PROCEDIMIENTO DE AUDITORÍAS EN LA ORGANIZACIÓN

SOBRE EL TRATAMIENTO DE DATOS PERSONALES

José Guillermo Martínez Rojas1
Siempre que sea necesario o periódicamente, la Institución llevará a cabo auditorías
internas o externas, para evaluar el estado de la protección de datos personales con que ella
cuenta, de tal manera, que con los resultados de dichas auditorías, se puedan hacer los
ajustes del caso, para mejorar todo el Programa, así como la Política y los procedimientos
que se siguen en ella.
A continuación se incluye el procedimiento para llevar a cabo auditorías que permitan
determinar el cumplimiento de la Política Institucional de Tratamiento de Datos
Personales y todos los procedimientos adyacentes para hacerla efectiva.

Elementos Generales de la Auditoría

Los siguientes son los elementos y aspectos generales de la auditoría.

Características de la Auditoría
El objetivo de la auditoría es el siguiente: Obtener evidencia suficiente y apropiada, para
establecer el estado de cumplimiento de la protección integral de datos personales en la
Organización, frente a los criterios establecidos en la normatividad legal vigente, la
Política Institucional de Tratamiento de Datos Personales y el Programa Integral de
Gestión de Datos Personales, cuyos resultados se pondrán a disposición de la alta
dirección de la Institución. La auditoría tiene las siguientes características:
1) Comprende la gestión que los distintos funcionarios de la Organización hayan llevado a
cabo, para la protección integral de los datos personales de los titulares que la Institución
haya recabado, con ocasión del cumplimiento de su labor misional.
2) La materia sometida a auditoría puede estar compuesta por actividades, operaciones,
procedimientos, acciones e información documental. Puede ser general o específica, según
su contenido o alcance y cualitativa o cuantitativa según su naturaleza.
3) Las disposiciones legales y normativas sobre la protección integral de los datos
personales son el elemento más importante de la auditoría. Su estructura y contenido
permiten fijar los criterios y objetivos de la fiscalización.
4) El equipo de auditoría debe identificar aquellos aspectos de dichas disposiciones que
permitan tener resultados relevantes, fiables, objetivos, comparables y aceptables.

1
Educador y Abogado, Especialista en Legislación Educativa y Procedimientos; Especialista en
Derecho Laboral; Experto en Tratamiento de Datos. Consultor, asesor y capacitador para colegios,
asociaciones de colegios del país, empresas y entidades estatales y privadas. Puede ser contactado en los
siguientes correos electrónicos: josememo22@hotmail.com ó en mbeducacion@hotmail.com. Este
documento que sólo puede ser usado por las entidades a quienes el autor lo suministre y haya constancia de
ello. Tiene derechos de autor y no puede ser divulgado sin su autorización.

Página 1 de 16
5) En la auditoría, el informe que se elabore con los hallazgos, puede ser breve o extenso
según las características de la auditoría y las necesidades de la entidad.

Criterios de Evaluación en la Auditoría

Los criterios de evaluación son los puntos de referencia, parámetros, requisitos o
condiciones que se utilizan para evaluar o medir el estado de cumplimiento de la protección
integral de datos personales en la Organización de manera consistente y razonable. Los
criterios se han identificado a partir del conjunto de normas sobre el tratamiento de datos
personales, pero de manera especial, con la Política Institucional de Tratamiento de Datos
Personales y el Programa Integral de Gestión de Datos Personales y constituyen aquella
parte o sección de los mismos que serán sometidos a evaluación durante la auditoría. Los
criterios de la auditoría son:
1) Pertinentes, que respondan de forma significativa a las exigencias de información y
decisión de los destinatarios del informe.
2) Fiables, son criterios que dan lugar a conclusiones razonablemente coherentes con las
que obtendría otro auditor aplicando los mismos criterios en las mismas circunstancias.
3) Objetivos, neutrales y que no respondan a prejuicios del auditor o de la dirección de la
entidad auditada, lo que significa que no pueden ser tan informales que la evaluación de la
información acerca del estado del cumplimiento de la protección integral de datos
personales en la Organización, resulte subjetiva y lleve a otros auditores a alcanzar una
conclusión muy dispar.
4) Completos, es decir, son criterios suficientes para los fines de la auditoría y que no omite
factores pertinentes; además son significativos y facilitan a los destinatarios de la misma,
una visión práctica para sus exigencias de información y decisión.
5) Comprensibles, es decir, son criterios claros que permiten llegar a conclusiones precisas
y fáciles de entender por los destinatarios y no dan pie a interpretaciones ampliamente
divergentes.
6) Aceptables, es decir, son criterios que en un principio pueden admitir expertos
independientes, las entidades auditadas, la SIC y la ciudadanía en general.
7) Accesibles, es decir, son criterios a los que pueden acceder los destinatarios para
entender la naturaleza del trabajo de auditoría desempeñado y la base del informe de
auditoría.
8) Comparables, es decir, son criterios coherentes con los empleados en auditorías similares
de otros organismos o actividades similares y los utilizados en anteriores auditorías de la
entidad.
En la mayoría de los casos, los criterios evaluados se derivan de la Constitución, las Leyes,
los Decretos y la Jurisprudencia, así como de la Política Institucional de Tratamiento de
Datos Personales y el Programa Integral de Gestión de Datos Personales.

