Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Características de la Auditoría
El objetivo de la auditoría es el siguiente: Obtener evidencia suficiente y apropiada, para
establecer el estado de cumplimiento de la protección integral de datos personales en la
Organización, frente a los criterios establecidos en la normatividad legal vigente, la
Política Institucional de Tratamiento de Datos Personales y el Programa Integral de
Gestión de Datos Personales, cuyos resultados se pondrán a disposición de la alta
dirección de la Institución. La auditoría tiene las siguientes características:
1) Comprende la gestión que los distintos funcionarios de la Organización hayan llevado a
cabo, para la protección integral de los datos personales de los titulares que la Institución
haya recabado, con ocasión del cumplimiento de su labor misional.
2) La materia sometida a auditoría puede estar compuesta por actividades, operaciones,
procedimientos, acciones e información documental. Puede ser general o específica, según
su contenido o alcance y cualitativa o cuantitativa según su naturaleza.
3) Las disposiciones legales y normativas sobre la protección integral de los datos
personales son el elemento más importante de la auditoría. Su estructura y contenido
permiten fijar los criterios y objetivos de la fiscalización.
4) El equipo de auditoría debe identificar aquellos aspectos de dichas disposiciones que
permitan tener resultados relevantes, fiables, objetivos, comparables y aceptables.
1
Educador y Abogado, Especialista en Legislación Educativa y Procedimientos; Especialista en
Derecho Laboral; Experto en Tratamiento de Datos. Consultor, asesor y capacitador para colegios,
asociaciones de colegios del país, empresas y entidades estatales y privadas. Puede ser contactado en los
siguientes correos electrónicos: josememo22@hotmail.com ó en mbeducacion@hotmail.com. Este
documento que sólo puede ser usado por las entidades a quienes el autor lo suministre y haya constancia de
ello. Tiene derechos de autor y no puede ser divulgado sin su autorización.
Página 1 de 16
5) En la auditoría, el informe que se elabore con los hallazgos, puede ser breve o extenso
según las características de la auditoría y las necesidades de la entidad.
Página 2 de 16
Asunto a Auditar
Como ya se ha afirmado, el asunto o la materia a auditar es el estado del cumplimiento de
la protección integral de datos personales en la Organización, de tal manera, que teniendo
como referencia lo dispuesto, tanto en la normatividad legal vigente, así como en la
Política Institucional de Tratamiento de Datos Personales y el Programa Integral de
Gestión de Datos Personales se pueda tener un informe creíble y confiable, sobre qué tanto
se está cumpliendo en la Institución, con todo lo dispuesto, tanto en la norma, como en los
documentos de la Institución, puesto que efectivamente ella ha adquirido un compromiso
con todos los integrantes de la comunidad educativa, de garantizar dicha protección
integral.
La auditoría se lleva a cabo porque son amplios los procesos y procedimientos, así como
los documentos y las acciones que se deben llevar a cabo en la Organización, con el fin de
lograr la protección integral en el tratamiento de datos personales, pero además, dicha
actividad se lleva a cabo en diferentes niveles de ella, así como por diferentes personas, lo
cual, aunado a las consecuencias que se sigan del incumplimiento de dicho compromiso,
por parte de la Institución, puede desencadenar diferentes medidas en contra ella, que
pueden ir, desde multas y sanciones, hasta demandas por daños y perjuicios, entre otros,
puesto que al incumplir con dicho compromiso, se estaría incurriendo en la violación de un
derecho fundamental de los titulares de la información.
Certeza en la Auditoría
Los principios fundamentales de auditoría indican que ella debe concebirse de modo tal,
que ofrezca seguridad razonable de detección de errores, irregularidades y actos ilícitos que
puedan afectar significativamente el logro de los objetivos de la auditoría.
a. Auditoría con seguridad razonable: este tipo de seguridad, indica el cumplimiento o no
de los criterios establecidos. Comprende la evaluación de riesgos, así como la aplicación de
los procedimientos para hacer frente a los riesgos analizados. Bajo este tipo de seguridad se
expresaría una conclusión de la siguiente manera: “en nuestra opinión, el cumplimiento de
la protección integral de datos personales en la Organización resulta (ó no resulta)
conforme, en todos los aspectos significativos, con los criterios declarados...”.
b. Auditoría con seguridad limitada: en ella auditor indica que nada ha llamado su atención
en relación al no cumplimiento de los criterios. Bajo este tipo de seguridad se expresaría
una conclusión de la siguiente manera: “nada de lo observado nos hace pensar que el
Página 3 de 16
cumplimiento de la protección integral de datos personales en la Organización no resulta
conforme, en todos los aspectos significativos, con lo criterios declarados...”
