Unidad Gestión de

didáctica Auditorías Internas

Subdirección de Proyección Institucional ESAP

 Gestión de Auditorías Internas

Escuela Superior de Administración Pública Gestión de Auditorías Internas

ESAP.
Autor
Pedro Eugenio Medellín Torres Andrés Merizalde
Director Nacional
Corrección de estilo, acompañamiento
Fernando Guzmán Rodríguez pedagógico, diseño instruccional, diseño
Subdirector Académico gráfico y virtualización.

Jairo Díaz Pinzón Equipo Componente 1

Subdirector de Alto Gobierno Fortalecimiento del proceso de
capacitación virtual
Mauricio Vasco Moscovith Proyecto ESAP – CMA
Subdirector de Proyección Institucional
Fecha última versión
Ruby Maritza Gerena Useche Junio 2019
Jefe Departamento de Capacitación

ESAP - CMA ha verificado, hasta donde es posible, que el contenido de los enlaces web citados
y presentados en este curso sean verídicos y que correspondan; sin embargo, y debido a la
naturaleza dinámica de internet, ESAP - CMA no puede responsabilizarse por el correcto y
adecuado funcionamiento de los mismos.

Las imágenes de este documento han sido compradas a través de: https://www.123rf.com/
 Gestión de Auditorías Internas

Objetivo de aprendizaje.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1. Desarrollo temático: gestión de auditorías internas. . . . . . . . . . . . . 7

1.1. Generalidades y conceptos precedentes. . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2. Principios de la auditoría y de los auditores. . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3. Establecimiento del objetivo de un programa de auditoría. . . . . . . . . . . . . . . 18
1.4. Determinación y evaluación de riesgos y oportunidades del programa de
auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.5. Establecimiento del programa de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . 21
1.6. Implementación del programa de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.7. Seguimiento del programa de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.8. Revisión y mejora del programa de auditoría. . . . . . . . . . . . . . . . . . . . . . . . 28

Glosario.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Lista de Referencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3
 Gestión de Auditorías Internas

Objetivo
de Aprendizaje
Comprender la estructura y funcionalidad de la fase de programación para
la implementación de una auditoría interna, a partir de las directrices y reco-
mendaciones planteadas por fuentes nacionales e internacionales expertas.

4
 Gestión de Auditorías Internas

Resumen
La auditoría interna se ha consolidado en el mundo como un proceso de
evaluación independiente al servicio de la alta dirección y de los respon-
sables de los procesos de una organización, para que puedan tener una
mirada global y sistémica del desempeño de toda la organización y de su
capacidad para cumplir requisitos y mejorar continuamente.

Entes expertos en auditoría interna han desarrollado propuestas con orien-

taciones metodológicas para planificar y realizar auditorías; por ello, la pre-
sente unidad pretende recoger algunas de ellas, las cuales pueden agregar
valor al desarrollo de las auditorías que se realizan en organizaciones de los
sectores público y privado.

La unidad se desarrolla siguiendo el hilo conductor que presenta la guía

GTC ISO19011 (2018), recientemente actualizada a su tercera versión y
que desde la publicación de las dos primeras ediciones ha buscado brindar
herramientas efectivas para la realización de auditorías a sistemas de ges-
tión, ajustándose cada vez a un enfoque más amplio y a orientaciones que
se cntren en las necesidades actuales.

5
 Gestión de Auditorías Internas

La GTC ISO19011 (2018) proporciona orientación para todos los tamaños

y tipos de organizaciones y auditorías de distintos alcances y escalas, inclu-
yendo aquellas realizadas por equipos de auditorías grandes, típicamente
de organizaciones grandes y aquellas realizadas por auditores individuales,
ya sea en organizaciones grandes o pequeñas. “Esta orientación debería
adaptarse según sea apropiado al alcance, la complejidad y la escala del
programa de auditoría” (p.9).

La unidad presenta orientaciones desde la GTC ISO19011 (2018), comple-

mentándolas con pautas de otras Normas Internacionales para el ejercicio
de la auditoría interna y con las orientaciones de Función Pública (2018),
publicadas en la Guía de Auditoría Para Entidades Públicas - Versión 3.

6
 Gestión de Auditorías Internas

Desarrollo temático:
Tema 1
gestión de auditorías internas

La unidad “Gestión de Auditorías Internas” plantea una secuencia de actividades basada en el ciclo
de gestión PHVA (Figura 1) para la programación de una auditoría, resaltando la importancia de
que los líderes del programa de auditorías logren tener el mayor conocimiento de base de la or-
ganización objeto del estudio, para lograr alinear este ejercicio con la planeación estratégica y así
poder determinar un universo de una auditoría pertinente, formular un programa, implementarlo y
ajustarlo de acuerdo a las necesidades o pertinencias que con el auditado se establezcan (Función
Pública, 2018).

El participante de esta unidad tendrá capacidad de comprender algunas directrices de la GTC

ISO19011 (2018) y su relación con orientaciones de la Guía de auditoría para entidades públicas
(Función Pública, 2018), con respecto a la gestión de un programa anual de una auditoría, en lo
relativo a poder establecer objetivos; determinar y evaluar riesgos y oportunidades asociadas; es-
tablecer, implementar, hacerle seguimiento, revisar y mejorar un programa de auditoría.