Página 2 de 16
 Asunto a Auditar
Como ya se ha afirmado, el asunto o la materia a auditar es el estado del cumplimiento de
la protección integral de datos personales en la Organización, de tal manera, que teniendo
como referencia lo dispuesto, tanto en la normatividad legal vigente, así como en la
Política Institucional de Tratamiento de Datos Personales y el Programa Integral de
Gestión de Datos Personales se pueda tener un informe creíble y confiable, sobre qué tanto
se está cumpliendo en la Institución, con todo lo dispuesto, tanto en la norma, como en los
documentos de la Institución, puesto que efectivamente ella ha adquirido un compromiso
con todos los integrantes de la comunidad educativa, de garantizar dicha protección
integral.
La auditoría se lleva a cabo porque son amplios los procesos y procedimientos, así como
los documentos y las acciones que se deben llevar a cabo en la Organización, con el fin de
lograr la protección integral en el tratamiento de datos personales, pero además, dicha
actividad se lleva a cabo en diferentes niveles de ella, así como por diferentes personas, lo
cual, aunado a las consecuencias que se sigan del incumplimiento de dicho compromiso,
por parte de la Institución, puede desencadenar diferentes medidas en contra ella, que
pueden ir, desde multas y sanciones, hasta demandas por daños y perjuicios, entre otros,
puesto que al incumplir con dicho compromiso, se estaría incurriendo en la violación de un
derecho fundamental de los titulares de la información.

Alcance y Naturaleza de la Auditoría

El alcance de la auditoría es una manifestación clara del enfoque, aspectos y los límites de
ella en términos de cumplimiento de la protección integral de datos personales en la
Organización, en función con los criterios establecidos. Este alcance es influenciado por la
materialidad y el riesgo, y en él se determina, cuáles sujetos de control y qué partes de los
mismos, serán cubiertas. Antes del inicio de una auditoría debe determinarse cuál será la
evaluación que se hará, definiendo el período aplicable a ésta.

Certeza en la Auditoría
Los principios fundamentales de auditoría indican que ella debe concebirse de modo tal,
que ofrezca seguridad razonable de detección de errores, irregularidades y actos ilícitos que
puedan afectar significativamente el logro de los objetivos de la auditoría.
a. Auditoría con seguridad razonable: este tipo de seguridad, indica el cumplimiento o no
de los criterios establecidos. Comprende la evaluación de riesgos, así como la aplicación de
los procedimientos para hacer frente a los riesgos analizados. Bajo este tipo de seguridad se
expresaría una conclusión de la siguiente manera: “en nuestra opinión, el cumplimiento de
la protección integral de datos personales en la Organización resulta (ó no resulta)
conforme, en todos los aspectos significativos, con los criterios declarados...”.
b. Auditoría con seguridad limitada: en ella auditor indica que nada ha llamado su atención
en relación al no cumplimiento de los criterios. Bajo este tipo de seguridad se expresaría
una conclusión de la siguiente manera: “nada de lo observado nos hace pensar que el

Página 3 de 16
cumplimiento de la protección integral de datos personales en la Organización no resulta
conforme, en todos los aspectos significativos, con lo criterios declarados...”
Para cualquier tipo de opinión o concepto, el auditor debe utilizar el juicio profesional para
establecer la naturaleza, el alcance y la oportunidad de los procedimientos.

Informaciones Basadas en Afirmaciones

En el contexto de la auditoría, una afirmación de cumplimiento significa que la entidad y
los funcionarios responsables de la misma, están actuando con sujeción a las normas
aplicables. Las afirmaciones pueden estar comprendidas en la información acerca de la
materia controlada, presentada por la entidad auditada, o estar expuestas explícitamente en
una carta de manifestaciones, escrita por la dirección.
En este caso, las afirmaciones comprenden los objetivos específicos de auditoría sobre los
cuales el auditor desea extraer una conclusión. Las afirmaciones pueden generarse por
iniciativa del auditado o por solicitud de los auditores y pueden referirse a aspectos legales,
técnicos y operacionales, entre otros.
La auditoría proporciona garantías a los destinatarios acerca del resultado de la evaluación
o medición de la materia controlada, a partir de criterios adecuados. Cuando se verifica que
la entidad auditada no ha observado la norma, se esta frente a una desviación de
cumplimiento de lo estipulado.

Fases de la Auditoría
Las siguientes son las fases que se proponen para una adecuada y efectiva realización de la
auditoría:

Planeación
La fase de planeación o de planificación de una auditoría, se inicia con la programación de
la Organización que va a ser examinada y las áreas o asuntos específicos objeto de examen.
En este proceso inicial se identifica de manera clara, el alcance de la auditoría, incluyendo
el enfoque y los límites de la auditoría, en términos de cumplimiento de las normas, la
Política y el Programa de protección de datos. La determinación del asunto o materia en
cuestión y los criterios que se tendrán, se derivan, como ya se mencionó, de la Política
Institucional de Tratamiento de Datos Personales y el Programa Integral de Gestión de
Datos Personales. Adicionalmente, se debe realizar:
1) Una reunión entre el equipo de auditoría asignado y los responsables de la entidad para
comunicar el inicio del proceso.
2) La identificación clara y precisa del alcance y los límites de la auditoría en términos de
cumplimiento de la materia que se auditará.
3) La determinación de los criterios de auditoría. Estos devienen de la Política Institucional
de Tratamiento de Datos Personales y el Programa Integral de Gestión de Datos
Personales.