Para cualquier tipo de opinión o concepto, el auditor debe utilizar el juicio profesional para
establecer la naturaleza, el alcance y la oportunidad de los procedimientos.
Fases de la Auditoría
Las siguientes son las fases que se proponen para una adecuada y efectiva realización de la
auditoría:
Planeación
La fase de planeación o de planificación de una auditoría, se inicia con la programación de
la Organización que va a ser examinada y las áreas o asuntos específicos objeto de examen.
En este proceso inicial se identifica de manera clara, el alcance de la auditoría, incluyendo
el enfoque y los límites de la auditoría, en términos de cumplimiento de las normas, la
Política y el Programa de protección de datos. La determinación del asunto o materia en
cuestión y los criterios que se tendrán, se derivan, como ya se mencionó, de la Política
Institucional de Tratamiento de Datos Personales y el Programa Integral de Gestión de
Datos Personales. Adicionalmente, se debe realizar:
1) Una reunión entre el equipo de auditoría asignado y los responsables de la entidad para
comunicar el inicio del proceso.
2) La identificación clara y precisa del alcance y los límites de la auditoría en términos de
cumplimiento de la materia que se auditará.
3) La determinación de los criterios de auditoría. Estos devienen de la Política Institucional
de Tratamiento de Datos Personales y el Programa Integral de Gestión de Datos
Personales.
Página 4 de 16
4) La comprensión por parte del equipo auditor de los objetivos generales, específicos y la
materia o asunto a examinar enunciados en la asignación de trabajo.
5) Identificación de riesgos (si se quiere incluir).
6) La estrategia de auditoría.
7) El cronograma de actividades de la fase de ejecución e informe y del plan de visitas,
debidamente justificados.
Ejecución de la Auditoría
En esta fase se procede a llevar a cabo los programas de auditoría que se han dejado como
parte de los productos de la fase de planeación de la auditoría. En ella se lleva a cabo el
trabajo de campo, para recopilar, analizar los datos y obtener evidencias suficientes,
pertinentes, relevantes y competentes, que sustentarán el trabajo profesional del auditor,
con base en las cuales se formularan las opiniones, observaciones y conclusiones respecto
al cumplimiento de los criterios evaluados.
Como resultado de la realización de los procedimientos y pruebas de auditoría, se pueden
detectar situaciones que contravienen los criterios objeto de evaluación de la auditoría, es
decir, desviaciones que una vez analizadas en mesa de trabajo, así como sus posibles
connotaciones, serán comunicadas a los funcionarios y las dependencias.
En caso de requerirse, se puede solicitar a los funcionarios de la Organización, que den
respuesta, con evidencias, sobre las inconsistencias encontradas en la auditoría, antes de la
entrega final del documento de la misma, con el fin de que soporten debidamente, las
posibles desviaciones en el procedimiento de tratar adecuadamente los datos personales, en
las distintas dependencias y en los diferentes procedimientos.
Si se ha solicitado información complementaria como se lo expresó anteriormente, dicha
información se analizará y se tendrán en cuenta los comentarios, las explicaciones y la
documentación aportada, en respuesta a las observaciones comunicadas, y se definirán los
hallazgos que se desprendan de aquellas observaciones que no fueron desvirtuadas o que
fueron reconocidas por la entidad. Como resultado de la valoración de la respuesta de la
entidad y de la documentación entregada, el grupo auditor determinará si los hallazgos
exigen o no, algún tipo de correctivos, en cuyo caso, los mismos se incluirán en el informe
final de la auditoría, que se le entregue al Responsable Institucional del Tratamiento de
Datos. Las características para la valoración de la evidencia de auditoría son:
1) Suficiencia: La suficiencia de la evidencia es un concepto cuantitativo, se refiere a la
cantidad de “piezas” de evidencia que recopila el auditor para cumplir con sus objetivos, se
necesitará más evidencia en unos casos que en otros.