7
 Gestión de Auditorías Internas

Establecimiento de los objetivos del

programa de auditoría

Determinación y evaluación de los

riesgos y oportunidades del

Planear
programa de auditoría

Ha Establecimiento del
ar
programa de auditoría
ne

ce
Pla

Gestión de
Auditoría
Hacer

Implementación del
Interna programa de auditoría
Ve
r

r
ua

ific

t ar
Ac
Verificar

Seguimiento del programa

de auditoría
Actuar

Revisión y mejora del programa

Figura 1: Gestión de una auditoría interna.

Fuente: Elaboración propia

8

En el portal web https://urlzs.com/B5pex, se
sugiere a los participantes descargar la “caja
de herramientas” que contiene una serie de
documentos, plantillas y formatos de mucha
utilidad para la aplicación de las auditorías in-
ternas, modelo de estatuto de auditorías, mo-
delo de código de ética del auditor interno,
modelo cartas de presentación, modelo de in-
formes de auditorías, formatos en hojas de da-
tos para: evaluar el universo de auditorías ba-
sado en riesgos, plan anual de auditorías, plan
para cada auditoría, aplicativos de muestreo,
plan de mejoramiento de procesos y formato
para el seguimiento del plan de mejoramien-
to de procesos (Normas Internacionales para
el Ejercicio Profesional de la Auditoría Interna
(pp. 63) citado en (Función Pública. 2018).
1.1. Generalidades y conceptos pre-
cedentes
La auditoría interna es uno de los principales
elementos de verificación y evaluación del
desempeño de los sistemas de gestión, que
proporciona a la alta dirección de una organi-
zación información del estado de los procesos
para facilitar la toma oportuna de decisiones.
Por otra parte, lograr realizar auditorías efica-
ces y efectivas propone un gran reto a los líde-
res de los programas de auditorías, que deben
9
Gestión de Auditorías Internas
sortear todo tipo de situaciones que pueden
conducir al incumplimiento del objetivo de la
auditoría.
La Guía de Auditoría Para Entidades Públicas -
Versión 3 (2018), partiendo de conceptos pu-
blicados en 2013 por el Instituto de Auditores
Internos, IIA Global, presenta la siguiente defi-
nición de la auditoría interna:
El proceso de auditoría interna adelantado por
las Oficinas de Control Interno o quien haga
sus veces en las entidades del Estado, debe
estar enfocado hacia una actividad indepen-
diente y objetiva de aseguramiento y consul-
toría concebida para agregar valor y mejorar
las operaciones de la entidad. Adicionalmente,
este ayuda a las organizaciones a cumplir sus
objetivos, aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia
de los procesos de gestión de riesgos, control
y gobierno (Función Pública. 2018).
 Gestión de Auditorías Internas

En la siguiente figura, se presenta un desglose de la anterior definición.

Logros de los objetivos Aseguramiento Consultoría Enfoque sistemático

de la organización (Auditoría Interna) (asesoría) y disciplinado

Declaracion de la La Oficina de La oficina de Se logra a través

Misión y Visión, Control Interno es Control Interno de la
esencial para quien determina brinda implementación
entender la razón el objetivo y asesoramiento en de las etapas del
de ser de la alcance de la diferentes temas proceso auditor
entidad. auditoría. de acuerdo con el desarrolladas en
análisis de la presente guía,
Categorías de El cliente de aspectos críticos de forma global se
Objetivos de la auditoría evidenciados en la enmarcan en:
entidad: (representante entidad. planificación,
Estratégicos, de legal) puede ejecución y
cumplimiento, solicitar Puede darse a comunicación de
operativos, entre auditorías solicitud de la resultados del
otros, como especiales. administración, se proceso de
marco para definir debe determinar auditoría.
los objetivos de el tiempo y
los trabajos de alcance de la
auditoría. asesoría.

Figura 2: Definición de auditoría interna, según la Guía de Auditoría para Entidades Públicas - Versión 3.
Fuente: Función Pública 2018

10

En cualquier tipo de organización puede desa-
rrollarse apropiadamente una auditoría inter-
na; sin embargo, deben tenerse en cuenta los
siguientes aspectos:
• Los objetivos de la organización.
• Las cuestiones externas e internas perti-
nentes.
• Las necesidades y expectativas de las par-
tes interesadas pertinentes.
• Requisitos de seguridad y confidencialidad
de la información.
El tamaño y extensión de una auditoría debe
basarse en el tamaño, naturaleza y compleji-
dad de la organización; así como los riesgos,
oportunidades y el nivel de madurez del siste-
ma de gestión a auditar.
Desde la Guía de Auditoría Para Entidades Pú-
blicas - Versión 3, se propone una metodología
para llevar a cabo el proceso de auditoría in-
terna (Figura 3), partiendo de la programación
anual de actividades de la oficina de Control
Interno o quien haga sus veces, para después
diseñar la planeación de la auditoría sobre los
riesgos pertinentes evaluados, la ejecución de
la auditoría, la comunicación de los resultados
y el seguimiento de las acciones correctivas.
11
Gestión de Auditorías Internas
Un programa de auditoría o programa anual,
como se describe en la Guía de Auditoría Para
Entidades Públicas - Versión 3, es el principal
elemento que facilita el cálculo y la determi-
nación de las actividades de auditoría que se
deberían realizar y el recurso humano, físico y
tecnológico necesario. La guía GTC ISO19011
(2018), define “Programa de Auditoría “como
los acuerdos para un conjunto de uno o más
auditorías planificadas para un periodo de
tiempo determinado y dirigidos hacia un pro-
pósito específico.
La fase de programación incluye un análisis
integral de todos los componentes internos y
externos de una organización, con el propósito
de establecer los procesos que son más rele-
vantes para cumplir con la misión institucio-
nal, los objetivos estratégicos, presentan algún
tipo de riesgo para usuarios, funcionarios o la
sostenibilidad de la entidad.
La programación de una auditoría debería hacer-
se conforme se mantenga la integridad y no se
ejerza ninguna influencia negativa sobre esta, se
dé prioridad en la asignación de recursos para
lograr el mejor desempeño frente al objetivo de
la auditoría, se designen personas competentes
para los sistemas de gestión a auditar.