Página 4 de 16
4) La comprensión por parte del equipo auditor de los objetivos generales, específicos y la
materia o asunto a examinar enunciados en la asignación de trabajo.
5) Identificación de riesgos (si se quiere incluir).
6) La estrategia de auditoría.
7) El cronograma de actividades de la fase de ejecución e informe y del plan de visitas,
debidamente justificados.

Ejecución de la Auditoría
En esta fase se procede a llevar a cabo los programas de auditoría que se han dejado como
parte de los productos de la fase de planeación de la auditoría. En ella se lleva a cabo el
trabajo de campo, para recopilar, analizar los datos y obtener evidencias suficientes,
pertinentes, relevantes y competentes, que sustentarán el trabajo profesional del auditor,
con base en las cuales se formularan las opiniones, observaciones y conclusiones respecto
al cumplimiento de los criterios evaluados.
Como resultado de la realización de los procedimientos y pruebas de auditoría, se pueden
detectar situaciones que contravienen los criterios objeto de evaluación de la auditoría, es
decir, desviaciones que una vez analizadas en mesa de trabajo, así como sus posibles
connotaciones, serán comunicadas a los funcionarios y las dependencias.
En caso de requerirse, se puede solicitar a los funcionarios de la Organización, que den
respuesta, con evidencias, sobre las inconsistencias encontradas en la auditoría, antes de la
entrega final del documento de la misma, con el fin de que soporten debidamente, las
posibles desviaciones en el procedimiento de tratar adecuadamente los datos personales, en
las distintas dependencias y en los diferentes procedimientos.
Si se ha solicitado información complementaria como se lo expresó anteriormente, dicha
información se analizará y se tendrán en cuenta los comentarios, las explicaciones y la
documentación aportada, en respuesta a las observaciones comunicadas, y se definirán los
hallazgos que se desprendan de aquellas observaciones que no fueron desvirtuadas o que
fueron reconocidas por la entidad. Como resultado de la valoración de la respuesta de la
entidad y de la documentación entregada, el grupo auditor determinará si los hallazgos
exigen o no, algún tipo de correctivos, en cuyo caso, los mismos se incluirán en el informe
final de la auditoría, que se le entregue al Responsable Institucional del Tratamiento de
Datos. Las características para la valoración de la evidencia de auditoría son:
1) Suficiencia: La suficiencia de la evidencia es un concepto cuantitativo, se refiere a la
cantidad de “piezas” de evidencia que recopila el auditor para cumplir con sus objetivos, se
necesitará más evidencia en unos casos que en otros.
2) Pertinencia: La evidencia pertinente se refiere a la calidad de la información obtenida.
Muchas veces la cantidad de evidencia no le ayudará al auditor a sustentar su trabajo tanto
como la calidad de ésta.
3) Relevancia: La relevancia significa que la información o hechos que son usados como
evidencia deben estar relacionados con el objetivo y alcance de la auditoría. Esta
característica de la evidencia la hace tener sentido y actualidad. La relevancia se relaciona

Página 5 de 16
con el alcance de las pruebas de detalle, que generalmente se refiere al número acciones o
de procedimientos en los cuales se ha incumplido lo definido en la Política Institucional de
Tratamiento de Datos Personales y el Programa Integral de Gestión de Datos Personales.
4) Competencia: La competencia de la evidencia de auditoría se relaciona directamente con
su confiabilidad, lo cual depende en forma directa de la fuente de donde ésta proviene ya
sea interna o externa. Si bien la competencia de la evidencia de auditoría depende de las
circunstancias particulares, los siguientes criterios ayudarán a evaluar la competencia de la
evidencia:
– La evidencia de auditoría de fuentes externas (por ejemplo, confirmación recibida de
un tercero) es más confiable que la generada por el mismo auditado.
– La evidencia de auditoría generada por el auditado es confiable cuando los sistemas de
información son efectivos.
– La evidencia de auditoría obtenida directamente por el auditor es más confiable que la
obtenida o suministrada por la entidad.
– La evidencia de auditoría en forma de documentos y exposiciones escritas es más
confiable que las exposiciones orales.
La pertinencia, relevancia y competencia, fiabilidad e idoneidad son conceptos cualitativos.
Los auditores emplearán su juicio profesional para determinar la suficiencia e idoneidad a
lo largo de todo el proceso de recopilación de pruebas. El equipo debe obtener evidencia de
auditoría para sustentar sus conclusiones. En la valoración de la evidencia el equipo de
auditoría debe emplear el juicio y el escepticismo profesional, para analizar los elementos
de prueba que fundamenten o contradigan la existencia de posibles actos de incumplimiento
y establecer si la evidencia de auditoría es suficiente y apropiada para fundamentar su
opinión.
Este proceso prosigue hasta que el equipo auditor concluye que se siente satisfecho con la
evidencia obtenida, es decir, que ha obtenido evidencia suficiente y pertinente para
sustentar las observaciones y conclusiones.