2) Pertinencia: La evidencia pertinente se refiere a la calidad de la información obtenida.
Muchas veces la cantidad de evidencia no le ayudará al auditor a sustentar su trabajo tanto
como la calidad de ésta.
3) Relevancia: La relevancia significa que la información o hechos que son usados como
evidencia deben estar relacionados con el objetivo y alcance de la auditoría. Esta
característica de la evidencia la hace tener sentido y actualidad. La relevancia se relaciona
Página 5 de 16
con el alcance de las pruebas de detalle, que generalmente se refiere al número acciones o
de procedimientos en los cuales se ha incumplido lo definido en la Política Institucional de
Tratamiento de Datos Personales y el Programa Integral de Gestión de Datos Personales.
4) Competencia: La competencia de la evidencia de auditoría se relaciona directamente con
su confiabilidad, lo cual depende en forma directa de la fuente de donde ésta proviene ya
sea interna o externa. Si bien la competencia de la evidencia de auditoría depende de las
circunstancias particulares, los siguientes criterios ayudarán a evaluar la competencia de la
evidencia:
– La evidencia de auditoría de fuentes externas (por ejemplo, confirmación recibida de
un tercero) es más confiable que la generada por el mismo auditado.
– La evidencia de auditoría generada por el auditado es confiable cuando los sistemas de
información son efectivos.
– La evidencia de auditoría obtenida directamente por el auditor es más confiable que la
obtenida o suministrada por la entidad.
– La evidencia de auditoría en forma de documentos y exposiciones escritas es más
confiable que las exposiciones orales.
La pertinencia, relevancia y competencia, fiabilidad e idoneidad son conceptos cualitativos.
Los auditores emplearán su juicio profesional para determinar la suficiencia e idoneidad a
lo largo de todo el proceso de recopilación de pruebas. El equipo debe obtener evidencia de
auditoría para sustentar sus conclusiones. En la valoración de la evidencia el equipo de
auditoría debe emplear el juicio y el escepticismo profesional, para analizar los elementos
de prueba que fundamenten o contradigan la existencia de posibles actos de incumplimiento
y establecer si la evidencia de auditoría es suficiente y apropiada para fundamentar su
opinión.
Este proceso prosigue hasta que el equipo auditor concluye que se siente satisfecho con la
evidencia obtenida, es decir, que ha obtenido evidencia suficiente y pertinente para
sustentar las observaciones y conclusiones.
Informe de la Auditoría
La fase del informe es la última fase del proceso de auditoría y en ella se consolidan los
resultados obtenidos en la evaluación adelantada, los cuales serán comunicados, tanto a las
dependencias auditadas, como al Responsable Institucional del Tratamiento de Datos. Los
elementos del informe de la auditoría son los siguientes:
Aspectos Generales
La comunicación de resultados debe ser permanente y continua durante el proceso de la
auditoría, no se debe esperar concluir el trabajo o el informe de auditoría, para que la
entidad conozca de los asuntos observados o detectados como presuntas deficiencias o
incumplimientos. Éstas deberán ser transmitidas al formarse un criterio firme debidamente
documentado y comprobado.
Página 6 de 16
Los hallazgos que resulten luego del análisis de respuesta que se realizó en la fase de
ejecución de la auditoría, se incluirán en el Informe de Auditoría, con las presuntas
connotaciones si las hubieren y se entregará al Responsable Institucional del Tratamiento
de Datos.
Los criterios sobre los cuales se fundamentó la evaluación de la protección integral de datos
personales deben quedar explícitos en el Informe. Los criterios pueden cambiar
sustancialmente de una auditoría a otra y por ello hay que fijarlos con claridad en el
informe, para que los lectores conozcan la base que sustenta el trabajo y sus conclusiones.
En la elaboración del Informe de Auditoría, es obligatoria la consideración y análisis de las
respuestas, comentarios u observaciones del auditado, las cuales se evaluarán, de manera
definitiva para sustentar el concepto y las conclusiones de la auditoría para cada uno de los
objetivos específicos.
