores como son: los resultados de las auditorías previas, las solicitudes específicas provenientes de la Alta Dirección de la entidad, el seguimiento a los riesgos de los procesos y otros temas que puedan resultar de relevancia estratégica para la entidad, información a partir de la cual es posible establecer el ciclo de auditorías, que en la mayoría de los casos puede abarcar más de una vigencia, dependiendo de la complejidad de la entidad y del número de procesos con que cuenta.

 

Es importante mencionar que las buenas prácticas de auditoría interna suministran lineamientos claros acerca de la forma como los procesos auditores pueden agregar valor a la organización, mediante la entrega de información vital para la toma de decisiones, la evaluación de la gestión del riesgo, que incluye el análisis de la efectividad de los controles establecidos y la posible exposición al riesgo en caso de materialización, entre otros aspectos. En forma general, se podría afirmar que los procesos de auditoría deben responder a las orientaciones estratégicas de la organización y de la gestión del riesgo para que puedan ser efectivas, independientemente del ámbito al cual nos estemos refiriendo (control interno o calidad).

 

En consecuencia, cuando se programan auditorías a todos los procesos sin mediar un análisis de riesgos y de los aspectos arriba explicados, que permita generar una priorización, los tiempos para la planeación y ejecución se reducen en una proporción importante, lo cual no permite realizar auditorías con la profundidad requerida y no aportan mayor información para la mejora y la toma de decisiones por parte de los líderes de los procesos y de la Alta Dirección en general.

 

Ahora bien, dado lo expresado en su comunicación respecto de los ciclos completos de auditoría que se han venido llevando a cabo en un corto lapso de tiempo, dada la necesidad de certificación del Sistema de Gestión de la Calidad de su entidad, sugerimos revisar los resultados que a la fecha tienen de tales auditorías, con el fin de establecer los procesos que prioritariamente requieren acciones de mejora de cara a la visita del ente auditor, con el fin de no someter a todos los procesos a nuevas auditorías, las cuales, dado el corto tiempo para su ejecución no tendrían mayor impacto para el proceso de auditoría de certificación que van a llevar a cabo.

 

Será relevante así mismo que los ajustes que se realicen pasen por procesos de difusión y capacitación para todos los servidores públicos, con el fin de que entiendan el propósito que se persigue con la certificación y su papel frente al Sistema de Gestión de la calidad y del Sistema de Gestión Integrado en su conjunto, de modo tal que las acciones de mejora no se conviertan en correcciones de forma que no aportan a la eficacia del Sistema de Gestión de la Calidad.

 

CONCLUSIÓN:

 

De acuerdo a lo anteriormente expuesto en criterio de esta Dirección los ciclos completos de auditorías deben tener asociados procesos de planeación específicos, donde se analice la información proveniente de los resultados de las auditorías previas, las solicitudes específicas de la Alta Dirección de la entidad, el seguimiento a los riesgos de los procesos y otros temas que puedan resultar de relevancia estratégica para la entidad, de modo tal que pueda darse prioridad a aquellos procesos con mayor exposición al riesgo o a aquellos que por su importancia estratégica requieren mayor seguimiento al desarrollo de sus actividades. De este modo la auditoría realmente aporta o genera valor para la entidad. Estos ciclos de auditoría bajo el enfoque de priorización explicado en el análisis de la presente comunicación puede cubrir más de una vigencia dependiendo de la complejidad de la entidad y del número de procesos con que cuenta, situación que deben ustedes analizar internamente y ajustar su programación si es el caso.

 

Para el caso específico de su consulta, dadas las auditorías que ya han realizado de cara a la visita del ente certificador, sugerimos revisar los resultados que a la fecha tienen de las mismas, con el fin de establecer los procesos que prioritariamente requieren acciones de mejora, con el fin de no someter todos los procesos a nuevas auditorías, las cuales, dado el corto tiempo para su ejecución no tendrían mayor impacto para el proceso de auditoría de certificación que van a llevar a cabo.

 

Estaremos gustosos de continuar prestando asesoría y apoyo a esa entidad en materia de Control Interno, cualquier duda que tenga al respecto estaremos atentos para orientarlos, en los teléfonos 3344080-87 ext. 146-126-165.

 

El presente concepto se emite con el alcance del artículo 25 del Código Contencioso Administrativo.

 

Cordialmente,

 

MARÍA DEL PILAR GARCIA GONZÁLEZ

 

Directora de Control Interno y Racionalización de Trámites

 

NOTAS DE PIE DE PÁGINA

 

1 THE INSTITUTE OF INTERNAL AUDITORS. FUNDACIÓN DE INVESTIGACIONES. Auditoría Interna: Servicios de Aseguramiento y Consulta.2009. p. 8-11

 

MYRIAN CUBILLOS / MARÍA DEL PILAR GARCIA GONZÁLEZ

 

DCI / 500.4.6