Informe de la Auditoría
La fase del informe es la última fase del proceso de auditoría y en ella se consolidan los
resultados obtenidos en la evaluación adelantada, los cuales serán comunicados, tanto a las
dependencias auditadas, como al Responsable Institucional del Tratamiento de Datos. Los
elementos del informe de la auditoría son los siguientes:

Aspectos Generales
La comunicación de resultados debe ser permanente y continua durante el proceso de la
auditoría, no se debe esperar concluir el trabajo o el informe de auditoría, para que la
entidad conozca de los asuntos observados o detectados como presuntas deficiencias o
incumplimientos. Éstas deberán ser transmitidas al formarse un criterio firme debidamente
documentado y comprobado.

Página 6 de 16
Los hallazgos que resulten luego del análisis de respuesta que se realizó en la fase de
ejecución de la auditoría, se incluirán en el Informe de Auditoría, con las presuntas
connotaciones si las hubieren y se entregará al Responsable Institucional del Tratamiento
de Datos.
Los criterios sobre los cuales se fundamentó la evaluación de la protección integral de datos
personales deben quedar explícitos en el Informe. Los criterios pueden cambiar
sustancialmente de una auditoría a otra y por ello hay que fijarlos con claridad en el
informe, para que los lectores conozcan la base que sustenta el trabajo y sus conclusiones.
En la elaboración del Informe de Auditoría, es obligatoria la consideración y análisis de las
respuestas, comentarios u observaciones del auditado, las cuales se evaluarán, de manera
definitiva para sustentar el concepto y las conclusiones de la auditoría para cada uno de los
objetivos específicos.
El informe debe estar completo, ser preciso, objetivo, convincente, constructivo y tan claro
y conciso, que pueda ser entendido por todos los implicados, pero sobre todo, para el
adecuado ajuste de los aspectos que se hallen deficitarios.

Contenido del Informe

Los informes, deben contener como mínimo los siguientes elementos y pueden estar
ordenados en la forma que considere más adecuada el equipo auditor, para presentar los
resultados obtenidos:
– Título.
– Carta de conclusiones.
– Introducción.
– Objetivos y alcance de la auditoría, incluido el período abarcado por la misma.
– Identificación de la materia controlada.
– Criterios evaluados en el curso de la auditoría.
– Identificación de las normas de auditoría aplicadas al trabajoefectuado.
– Limitaciones (cuando corresponda).
– Resumen y conclusiones del trabajo efectuado.
– Solicitud de presentación del Plan de Mejoramiento.
– Lugar y fecha del Informe.
– Firma de los auditores.
– Hallazgos y conclusión (concepto) final de la auditoría.
– Respuestas de la entidad auditada y análisis de las mismas.
– Seguimiento a observaciones o hallazgos de auditoría anteriores (cuando
corresponda).
– Glosario (cuando corresponda)

Página 7 de 16
 Seguimiento al Resultado de la Auditoría
El proceso de seguimiento a las observaciones y hallazgos que se originan luego de cada
auditoría, facilita la implementación eficaz de acciones correctivas y proporciona
información valiosa para la Organización auditada, los usuarios del informe y los propios
auditores en la planeación de nuevas auditorías, de acuerdo con las políticas institucionales
de seguimiento de la Institución.
Una alternativa para realizar este seguimiento es a través de la evaluación de la efectividad
del Plan de Mejoramiento presentado luego de cada auditoría, el cual se podrá realizar
como parte de la siguiente auditoría, en una auditoría específica de seguimiento o mediante
otras herramientas y actuaciones especiales de control.
Para la evaluación de la efectividad del Plan de Mejoramiento, se determinará si las
situaciones de incumplimiento comunicadas en el informe persisten al momento de realizar
el seguimiento, lo cual puede realizarse mediante acciones como la revisión documental,
visitas de seguimiento, conferencias o seminarios, entre otras.
Las prioridades para el seguimiento de los casos de no cumplimiento reportados,
dependerán de los lineamientos emitidos por la Alta Dirección de la Organización y de los
procedimientos establecidos para ello, tomando en cuenta a su vez la naturaleza de la
materia examinada, del incumplimiento identificado y las circunstancias de la auditoría.

Algunos Modelos de Auditoría

Los siguientes son algunos modelos de auditoría que se pueden emplear en la Organización
para el cumplimiento de los objetivos de la misma. Van desde una mirada global y amplia,
hasta una más detallada y cuidadosa, que permita tener una comprensión, lo más completa
posible. Igual se proponen estos modelos, los cuales, buscan que la entidad emplee aquel,
que según las circunstancias del momento de la entidad, se emplee.