El informe debe estar completo, ser preciso, objetivo, convincente, constructivo y tan claro
y conciso, que pueda ser entendido por todos los implicados, pero sobre todo, para el
adecuado ajuste de los aspectos que se hallen deficitarios.
Página 7 de 16
Seguimiento al Resultado de la Auditoría
El proceso de seguimiento a las observaciones y hallazgos que se originan luego de cada
auditoría, facilita la implementación eficaz de acciones correctivas y proporciona
información valiosa para la Organización auditada, los usuarios del informe y los propios
auditores en la planeación de nuevas auditorías, de acuerdo con las políticas institucionales
de seguimiento de la Institución.
Una alternativa para realizar este seguimiento es a través de la evaluación de la efectividad
del Plan de Mejoramiento presentado luego de cada auditoría, el cual se podrá realizar
como parte de la siguiente auditoría, en una auditoría específica de seguimiento o mediante
otras herramientas y actuaciones especiales de control.
Para la evaluación de la efectividad del Plan de Mejoramiento, se determinará si las
situaciones de incumplimiento comunicadas en el informe persisten al momento de realizar
el seguimiento, lo cual puede realizarse mediante acciones como la revisión documental,
visitas de seguimiento, conferencias o seminarios, entre otras.
Las prioridades para el seguimiento de los casos de no cumplimiento reportados,
dependerán de los lineamientos emitidos por la Alta Dirección de la Organización y de los
procedimientos establecidos para ello, tomando en cuenta a su vez la naturaleza de la
materia examinada, del incumplimiento identificado y las circunstancias de la auditoría.
Página 8 de 16
sancionado por el incumplimiento de todo lo atinente a la protección de los datos
personales. Esta segunda parte incluye 102 ítems, y como ya se mencionó, se centra en
evaluar los 13 aspectos que se requieren para hacer efectivo el Principio de
Responsabilidad Demostrada.
Con la evaluación que se haga con uno o con los dos cuestionarios, la entidad puede tener
una mirada general sobre el estado, en un determinado momento, de la implementación de
la protección de datos personales y de los procedimientos más significativos, que las
normas legales imponen y que la Organización ha asumido como tarea, para garantizar el
derecho a hábeas data de los titulares de los datos que previamente ha recabado, en virtud
de cumplir con la Política y el Programa institucional para la protección de los datos.
Este primer modelo de cuasi-auditoría permite a la entidad contar con una mirada general y
global, del estado del tratamiento de datos en ella, en tanto que la misma abarca la gran
mayoría de los aspectos generales que habría que tener en cuenta. Sin embargo, ella no está
centrada en detallar fortalezas y debilidades u oportunidades de mejora, sino únicamente en
contar con esa mirada general. Si lo que se requiere es contar con una información más
detallada y precisa, esta no será la mejor opción.
Página 10 de 16
– Todos los empleados para la transferencia y transmisión nacional e internacional de
información con datos personales recabados.
2.4. Otros documentos relevantes del procedimiento de tratamiento de datos personales.
Entre otros, se propone la evaluación, como mínimo de los siguientes:
– La Política Institucional para el Tratamiento de Datos.
– El Programa Integral de Gestión de Datos Personales.
– Todos los demás que hagan parte del Tratamiento de datos Personales.
3) La evaluación se debe centrar en revisar, validar y determinar si todos y cada uno de los
anteriores documentos, incluyen los elementos requeridos para llevar a cabo un adecuado
tratamiento de los datos, porque cuentan con la información que los mismos deben tener,
pero además, si existen, como mínimo estos, para el manejo de los datos que la
Organización ha recogido.
4) Adicional a lo anterior, no sólo se debe evaluar si los documentos, formatos o textos,
incluyen lo relacionado con el adecuado tratamiento, sino además, si los textos en cada uno
de ellos, cumplen adecuadamente con todos y cada uno de los elementos que los mismos
deben incluir.
5) En esta tarea de evaluación de los documentos y textos, se debe también revisar que
efectivamente se respete lo concerniente a datos públicos, semi-privados, privados y
sensibles, según la naturaleza de cada formato o texto y la finalidad para la cual los datos
son solicitados.