El programa de auditoría debería considerar
información e identificar los recursos para rea-
lizar las auditorías eficaz y eficientemente den-
tro de los tiempos estipulados.
Esta información debería incluir los objetivos
de la auditoría, los riesgos y oportunidades
asociados al ejercicio de la auditoría y las es-
trategias para afrontarlos, alcance del progra-
ma de auditoría, cronograma detallado, tipos
de auditorías (internas, externas), criterios para
seleccionar al equipo auditor, métodos de au-
ditoría y toda la información documentada
pertinente.
Según la norma GTC ISO19011 (2018), un pro-
grama de auditoría debería incluir la siguiente
información:
a. Objetivos del programa de auditoría
b. Riesgos y oportunidades asociados con el
programa de auditoría y las acciones para
tratarlos
c. Alcance de cada auditoría dentro el pro-
grama de auditoría
d. Calendario de las auditorías
e. Tipos de auditoría, tales como internas o
externas
f. Criterios de auditoría
12
Gestión de Auditorías Internas
g. Métodos de auditoría a emplear
h. Criterios para seleccionar a los miembros
del equipo auditor
i. Información documentada pertinente
En la medida que la Norma GTC ISO19011
(2018) amplía y profundiza sobre la gestión
de un programa de auditoría y adiciona el
enfoque basado en riesgos del programa de
auditoría, tomaremos esta como guía de refe-
rencia, interpretando los términos y procedi-
mientos que aparecen en los tres documentos
de referencia, con respecto a la gestión de un
programa de auditoría o programación anual
de la oficina de control Interno o quien haga
sus veces, como se denomina esta fase en la
Guía de Auditoría para Entidades Públicas -
Versión 3.
A continuación, se presentan algunos térmi-
nos y definiciones fundamentales para la ges-
tión de auditorías internas:
a. Auditoría: proceso sistemático, indepen-
diente y documentado para obtener evi-
dencias objetivas y evaluarlas de manera
objetiva con el fin de determinar el grado en
que se cumplen los criterios de auditoría.

b. Auditoría combinada: auditoría llevada a
cabo a un único auditado en dos o más
sistemas de gestión
c. Auditoría conjunta: auditoría llevada a
cabo a un único auditado por dos o más
organizaciones auditadas.
d. Programa de auditoría: acuerdos para un
conjunto de uno o más auditorías planifica-
das para un periodo de tiempo determinado
y dirigidos hacia un propósito específico.
e. Alcance de auditoría: extensión y límites
de auditorías.
f. Plan de auditoría: descripción de las acti-
vidades y de los detalles acordados de una
auditoría.
g. Criterios de auditoría: conjunto de requi-
sitos usados como referencia frente a la
cual se compara la evidencia objetiva.
h. Evidencia de la auditoría: datos que res-
paldan la resistencia o veracidad de algo.
i. Hallazgos de la auditoría: resultados de la
evaluación de la evidencia recopilada fren-
te a los criterios tenidos en cuenta.
j. Conclusiones de la auditoría: resultados
de una auditoría, tras considerar sus obje-
tivos y todos los hallazgos encontrados en
la misma.
k. Cliente de la auditoría: organizaciones o
persona que solicita una auditoría.
13
Gestión de Auditorías Internas
l. Equipo de auditoría: proceso sistemático,
independiente y documentado para ob-
tener evidencias objetivas y evaluarlas de
manera correcta para que se cumplan los
criterios de auditoría.
m. Auditor: persona que lleva a cabo una au-
ditoría.
n. Experto técnico: persona que aporta co-
nocimientos y experiencia específica al
equipo auditor.
o. Observador: persona que acompaña al
equipo auditor, pero no actúa como uno.
p. Sistema de gestión: conjunto de elementos
interrelacionados de una organización que
interactúan para establecer políticas objeti-
vos y procesos para lograrlos.
q. Riesgo: efecto de incertidumbre.
r. Conformidad: cumplimiento de un requisito.
s. No conformidad: incumplimiento de un
requisito.
t. Competencia: capacidad para aplicar co-
nocimientos y habilidades con el fin de lo-
grar los resultados previstos.
u. Requisito: necesidad o expectativa estable-
cida generalmente implícita u obligatoria.
v. Proceso: conjunto de actividades mutua-
mente relacionadas que utilizan las entida-
des para proporcionar un resultado previsto.
w. Desempeño: resultado medible.
 Gestión de Auditorías Internas

x. Eficacia: grado en el que se realizan las ac- 3. Determinación del universo de auditoría
tividades planificadas y se logran los resul- 4. Formulación del Plan Anual de Auditorías
tados planteados. 5. Inclusión del total de auditorías por desa-
rrollar en la vigencia
La Guía de Auditoría Para Entidades Públicas -
Versión 3, plantea cinco pasos para la gestión
de un programa de Auditoría:

1. Conocimiento de la entidad objeto de

auditoria
2. Alineación de la auditoría con la planea-
ción estratégica

14
 Gestión de Auditorías Internas

• Conocimiento de la Entidad objeto de la

Fase 1 entidad
Programación anual Oficina • Alineación con la planeación estratégica de la
Control Interno (o quien entidad
haga sus veces) • Determinación del universo de la auditoría;
formulación del plan anual de auditorías

• Objetivo y alcance de la auditoría

Fase 2
• Procedimientos y técnicas
Planeación de la auditoría
• Tiempo y asignación de recursos
Fases proceso auditoría

• Reunión de inicio
• Solicitud de información
• Determinación de la muestra de auditoría
• Papeles de trabajo
Fase 3 • Diseño de las pruebas de auditoría
Ejecución de la auditoría • Desarrollo de observaciones
(Se pueden establecer reuniones previas y
comunicaciones preliminares del trabajo de
auditoría)
• Reunión de cierre

• Informe definitivo
Fase 4
• Planes de mejoramiento y seguimiento por
Comunicación de resultados
parte del auditor interno

• Autoevaluación de auditoría
Desempeño de la actividad
• Autoevaluación de la actividad u organización
de auditoría interna
• Perspectiva externa

Figura 3: Fases del proceso de auditoría según la Guía de Auditoría Para Entidades Públicas - Versión 3
Fuente: Función Pública 2018

15

Por otro lado, la GTC ISO19011 (2018) plantea
seis pasos para el programa de auditoría que
involucran:
1. Establecimiento de objetivos del programa
2. Determinación y evaluación de riesgos y
oportunidades del programa
3. Establecimiento de un programa de au-
ditoría que incluye (roles y responsabili-
dades, competencias, establecimiento de
alcance y determinación de recursos)
4. Implementación
5. Seguimiento
6. Revisión y mejora del programa
1.2. Principios de la auditoría y de los
auditores
En la GTC ISO 19011(2018), se enuncian va-
rios principios que se describen a continua-
ción, de los cuales depende el éxito de una
auditoría. Dichos principios son compatibles
y se pueden complementar con las normas
de atributos y desempeño del MIPP, que pre-
sentan mayor nivel de detalle, para hacer del
ejercicio profesional de las auditorías una he-
rramienta eficaz.
A continuación, se presentan los Principios de
la Auditoría Interna:
16
Gestión de Auditorías Internas
a. Integridad: Fundamento de la profesionali-
dad (GTC ISO19011, 2018)
Es una decisión personal de actuar con rec-
titud, honestidad, franqueza y justicia, siendo
consecuente con los principios morales de la
sociedad en que se vive.
Según la GTC ISO19011 (2018), el líder del
programa y los equipos de auditoría deberían:
• Tener un desempeño profesional de audi-
toría ético, honesto y responsable
• Solo comprometerse a realizar auditorías
donde su competencia sea la requerida
• Presentar un trabajo imparcial, ecuánime y
equitativo
• Mantener sensibilidad ante las influencias
sobre su forma de percibir la organización
auditada, mientras se lleva a cabo una au-
ditoría
b. Presentación imparcial: La obligación de
informar con veracidad y exactitud (GTC
ISO19011, 2018)
Los informes y las fuentes de verificación de-
berían poner en evidencia de forma veraz y
exacta las actividades realizadas durante la
auditoría. Se debe informar los obstáculos im-
portantes hallados durante el ejercicio de las

diferencias en la comunicación entre las par-
tes: equipo auditor y auditado (GTC ISO19011,
2018, P. 16). “La comunicación debería ser ve-
raz, exacta, objetiva, oportuna, clara y comple-
ta”.
c. Debido cuidado profesional: la aplica-
ción de diligencia y juicio al auditar (GTC
ISO19011, 2018).
Los auditores deben realizar a cabalidad las
actividades y tareas encomendadas, conside-
rando la gran importancia que estas tienen y
la confianza que deposita en ellos el cliente
de la auditoría que espera juicios razonados y
objetivos que aborden los temas y contextos
que se debieron abordar en la auditoría, man-
teniendo y fortaleciendo los niveles de con-
fianza entre auditor, auditado y cliente.
17
Gestión de Auditorías Internas
d. Confidencialidad: seguridad de la informa-
ción (GTC ISO19011, 2018)
La información de uso confidencial requerida
para los trabajos de auditoría se debe tratar de
forma discreta, evitando que sea usada para
comprometer a alguna de las partes o usada
para beneficios personales o de alguna de las
partes.
e. Independencia: la base de la imparcialidad
de la auditoría y la objetividad de las conclu-
siones de la auditoría (GTC ISO19011, 2018)
La objetividad de las auditorías se alcanza en la
medida que el auditor goce de independencia
y no tenga ningún tipo de vínculo o conflicto
de intereses con el proceso auditado.