Revisión General y Global

Este primer modelo que se propone es una revisión general que se puede hacer en la
Organización, teniendo como referente el Cuestionario de Diagnóstico para el
Cumplimiento de la Ley 1581 de 2012 en las Mipymes de la SIC. Este cuestionario permite
que la entidad lleve a cabo un proceso de evaluación del cumplimiento de todo lo exigido
por la Ley 1581 de 2012 en relación con el tratamiento adecuado de los datos personales
que ha recabado.
Este cuestionario esta dividido en dos partes. La primera es una mirada muy general de los
aspectos más relevantes en el tratamiento de los datos, exigido por la norma, que se ha
subdivido en 14 aspectos que a su vez, abarcan 85 ítems. La misma está centrada en hacer
una evaluación global de los aspectos más relevantes que se tienen en cuenta, para hacer
efectivo el derecho a hábeas data de los ciudadanos. La segunda es un poco más amplia y
está centrada en evaluar los 13 aspectos que se incluyen en el Principio de Responsabilidad
Demostrada que se incluye en la norma, como una de las maneras para evitar ser

Página 8 de 16
sancionado por el incumplimiento de todo lo atinente a la protección de los datos
personales. Esta segunda parte incluye 102 ítems, y como ya se mencionó, se centra en
evaluar los 13 aspectos que se requieren para hacer efectivo el Principio de
Responsabilidad Demostrada.
Con la evaluación que se haga con uno o con los dos cuestionarios, la entidad puede tener
una mirada general sobre el estado, en un determinado momento, de la implementación de
la protección de datos personales y de los procedimientos más significativos, que las
normas legales imponen y que la Organización ha asumido como tarea, para garantizar el
derecho a hábeas data de los titulares de los datos que previamente ha recabado, en virtud
de cumplir con la Política y el Programa institucional para la protección de los datos.
Este primer modelo de cuasi-auditoría permite a la entidad contar con una mirada general y
global, del estado del tratamiento de datos en ella, en tanto que la misma abarca la gran
mayoría de los aspectos generales que habría que tener en cuenta. Sin embargo, ella no está
centrada en detallar fortalezas y debilidades u oportunidades de mejora, sino únicamente en
contar con esa mirada general. Si lo que se requiere es contar con una información más
detallada y precisa, esta no será la mejor opción.

Revisión Controlada y Específica

Un segundo modelo de evaluación, cercano a una auditoría, pero que no lo es propiamente,
puesto que dicho modelo incluye la revisión de todos y cada uno de los documentos o la
gran mayoría de aquellos que se consideran relevantes en la Organización y que involucran
o deben involucrar el tratamiento de datos, razón por la cual, no sería propiamente una
auditoría, puesto que en ésta se seleccionan unas muestras aleatoriamente, para verificar en
dichas muestras, aquello que se está evaluando.
En este modelo, para que cumpla su objetivo, se deben llevar a cabo o tener en cuenta, los
siguientes aspectos:
1) El objetivo de la acción es evaluar los distintos documentos, procedimientos, estrategias
y acciones que se han puesto en marcha en la Organización, con el fin de cumplir las
normas existentes, sobre el tratamiento de datos personales en ella.
2) La evaluación que se hará, como mínimo debe abarcar como mínimo los siguientes
aspectos:
2.1. Documento Institucionales. Entre otros, se propone la evaluación, como mínimo de los
siguientes:
– Contrato de Matrícula de los Estudiantes.
– Contratos Laborales.
– Manual de Convivencia.
– Procedimiento de Enfermería Escolar.
– Procedimiento de Orientación Escolar.
– Procedimiento de Selección de Personal.
– Proyecto Educativo Institucional -PEI-.
Página 9 de 16
 – Reglamento de Salidas Pedagógicas.
– Reglamento Interno de Trabajo.
– Procedimiento de Vinculación de Contratistas a la Institución.
– Procedimiento de Vinculación de Entidades, Nacionales o Internacionales a la
Institución.
– Reglamento de Órganos Colegiados.
– Procedimientos de Seguimiento y Registro de Incidencias Académicas y
Convivenciales.
– Procedimientos Contables y Financieros.
– Formularios On Line.
– Publicaciones Institucionales.
2.2. Documento, Procedimiento o Políticas Institucionales. Entre otras, se propone la
evaluación, como mínimo de las siguientes:
– Procedimiento para el Manejo del Botón PSE.
– Procedimiento para la Gestión de Riesgo en el Tratamiento de Datos.
– Procedimiento de Gestión del TdDP en la Organización Complementario a la Política
y al Programa Institucional de Tratamiento de Datos Personales.
– Procedimiento para la Realización de la Auditoría sobre la Protección Integral del
Tratamiento de Datos en la Organización.
– Procedimiento para el Cumplimiento del Principio de Responsabilidad Demostrada.
2.3. Formatos Usados en la Organización. Entre otros, se propone la evaluación, como
mínimo de los siguientes:
– Todos los relacionados con la matrícula de los estudiantes.
– Todos los relacionados con la selección, contratación, evaluación y demás aspectos
relacionados con las relaciones laborales.
– Todos los relacionados con las acciones de disciplina y convivencia escolar.
– Todos los relacionados con las acciones pedagógicas y académicas de los
estudiantes.
– Todos los empleados en las acciones que adelanta orientación escolar.
– Todos los empleados en las acciones que adelanta enfermería escolar.
– Todos los empleados la suscripción de las cláusulas de confidencialidad que se deben
suscribir en la Institución.
– Todos los empleados ejercer los derechos que les asisten a los titulares de la
información recabada.
– Todos los formularios on line que emplee la Organización para cualquiera de las
funciones que suele llevar a cabo por este medio.