6) Con los hallazgos de esta evaluación, la Organización puede estructurar el plan de
mejora de los documentos, texto y procedimientos que han sido evaluados, para
implementar las estrategias que se deben llevar a cabo, de cara a hacer los ajustes
necesarios y requeridos, que hagan posible, que efectivamente ella cumpla con todo lo
pedido por las normas. Esta tarea es fundamental, pues no de no hacerlo, no sirve mucho la
evaluación.
Auditoría Interna
Otra propuesta es realizar propiamente una auditoría, en este caso, interna, incluyendo en
ella, todos y cada uno de los elementos que la misma implica. La auditoría interna es la
actividad encargada de analizar y evaluar los procesos de gestión de riesgos, control y
dirección de una Organización. El alcance de la auditoría interna está definido
exclusivamente por la alta dirección de la entidad, a quienes el auditor informa
directamente los resultados obtenidos.
La auditoría interna es un procedimiento consensuado. Si bien la alta dirección y el auditor
elaboran el plan anual, la información sobre los detalles de la auditoría a realizar, debe ser
comunicada con antelación a los auditados, a fin de lograr acuerdos referentes a la
planificación programada.
Es de vital importancia realizar el seguimiento de los hallazgos encontrados, los puntos de
alerta y las sugerencias propuestas, ya que de ahí no solo dependerá el éxito de la auditoría
sino el alcance de la meta: lograr la máxima efectividad en las diferentes operaciones.
Página 11 de 16
Características de la Auditoría Interna
Las características más sobresalientes de la auditoría interna son las siguientes:
1) Fechas programadas. Se debe realizar una estructuración de las fechas tentativas para
realizar la auditoría interna, en conjunto con la alta dirección de la Institución. Pueden
efectuarse durante diferentes momentos del año, lo importante es que al finalizarlas, se
hayan efectuado todos los procesos.
2) Ambiente profesional. Toda auditoría interna debe desenvolverse en un ambiente de
profesionalismo y respeto. Los hallazgos que se encuentren, sean positivos o no, se deberán
analizar con el auditado, antes de registrarlos.
3) Auditores competentes. Los auditores deben tener el conocimiento de los procedimientos
para auditar y comprender los procesos que se auditan. Además, deben ser objetivos e
imparciales.
4) Son planificadas. Una auditoría no es un proceso improvisado. Esta implica una
exhaustiva investigación de todo el proceso que se auditará, que va desde revisar los
problemas previos que ha presentado, hasta elaborar una lista de verificación que guiará el
acto.
5) Sustento legal. Toda auditoría deberá estar basada en las normas legales existentes, en
los estándares, en los criterios y principios incluidos en la Política y el Programa y en las
reglas de ética.
6) Registro y comunicación de resultados. Es fundamental una reunión de cierre con el
personal auditado. En esa reunión el auditor debe señalar las posibles debilidades y áreas
que se deben mejorar. Debe registrarse y comunicarse a los auditados y a la alta dirección,
toda la información, que incluye los puntos de desacuerdo, las áreas positivas y las áreas de
mejora. Por otra parte, el auditor es responsable de garantizar que se hayan tomado medidas
correctivas, para solucionar los problemas encontrados durante la auditoría.
Página 12 de 16
4) Realizar pruebas a los instrumentos de control interno, a fin de identificar vacíos
procedimentales en estos.
5) Promover el uso eficiente y efectivo de los datos personales que la Organización ha
recabado para el cumplimiento de su labor misional.
6) Identificar posibles situaciones de riesgo, inquietudes u oportunidades futuras, brindando
a la alta dirección, asesoramiento profesional sobre posibles actuaciones en cada caso.
7) Proponer sugerencias, nuevas ideas o realizar una investigación especial, sobre el
cumplimiento de los criterios, principios y procedimientos para el tratamiento de datos en la
Organización.
8) Determinar la responsabilidad de los empleados ante cualquier situación anómala
detectada en la auditoría.
9) Apoyar la gestión del auditor externo a través del informe de auditoría, el cual debe
realizarse bajo los parámetros, reglas y normas establecidas.
10) Garantizar el cumplimiento de las leyes y regulaciones, tanto internas como las de
carácter nacional e internacional, sobre el tratamiento de datos personales.