f. Enfoque basado en la evidencia: el método
racional para alcanzar conclusiones de las au-
ditorías fiables y reproducibles en un proceso
de auditoría sistemático (GTC ISO19011, 2018)
La objetividad de las conclusiones de la au-
ditoría debería estar soportada en fuentes
de información disponibles, que debieron ser
seleccionadas mediante técnicas de muestreo
adecuadas, durante el tiempo establecido para
llevar a cabo la auditoría.
g. Enfoque basado en riesgos: un enfoque
de auditoría que considera los riesgos y las
oportunidades (GTC ISO19011, 2018)
La identificación y evaluación de los riesgos y
oportunidades que pueden afectar el cumpli-
miento del objetivo de una auditoría deberían
influenciar y darle cierta forma particular a
cada programa de auditoría, porque le facilitan
al líder del programa calcular las actividades,
recursos, medios y condiciones mínimas nece-
sarias para lograr el objetivo de la auditoría.
1.3. Establecimiento del objetivo de un
programa de auditoría
La gestión de un programa de auditoría comienza
con determinar su objetivo general, que debería
ser coherente con los lineamientos estratégicos y
pertinentes al momento que vive la organización.
18
Gestión de Auditorías Internas
Todas las actividades que se planifiquen en el
marco del programa, todos los recursos dis-
puestos y los esfuerzos del equipo auditor se
deberían concentrar en lograr cumplimiento
cabal del objetivo general del programa.
Según la GTC ISO19011 (2018), el objetivo de
un programa de auditoría puede basarse en las
siguientes consideraciones:
a. Las necesidades y expectativas de las par-
tes interesadas; pertinentes, tanto exter-
nas como internas
b. Las características y los requisitos de los
procesos, productos; servicios, proyectos,
y cualquier cambio en ellos
c. Los requisitos del sistema de gestión
d. La necesidad de evaluar a los proveedores
externos
e. El nivel de desempeño del auditado y el
nivel de madurez del sistema de gestión,
como se refleja en los indicadores de des-
empeño pertinentes, la ocurrencia de no
conformidades o incidentes o quejas de las
partes interesadas
f. Los riesgos y oportunidades identificados
para el auditado
g. Los resultados de auditorías previas (p. 19)

La GTC ISO19011 (2018), presenta los siguien-
tes ejemplos de objetivos de un programa de
auditoría:
• Identificar las oportunidades para la mejora
del sistema de gestión y de su desempeño
• Evaluar la capacidad del auditado para de-
terminar su contexto
• Evaluar la capacidad del auditado para de-
terminar los riesgos y oportunidades para
identificar e implementar acciones efica-
ces para tratarlos
• Cumplir todos los requisitos pertinentes,
por ejemplo, los requisitos legales regla-
mentarios, los compromisos de cumpli-
miento, los requisitos con una norma de
sistemas de gestión
19
Gestión de Auditorías Internas
• Obtener y mantener la confianza en la ca-
pacidad de un proveedor externo
• Determinar la idoneidad, la adecuación y
la eficacia continua del sistema de gestión
del auditado
• Evaluar la compatibilidad y la alineación de los
objetivos del sistema de gestión con la direc-
ción estratégica de la organización (p. 10)
1.4. Determinación y evaluación de
riesgos y oportunidades del programa
de auditoría
El líder del programa de auditoría debería iden-
tificar, evaluar y tratar los riesgos y las opor-
tunidades que se puedan llegar a materializar
durante su ejercicio y que afectarían negativa
o positiva el cumplimiento de los objetivos.

Estos riesgos y oportunidades identificadas
deberían comunicarse al cliente de la auditoría
y a quienes van a ser auditados, de manera
que pueda darse un tratamiento adecuado y
no afectar los resultados del ejercicio.
Se pueden presentar riesgos asociados con:
• La planificación de objetivos de auditoría
pertinentes
• El cumplimiento del cronograma de audi-
torías
• Suficiencia de los recursos
• La determinación de la logística
• La selección del equipo auditor
• La comunicación de los procesos
• La eficacia de los canales de comunicación
• La coordinación ineficaz de las auditorías
• El control de la información documentada
• El seguimiento, revisión y mejora del pro-
grama de auditoría
• La información necesaria y suficiente para ha-
llar evidencias del sistema de gestión auditado
• La disponibilidad y cooperación del audi-
tado y la disponibilidad de las evidencias
solicitadas
Las acciones para controlar los riesgos pueden
incluir los siguientes tratamientos:
20
Gestión de Auditorías Internas
• Realizar múltiples auditorías de forma si-
multánea
• Reducir tiempos de desplazamiento al sitio
auditado
• Igualar las competencias del equipo audi-
tor para alcanzar el nivel de competencia
necesario para lograr de forma eficaz los
objetivos de la auditoría
• Coordinar cronogramas de auditorías con
las personas directamente responsables
de los sistemas de gestión auditados
Como subcapítulo de la determinación del
universo de auditorías en la Guía de Auditoría
Para Entidades Públicas - Versión 3 (2018, p.
25) se presenta el subcapítulo “Priorización y
Plan de Rotación de las Auditorías” que enun-
cia la necesidad de priorizar por diferentes ra-
zones. Por ejemplo, si un equipo de auditoría
se enfrenta a un problema económico y se
presentan recursos limitados, es importante
centrarse en los procesos, programas o pro-
yectos más críticos o con mayor criticidad;
para esto es necesario utilizar un modelo de
priorización.
La Guía de Auditoría Para Entidades Públicas -
Versión 3 (2018) sugiere el uso de una matriz
en formato Excel “Matriz de análisis del uni-
 Gestión de Auditorías Internas

verso de la auditoría basado en riesgos” que En la siguiente figura, se presentan temas a in-
cluir en el plan anual:
viene incluida en la “caja de herramientas que
se encuentra en la página web https://urlzs.
com/B5pex