Página 10 de 16
 – Todos los empleados para la transferencia y transmisión nacional e internacional de
información con datos personales recabados.
2.4. Otros documentos relevantes del procedimiento de tratamiento de datos personales.
Entre otros, se propone la evaluación, como mínimo de los siguientes:
– La Política Institucional para el Tratamiento de Datos.
– El Programa Integral de Gestión de Datos Personales.
– Todos los demás que hagan parte del Tratamiento de datos Personales.
3) La evaluación se debe centrar en revisar, validar y determinar si todos y cada uno de los
anteriores documentos, incluyen los elementos requeridos para llevar a cabo un adecuado
tratamiento de los datos, porque cuentan con la información que los mismos deben tener,
pero además, si existen, como mínimo estos, para el manejo de los datos que la
Organización ha recogido.
4) Adicional a lo anterior, no sólo se debe evaluar si los documentos, formatos o textos,
incluyen lo relacionado con el adecuado tratamiento, sino además, si los textos en cada uno
de ellos, cumplen adecuadamente con todos y cada uno de los elementos que los mismos
deben incluir.
5) En esta tarea de evaluación de los documentos y textos, se debe también revisar que
efectivamente se respete lo concerniente a datos públicos, semi-privados, privados y
sensibles, según la naturaleza de cada formato o texto y la finalidad para la cual los datos
son solicitados.
6) Con los hallazgos de esta evaluación, la Organización puede estructurar el plan de
mejora de los documentos, texto y procedimientos que han sido evaluados, para
implementar las estrategias que se deben llevar a cabo, de cara a hacer los ajustes
necesarios y requeridos, que hagan posible, que efectivamente ella cumpla con todo lo
pedido por las normas. Esta tarea es fundamental, pues no de no hacerlo, no sirve mucho la
evaluación.

Auditoría Interna
Otra propuesta es realizar propiamente una auditoría, en este caso, interna, incluyendo en
ella, todos y cada uno de los elementos que la misma implica. La auditoría interna es la
actividad encargada de analizar y evaluar los procesos de gestión de riesgos, control y
dirección de una Organización. El alcance de la auditoría interna está definido
exclusivamente por la alta dirección de la entidad, a quienes el auditor informa
directamente los resultados obtenidos.
La auditoría interna es un procedimiento consensuado. Si bien la alta dirección y el auditor
elaboran el plan anual, la información sobre los detalles de la auditoría a realizar, debe ser
comunicada con antelación a los auditados, a fin de lograr acuerdos referentes a la
planificación programada.
Es de vital importancia realizar el seguimiento de los hallazgos encontrados, los puntos de
alerta y las sugerencias propuestas, ya que de ahí no solo dependerá el éxito de la auditoría
sino el alcance de la meta: lograr la máxima efectividad en las diferentes operaciones.

Página 11 de 16
 Características de la Auditoría Interna
Las características más sobresalientes de la auditoría interna son las siguientes:
1) Fechas programadas. Se debe realizar una estructuración de las fechas tentativas para
realizar la auditoría interna, en conjunto con la alta dirección de la Institución. Pueden
efectuarse durante diferentes momentos del año, lo importante es que al finalizarlas, se
hayan efectuado todos los procesos.
2) Ambiente profesional. Toda auditoría interna debe desenvolverse en un ambiente de
profesionalismo y respeto. Los hallazgos que se encuentren, sean positivos o no, se deberán
analizar con el auditado, antes de registrarlos.
3) Auditores competentes. Los auditores deben tener el conocimiento de los procedimientos
para auditar y comprender los procesos que se auditan. Además, deben ser objetivos e
imparciales.
4) Son planificadas. Una auditoría no es un proceso improvisado. Esta implica una
exhaustiva investigación de todo el proceso que se auditará, que va desde revisar los
problemas previos que ha presentado, hasta elaborar una lista de verificación que guiará el
acto.
5) Sustento legal. Toda auditoría deberá estar basada en las normas legales existentes, en
los estándares, en los criterios y principios incluidos en la Política y el Programa y en las
reglas de ética.
6) Registro y comunicación de resultados. Es fundamental una reunión de cierre con el
personal auditado. En esa reunión el auditor debe señalar las posibles debilidades y áreas
que se deben mejorar. Debe registrarse y comunicarse a los auditados y a la alta dirección,
toda la información, que incluye los puntos de desacuerdo, las áreas positivas y las áreas de
mejora. Por otra parte, el auditor es responsable de garantizar que se hayan tomado medidas
correctivas, para solucionar los problemas encontrados durante la auditoría.

Utilidad de la Auditoría Interna

La auditoría interna cumple diversos propósitos dentro de la Organización, pero sus
objetivos principales incluyen:
1) Ayudar a proteger los activos, las responsabilidades y los compromisos que la
Organización posee, mediante la valoración y verificación del cumplimiento de lo prescrito,
sobre el tratamiento de datos personales en la Política, el Programa y demás documentos
prescriptivos.
2) Evaluar los reportes sobre el cumplimiento de sus funciones, sobre la protección integral
de los datos recabados por la Organización, preparados por el personal responsable, a fin de
verificar la eficacia del sistema de gestión integral para la protección de los datos
personales en ella, controlar los errores y detectar posibles fraudes.
3) Colaborar con la alta dirección en identificar y priorizar aquellas áreas o procesos que
requieran mayor atención, por encontrarse en situación de riesgo.