Página 13 de 16
9) Evaluar los procedimientos operativos y de control con que la Organización cuenta.
Considerando los hallazgos de la auditoría, se pueden tomar decisiones respecto a
incrementar la efectividad y eficiencia de dichos procedimientos.
10) Revisar las políticas, programas, procedimientos y criterios que la entidad ha diseñado
e implementado, para la protección integral de los datos personales.
11) Como la auditoría es un proceso continuo y programado, posibilita hacer un
seguimiento a las nuevas políticas diseñadas, a fin de evaluar posibles reestructuraciones de
las mismas.
Auditoría Externa
Finalmente, una última propuesta es realizar una auditoría, en este caso, externa,
incluyendo en ella, todos y cada uno de los elementos que la misma implica. La auditoría
externa es una verificación que se realiza en una Organización, que tiene la finalidad de
cotejar y comprobar la situación del estado de la protección integral de los datos personales
que ella ha recabado con el fin de cumplir su labor misional o tareas adyacentes con la
misma, así como también, verificar los riesgos y los posibles incumplimientos que se
Página 14 de 16
puedan estar dando en ella, por parte de sus funcionarios, en la esta labor, de tal manera que
pueden conducir a la imposición de sanciones, por parte de las entidades de control.
De todas maneras, la primera parte de este procedimiento aborda más detalladamente todo
lo que se debe tener en cuenta en una auditoría, elementos que se deben tener en cuenta en
este tipo de auditorías que se están abordando en esta última clasificación de los posibles
tipos de auditoría que se podrían llevar a cabo en la Organización.
Toda auditoría debe ser analítica y objetiva, pero además, debe tener un amplio sentido
crítico por parte de quien la realiza, en tanto que ella es una comparación y, como tal, debe
poder compararse con un patrón, que en este caso son las disposiciones normativas sobre la
protección de datos, así como la Política, el Programa y los demás documentos
institucionales que se han elaborado sobre el particular. Las auditorías pueden ser
voluntarias o de carácter obligatorio.
La auditoría es llevada a cabo por la figura de un auditor que debe ser una persona
especialista en el objeto de la misma, pero además, el auditor debe tener conocimiento de la
Organización, en cuanto a infraestructura, funcionamiento, conocimiento del medio
ambiente en el cual ella se desarrolla. Los resultados de toda auditoría se expresan hacia
determinado público (puede ser interno o externo) y con determinado objetivo.
Página 15 de 16
3) Patrón de Comparación: Toda auditoría se debe realizar teniendo en cuenta un patrón de
comparación, es decir, con relación a la anterior auditoría externa o a una interna, con el fin
de poder referir los resultados obtenidos a lo detectado anteriormente.
4) La auditoría externa examina y evalúa cualquiera de los sistemas de información de una
Organización y emite una opinión independiente sobre los mismos, pero las Organizaciones
generalmente requieren de la evaluación de varios de sus sistemas de información como el
financiero, el de hábeas data, el contable, el estado de implantación de un modelo de
calidad, etc., en forma independiente, para otorgarle validez a que la entidad lleva a cabo,
ante los usuarios de sus servicios. Para esto se llevan a cabo los distintos tipos de auditoría.
Auditor
El auditor es la o las personas que llevan a cabo la auditoría desde el comienzo hasta el
final. Este examinador no puede actuar influenciado por conflictos personales en ninguna
auditoría sino más bien debe ser completamente imparcial dado que se encuentra en una
postura de evaluación de la organización.
El auditor no puede tener ningún tipo de conflicto de interés con la Organización que va a
auditar, esto con el fin de poder ser lo más objetivo e imparcial posible. De igual manera,
debe ser un agente externo a ella, es decir, que no tenga vínculo laboral con la entidad.
Su perfil debe como mínimo incluir las siguientes características: conocer a profundidad la
materia o el tema sobre el cual va a llevar a cabo la auditoría, lo cual se debe sustentar con
evidencia; tener experiencia y conocimiento en la realización de auditorías; ser una persona
objetiva y comprometida con la materia sobre la cual se lleva a cabo la auditoría; y tener
una buena capacidad de comunicación para expresar adecuadamente los asuntos
relacionados con el trabajo de la auditoría.
Página 16 de 16