1.5. Establecimiento del programa de

auditoría
En la Guía de Auditoría Para Entidades Pú-
blicas - Versión 3 (2018) (p 25), este capítulo
se denomina Formulación del Plan Anual y se
describe como un “documento formulado por
el equipo de Control Interno o quien haga sus
veces, la finalidad es planificar y establecer
los objetivos a cumplir anualmente y mejorar
la eficacia de los procesos de operación, con-
trol y gobierno.”

21
 Gestión de Auditorías Internas

• Auditorías internas a los procesos (de acuerdo a la

priorzación y plan de rotación de las auditorías).

1
• Auditorías especiales o eventuales sobre procesos o
áreas responsables específicas y ante eventualidades
presentadas que obliguen a ello.
• Auditorías especiales solicitadas por el cliente de
auditoría (representante legal).

2 • Actividades de asesoría y acompañamiento en temas

puntuales, de acuerdo a las necesidades de la entidad.

3 •Elaboración de informes determinados por la ley.

•Capacitación para los funcionarios de la oficina.

4 • Atención a entes de control.

• Seguimiento a planes de mejoramiento.

5
Determinar tiempo para situaciones imprevistas que
afectan el tiempo del plan de auditoría entre otros

Figura 4: Temas a incluir en el Plan Anual según la Guía de Auditoría Para Entidades Públicas - Versión 3.
Fuente: Función Pública 2018

22

1.5.1. Roles y responsabilidades de las perso-
nas encargadas de la gestión del programa de
auditoría
Según la GTC ISO19011 (2018), los líderes del
programa de auditoría deberían:
a. Establecer el alcance del programa de au-
ditoría de acuerdo con los objetivos perti-
nentes y cualquier restricción conocida.
b. Determinar las cuestiones externas e in-
ternas; los riesgos y oportunidades que
pueden afectar al programa de auditoría
e implementar acciones correctivas para
solucionarlos, integrándolas en todas las
actividades de auditoría pertinentes.
c. Asegurar la selección de los auditores so-
bre la base de sus competencias, de ma-
nera que, entre todas las competencias
juntas, el equipo logre el nivel de compe-
tencia general necesario para realizar las
actividades de las auditorías programadas,
asignando responsabilidades, roles y dele-
gando compromisos de liderazgo, según
convenga para los objetivos de auditorías.
d. Establecer todos los procedimientos nece-
sarios para:
• La coordinación y el calendario de
todas las auditorías dentro del pro-
grama.
23
Gestión de Auditorías Internas
• El establecimiento de los objetivos,
los alcances y los criterios de audi-
toría, determinando los métodos de
estudio y la selección del equipo de
trabajo.
• La evaluación de los auditores.
• El establecimiento de procesos de
comunicación externos e internos,
según sea apropiado.
• La resolución de disputas y la ges-
tión de las quejas.
• El seguimiento de la auditoría, si es
aplicable.
• La presentación de informes al
cliente de la auditoría y a las partes
interesadas pertinentes según sea
apropiado (p. 11).
e. Determinar y asegurar todos los recursos
necesarios.
f. Solicitar la aprobación del programa al
cliente de la auditoría.
g. Comunicar el programa de auditoría a to-
das las partes interesadas.
h. Asegurarse del mantenimiento y preparación
de la documentación necesaria, tal como los
registros del programa de auditoría.
i. Hacer seguimiento, revisar y mejorar el
programa de auditoría.

1.5.2. Competencia de las personas responsa-
bles de la gestión del programa de auditoría
Según la GTC ISO19011 (2018, p. 22) los líderes
del programa de auditoría deben tener las com-
petencias para gestionar el programa de trabajo
formulado e identificar sus riesgos y oportunida-
des; incluyendo aspectos y situaciones internas,
externas y conocimientos sobre:
• Los principios, métodos y principios de au-
ditoría.
• Las normas de gestión, otras normas perti-
nentes y documentos de guía o referencia.
• La información relativa al auditado y a su
contexto, así como los requisitos legales
y normativos aplicables a los sistemas de
gestión auditados.
• Los requisitos legales y reglamentarios
aplicables y otros requisitos pertinentes a
las actividades que se van a auditar.
24
Gestión de Auditorías Internas
Según lo requiera la naturaleza de la organi-
zación a auditar, se pueden considerar otros
conocimientos tales como los contables y fi-
nancieros o experiencia y conocimientos en
Tecnologías de la Información y la Comunica-
ción (TIC). Además, se debería mantener un
continuo desarrollo de actividades, de forma
que se mejoren las competencias necesarias
para gestionar el programa de auditoría.
1.5.3. Establecimiento del alcance del progra-
ma de auditoría
El alcance es la extensión y los límites que en-
marcan el programa de auditorías y puede va-
riar dependiendo de la complejidad del sistema
de gestión a auditar y de la información pro-
porcionada por el auditado sobre su contexto.
El líder del programa es el responsable de
determinar el alcance, que puede incluir los
procesos que serán auditados, los lugares, e