Página 12 de 16
4) Realizar pruebas a los instrumentos de control interno, a fin de identificar vacíos
procedimentales en estos.
5) Promover el uso eficiente y efectivo de los datos personales que la Organización ha
recabado para el cumplimiento de su labor misional.
6) Identificar posibles situaciones de riesgo, inquietudes u oportunidades futuras, brindando
a la alta dirección, asesoramiento profesional sobre posibles actuaciones en cada caso.
7) Proponer sugerencias, nuevas ideas o realizar una investigación especial, sobre el
cumplimiento de los criterios, principios y procedimientos para el tratamiento de datos en la
Organización.
8) Determinar la responsabilidad de los empleados ante cualquier situación anómala
detectada en la auditoría.
9) Apoyar la gestión del auditor externo a través del informe de auditoría, el cual debe
realizarse bajo los parámetros, reglas y normas establecidas.
10) Garantizar el cumplimiento de las leyes y regulaciones, tanto internas como las de
carácter nacional e internacional, sobre el tratamiento de datos personales.

Ventajas de la Auditoría Interna

Las ventajas más sobresalientes de la auditoría interna son las siguientes:
1) Remediar o proponer soluciones para atender las deficiencias que se estén presentando
en el tratamiento de los datos personales en la Organización, oportunamente.
2) Identificar y remediar las deficiencias de manera oportuna, antes de que estas sean
detectadas por auditorías externas, regulatorias o de cumplimiento.
3) Se puede solicitar en cualquier momento, siempre que la alta dirección lo considere
importante o requerido.
4) A pesar de existir un plan de auditoría, la alta dirección, puede solicitar en cualquier
momento, una auditoría interna general o de alguna dependencia en específico.
5) Garantizar datos sobre el estado de la protección integral de los datos personales, que
estén actualizados.
6) Debido a que la información sobre los procedimientos seguidos en la Organización por
parte de los entes de control o de los titulares de la información, es regularmente solicitada
para su evaluación y análisis, el personal responsable del tratamiento de datos, debe trabajar
a fondo, en el mantenimiento actualizado de estos registros.
7) Eliminar posibilidad de fraude interno o la posibilidad de que efectivamente los
empleados de la Institución, no estén cumpliendo adecuadamente con sus
responsabilidades, frente al tratamiento de datos personales.
8) Llevar a cabo este tipo de auditorías internas reduce al mínimo la posibilidad de un
fraude interno.

Página 13 de 16
9) Evaluar los procedimientos operativos y de control con que la Organización cuenta.
Considerando los hallazgos de la auditoría, se pueden tomar decisiones respecto a
incrementar la efectividad y eficiencia de dichos procedimientos.
10) Revisar las políticas, programas, procedimientos y criterios que la entidad ha diseñado
e implementado, para la protección integral de los datos personales.
11) Como la auditoría es un proceso continuo y programado, posibilita hacer un
seguimiento a las nuevas políticas diseñadas, a fin de evaluar posibles reestructuraciones de
las mismas.

Desventajas de la Auditoría Interna

Las desventajas más sobresalientes de la auditoría interna son las siguientes:
1) Posibilidad de no detectar un fraude que se pueda estar presentando en tanto que sólo se
revisa una muestra de los procedimientos y documentos.
2) La auditoría se basa en la evaluación de la información suministrada por la alta
dirección, razón por la cual., se hace difícil para el auditor, verificar cada uno de los datos y
procedimientos existentes. Si estos datos están alterados, el informe final de la auditoría
interna, no estará apegado a la realidad, pudiendo pasarse por alto algún fraude cometido.
3) No es posible estandarizarla, puesto que cada Organización tiene sus propios parámetros
para ser evaluados dentro de la auditoría. Los aspectos de cómo medir y con base en qué
hacerlo, su productividad o eficacia, serán el cimiento para estructurar los objetivos y metas
que se persiguen con la auditoría interna de ella.
4) Subjetividad puesto que la auditoría interna, puede no revelar una información veraz y
confiable de la Organización. Esto estaría asociado a varios factores. Si el personal se siente
evaluado, puede ocultar fallas en las que haya incurrido, las cuales, por muy pequeñas que
sean, alterarían los resultados del informe final. Otro aspecto es que las personas
encargadas de realizar la auditoría interna, pudieran utilizarla como un medio de poder,
ejerciéndolo hacia los encargados de emitir la información. Por otra parte, si la información
que se suministra es correcta, pero no se interpreta objetivamente, perderá toda validez.
5) El informe final solo tiene utilidad interna. Para que los datos arrojados por la auditoría
interna sean válidos ante entidades externas y otros entes, la Organización deberá realizar
una auditoría externa, lo cual implica costos adicionales al tener que contratar auditores
para que la realicen.