incluso la temporalidad que será objeto de ve-
rificación.
En la norma GTC ISO19011 (2018) se enuncia
que algunos factores que tienen impacto en la
extensión del alcance de un programa de au-
ditoría son:
a. El objetivo, alcance, duración, la cantidad
de auditorías, el método de presentar in-
formes y el monitoreo.
b. Las normas de los sistemas de gestión a
auditar o cualquier otro criterio aplicable.
c. El número, importancia, complejidad, simili-
tud y ubicación de las actividades a auditar.
d. Los factores que inciden en la eficacia del
sistema de gestión a auditar.
e. Los criterios de auditoría aplicables, tales
como los acuerdos planificados para las
25
Gestión de Auditorías Internas
normas de sistemas de gestión pertinen-
tes, los requisitos legales y reglamentarios
además de otros requerimientos con los
que la organización está comprometida.
f. Los resultados de auditorías internas o ex-
ternas y revisiones previas por parte de la
dirección, si es apropiado.
g. Los resultados de una revisión previa del
programa de auditoría.
h. El idioma, las cuestiones culturales y sociales.
i. Las preocupaciones de las partes interesa-
das, tales como quejas de clientes, incum-
plimiento de las exigencias legales y regla-
mentarios además de otros requisitos con
los que la organización está comprometida
o cuestiones de la cadena de suministro.
j. Los cambios significativos en el contexto
del auditado o sus operaciones y los ries-
gos y oportunidades asociados.

k. La disponibilidad de las tecnologías de la
información y comunicación para apoyar
las actividades de auditoría, en particular
el uso de métodos de auditoría remota.
l. La ocurrencia de sucesos internos y ex-
ternos, tales como no conformidades de
los productos o servicios, filtraciones en la
seguridad de la información, incidentes en
materia de seguridad y salud, actos delicti-
vos o incidentes ambientales.
m. Los riesgos y oportunidades de negocio, in-
cluyendo las acciones para tratarlos (p. 13).
1.5.4. Determinación de los recursos del pro-
grama de auditoría
Al establecer el presupuesto y recursos re-
queridos para el desarrollo de un programa de
auditoría, el líder del programa debe tener en
cuenta:
26
Gestión de Auditorías Internas
a. Los recursos financieros y de tiempo ne-
cesarios para gestionar y mejorar el des-
empeño en la auditoría.
b. Los métodos de auditoría.
c. La disponibilidad de cada integrante del
equipo auditor y de los expertos técnicos
que se requieran para lograr los objetivos
de las auditorías en sitio.
d. El alcance de la auditoría, los riesgos y
oportunidades.
e. Los tiempos, costos de movilidad y otras
necesidades logísticas de la auditoría.
f. La disponibilidad de herramientas y Tec-
nologías de la Información y las Comuni-
caciones TIC.
g. La disponibilidad de la información documen-
tada requerida por el programa de auditoría.
h. Los requisitos relacionados con las visitas
a las instalaciones de la organización, in-
 Gestión de Auditorías Internas

cluyendo permisos, autorizaciones y dota- acuerdo con el con el programa gestionan-

ción de elementos de seguridad. do todos los riesgos operacionales, opor-
tunidades y cuestiones (es decir, eventos
1.6. Implementación del programa de inesperados), según surjan durante el des-
auditoría pliegue del programa.
En los primeros pasos para establecer el pro- h. Asegurarse que la información documen-
grama de auditoría, es decir, al determinar los tada pertinente, relativa a las actividades
recursos implicados, se debe llevar a cabo la de auditoría, se gestiona y mantiene ade-
planificación operacional y articular de forma cuadamente.
coordinada todas las actividades de auditoría. i. Definir e implementar los controles ope-
Según la GTC ISO19011 (2018), los líderes del racionales necesarios para el seguimiento
programa deberían: del programa.
j. Revisar el programa con el fin de identifi-
a. Comunicar los componentes pertinentes del car oportunidades para mejorarlo (p. 14).
programa de auditoría, incluyendo los ries-
gos y oportunidades implicados, a las partes
interesadas e informarles periódicamente de
su progreso, usando los canales de comuni-
cación externos e internos establecidos.
b. Definir los objetivos, el alcance y los crite-
rios para cada auditoría individual.
c. Seleccionar los métodos.
d. Coordinar y programar las auditorías y
otras actividades pertinentes al programa.
e. Asegurarse que los equipos auditores ten-
gan la competencia necesaria.
f. Proporcionar los recursos necesarios indivi-
duales y globales para los equipos auditores
g. Asegurar la realización de las auditorías de