Auditoría Externa
Finalmente, una última propuesta es realizar una auditoría, en este caso, externa,
incluyendo en ella, todos y cada uno de los elementos que la misma implica. La auditoría
externa es una verificación que se realiza en una Organización, que tiene la finalidad de
cotejar y comprobar la situación del estado de la protección integral de los datos personales
que ella ha recabado con el fin de cumplir su labor misional o tareas adyacentes con la
misma, así como también, verificar los riesgos y los posibles incumplimientos que se

Página 14 de 16
puedan estar dando en ella, por parte de sus funcionarios, en la esta labor, de tal manera que
pueden conducir a la imposición de sanciones, por parte de las entidades de control.
De todas maneras, la primera parte de este procedimiento aborda más detalladamente todo
lo que se debe tener en cuenta en una auditoría, elementos que se deben tener en cuenta en
este tipo de auditorías que se están abordando en esta última clasificación de los posibles
tipos de auditoría que se podrían llevar a cabo en la Organización.
Toda auditoría debe ser analítica y objetiva, pero además, debe tener un amplio sentido
crítico por parte de quien la realiza, en tanto que ella es una comparación y, como tal, debe
poder compararse con un patrón, que en este caso son las disposiciones normativas sobre la
protección de datos, así como la Política, el Programa y los demás documentos
institucionales que se han elaborado sobre el particular. Las auditorías pueden ser
voluntarias o de carácter obligatorio.
La auditoría es llevada a cabo por la figura de un auditor que debe ser una persona
especialista en el objeto de la misma, pero además, el auditor debe tener conocimiento de la
Organización, en cuanto a infraestructura, funcionamiento, conocimiento del medio
ambiente en el cual ella se desarrolla. Los resultados de toda auditoría se expresan hacia
determinado público (puede ser interno o externo) y con determinado objetivo.

Funciones de una Auditoría Externa

Las funciones de la auditoría externa que son las más relevantes son las siguientes:
1) Analizar y evaluar los procesos y procedimientos seguidos en la Organización para la
protección integral de los datos personales que ha recabado, desde el inicio hasta el final,
evaluando los riesgos posibles.
2) Identificar áreas de mejora en todos y cada uno de los procedimientos que se siguen en la
Organización en relación con la protección integral de los datos personales.
3) Ajustar políticas y procedimientos legales y normativos al marco de la Organización.
4) Priorizar acciones que optimicen a la Organización en sus responsabilidades en relación
con el tratamiento de datos.
5) Facilitar a la alta dirección de la Organización, no sólo de la información correcta sino
también, proveer visión sobre determinada temática en particular, para que la entidad, logre
alcanzar los objetivos propuestos.

Características de la Auditoría Externa

1) Objetividad de la Auditoría Externa: La objetividad de la auditoría externa, hace
referencia a la característica de imparcialidad que toda auditoría debe tener. Debe
prevalecer el juicio crítico del auditor, quien deberá expresarse con formalidad y llevar a
cabo los pasos necesarios para cumplir con el objetivo de la auditoría.
2) Misión de la Auditoría Externa: Toda auditoría tiene como finalidad brindarle
credibilidad y asistir a la Organización, frente a los cambios en cuanto a la legislación
vigente sobre el tratamiento de datos, de tal modo que ésta se encuentre en regla.

Página 15 de 16
3) Patrón de Comparación: Toda auditoría se debe realizar teniendo en cuenta un patrón de
comparación, es decir, con relación a la anterior auditoría externa o a una interna, con el fin
de poder referir los resultados obtenidos a lo detectado anteriormente.
4) La auditoría externa examina y evalúa cualquiera de los sistemas de información de una
Organización y emite una opinión independiente sobre los mismos, pero las Organizaciones
generalmente requieren de la evaluación de varios de sus sistemas de información como el
financiero, el de hábeas data, el contable, el estado de implantación de un modelo de
calidad, etc., en forma independiente, para otorgarle validez a que la entidad lleva a cabo,
ante los usuarios de sus servicios. Para esto se llevan a cabo los distintos tipos de auditoría.

Fases de una Auditoría Externa

La auditoría externa se debe llevar a cabo siguiendo un plan de acción o fases que se deben
respetar y cumplir. Estas fases son:
1) Planeación. En esta fase se informa a la Organización el modo de actuar del auditor y el
tiempo que durará dicha auditoría. En esta etapa se le puede solicitar a la entidad
determinadas cuestiones que faciliten la tarea del auditor. Por ejemplo, acceso a depósitos,
a documentos, dependencias, etc.
2) Ejecución. En esta fase se pone en marcha el plan o la estrategia diseñada y planificada
para realizar la auditoría propiamente dicha.
3) Informe. Esta es la fase final de la auditoría. En ella se presenta en forma escrita, de todo
el trabajo del auditor, los hallazgos y las conclusiones.

Auditor
El auditor es la o las personas que llevan a cabo la auditoría desde el comienzo hasta el
final. Este examinador no puede actuar influenciado por conflictos personales en ninguna
auditoría sino más bien debe ser completamente imparcial dado que se encuentra en una
postura de evaluación de la organización.
El auditor no puede tener ningún tipo de conflicto de interés con la Organización que va a
auditar, esto con el fin de poder ser lo más objetivo e imparcial posible. De igual manera,
debe ser un agente externo a ella, es decir, que no tenga vínculo laboral con la entidad.
Su perfil debe como mínimo incluir las siguientes características: conocer a profundidad la
materia o el tema sobre el cual va a llevar a cabo la auditoría, lo cual se debe sustentar con
evidencia; tener experiencia y conocimiento en la realización de auditorías; ser una persona
objetiva y comprometida con la materia sobre la cual se lleva a cabo la auditoría; y tener
una buena capacidad de comunicación para expresar adecuadamente los asuntos
relacionados con el trabajo de la auditoría.

Página 16 de 16