27

En la Guía de Auditoría Para Entidades Públicas
- Versión 3 (2018) se incluye la quinta fase deno-
minada inclusión del total de auditorías por desa-
rrollar en la vigencia, donde se enuncia:
“La entidad debe comunicar al interior de la
misma todas las fechas en las que llevarán a
cabo las auditorías establecidas en el plan para
la vigencia anual, tal como se especifica en la
dimensión de gestión de la información y co-
municación de control interno” (p. 26).
1.7. Seguimiento del programa de
auditoría
El líder del programa de auditoría debe asegu-
rar el monitoreo y evaluación de los siguientes
aspectos:
• Del cumplimiento de los cronogramas y
del logro de los objetivos del programa.
• Del desempeño de los miembros del equi-
po auditor, incluyendo al líder del equipo y
a los expertos técnicos.
• De la capacidad del equipo para ejecutar con
eficacia los planes de las auditorías en sitio.
• La retroalimentación de los clientes de la
auditoría, de los auditados, de los audito-
res, de los expertos técnicos y de otras
partes pertinentes.
28
Gestión de Auditorías Internas
• La suficiencia y adecuación de la informa-
ción de todo el proceso de auditoría.
Como resultado del ejercicio de seguimiento
se puede presentar la necesidad de hacer
ajustes en el programa de auditoría.
1.8. Revisión y mejora del programa de
auditoría
El cliente de la auditoría y el líder del programa
deben revisar el programa para evaluar si se han
alcanzado sus objetivos. Toda la información re-
sultante de la revisión y las lecciones aprendidas
deberían usarse como insumo para gestionar
riesgos y mejorar el próximo programa.
Según la GTC ISO19011 (2018) la revisión del
programa de auditoría debería incluir:
a. Los resultados y tendencias del seguimien-
to del programa de auditoría.
b. La conformidad con los procesos del pro-
grama de auditoría y con la información
documentada pertinente.
c. La evolución de las necesidades y expectati-
vas pertinentes de las partes interesadas.
d. Los registros del programa de auditoría con la in-
formación documentada que sean pertinentes.
e. Los métodos de auditoría alternativos o
nuevos.
 Gestión de Auditorías Internas

f. Los métodos alternativos o nuevos para evaluar a los auditores.

g. La eficacia de las acciones para tratar los riesgos y oportunidades, y cuestiones internas y ex-
ternas asociadas con el programa de auditoría.
h. Los temas de confidencialidad y seguridad de la información relacionados con el programa (p.
21).

29
 Gestión de Auditorías Internas

Glosario

Alcance de auditoría: extensión y límites de las auditorías.

Auditor: persona que lleva a cabo una auditoría.

Auditoría: proceso sistemático, independiente y documentado para obtener evidencias objetivas

y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios
de auditoría.

Auditoría combinada: proceso llevado a cabo a un único auditado en dos o más sistemas de ges-
tión.

Auditoría conjunta: revisión llevada a cabo a un único auditado por dos o más organizaciones.

Cliente de la auditoría: organizaciones o persona que solicita una auditoría.

Competencia: capacidad para aplicar conocimientos y habilidades con el fin de lograr los resulta-
dos previstos.

Conclusiones de la auditoría: resultados de un proceso, tras considerar sus objetivos y todos los
hallazgos del mismo.

30
 Gestión de Auditorías Internas

Conformidad: cumplimiento de un requisito.

Criterios de auditoría: conjunto de requisitos usados como referencia frente al cual se compara la
evidencia objetiva.

Desempeño: resultado medible.

Eficacia: grado en el que se realizan las actividades planificadas y se logran los resultados plantea-
dos.

Equipo de auditoría: proceso sistemático, independiente y documentado para obtener evidencias

objetivas y evaluarlas de manera puntual, de forma que se cumplan los criterios de auditoría.

Evidencia de la auditoría: datos que respaldan la resistencia o veracidad de algo.

Experto técnico: persona que aporta conocimientos y experiencia específica al equipo auditor.

Hallazgos de la auditoría: resultados de la evaluación de la evidencia recopilada frente a los crite-

rios del estudio.

No conformidad: incumplimiento de un requisito.

Observador: persona que acompaña al equipo auditor, pero no actúa como uno.

Programa de auditoría: acuerdos en un conjunto de uno o más auditorías planificadas para un

periodo de tiempo determinado y dirigidos hacia un propósito específico.

Plan de auditoría: descripción de las actividades y de los detalles acordados de una auditoría.

31
 Gestión de Auditorías Internas

Proceso: conjunto de actividades mutuamente relacionadas que las entidades utilizan para pro-
porcionar un resultado previsto.

Requisito: necesidad o expectativa establecida generalmente implícita u obligatoria.

Riesgo: efecto de incertidumbre.

Sistema de gestión: conjunto de elementos de una organización interrelacionadas o que interac-

túan para establecer políticas, objetivos y procesos para lograr los objetivos.

32
 Gestión de Auditorías Internas

Lista de referencias

Departamento Administrativo de la Función Pública. (2018). Guía de Auditoría Para Entidades Pú-
blicas, Versión 3. Recuperado de: https://urlzs.com/q5tc5

Departamento Administrativo de la Función Pública. (2018). Marco Internacional para la Práctica

Profesional de la Auditoría Interna. Instituto de Auditores Internos de Colombia. Actualizado a
Enero de 2013. Recuperado de: https://urlzs.com/yvQxR

Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). GTC-ISO 19011. (2018).

Directrices para la Auditoría de Sistemas de Gestión de la calidad y/o ambiental. Recuperado
de: http://tiny.cc/0qsy7y

33
 Unidad Gestión de
didáctica Auditorías Internas

Subdirección de Proyección Institucional ESAP