Unidad Actividades de

didáctica Auditoría Interna

Subdirección de Proyección Institucional ESAP

 Ac tividades de Auditoría Interna

Escuela Superior de Administración Pública Actividades de

ESAP. auditoría Interna

Pedro Eugenio Medellín Torres Autor

Director Nacional Andrés Merizalde

Fernando Guzmán Rodríguez Corrección de estilo, acompañamiento

Subdirector Académico pedagógico, diseño instruccional, diseño
gráfico y virtualización.
Jairo Díaz Pinzón
Subdirector de Alto Gobierno Equipo Componente 1
Fortalecimiento del proceso de
Mauricio Vasco Moscovith capacitación virtual
Subdirector de Proyección Institucional Proyecto ESAP – CMA

Ruby Maritza Gerena Useche Fecha última versión

Jefe Departamento de Capacitación Junio 2019

ESAP - CMA ha verificado, hasta donde es posible, que el contenido de los enlaces web citados
y presentados en este curso sean verídicos y que correspondan; sin embargo, y debido a la
naturaleza dinámica de internet, ESAP - CMA no puede responsabilizarse por el correcto y
adecuado funcionamiento de los mismos.

Las imágenes de este documento han sido compradas a través de: https://www.123rf.com/
 Ac tividades de Auditoría Interna

Objetivo de aprendizaje.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Tema 1: Generalidades sobre la realización de una auditoría. . . . . . . . . 8

Tema 2: Inicio de la auditoría.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.1. Establecimiento del contacto con el auditado. . . . . . . . . . . . . . . . . . . . . . . 11
2.2. Determinación de la viabilidad de la auditoría. . . . . . . . . . . . . . . . . . . . . . . 13

Tema 3: Preparación de las actividades de auditoría.. . . . . . . . . . . . . . 15

3.1. Revisión de la información documentada. . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2. Planificación de la auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3. Asignación de las tareas al equipo auditor.. . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4. Preparación de la información documentada para la auditoría. . . . . . . . . . . . . . . 25

Tema 4: Realización de las actividades de auditoría. . . . . . . . . . . . . . . 26

4.1. Generalidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.2. Asignación de roles y responsabilidades de los guías y los observadores. . . . . . 28
4.3. Realización de la reunión de apertura. . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.4. Comunicación durante la auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.5. Disponibilidad y acceso a la información de la auditoría. . . . . . . . . . . . . . . . . 31

3
 Ac tividades de Auditoría Interna

4.6. Revisión de la información documentada durante la auditoría. . . . . . . . . . . . . 31

4.7. Recopilación y verificación de la información. . . . . . . . . . . . . . . . . . . . . . . . 31
4.8. Generación de hallazgos de la auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.9. Determinación de conclusiones de la auditoría. . . . . . . . . . . . . . . . . . . . . . . 36
4.10. Realización de la reunión de cierre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Tema 5: Preparación y distribución del informe de auditoría. . . . . . . . . 39

5.1. Preparación del informe de auditoría.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.2. Distribución del informe de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Tema 6: Finalización de la auditoría. . . . . . . . . . . . . . . . . . . . . . . . . 41

Tema 7: Realización de actividades de seguimiento de la auditoría. . . . . 42

Glosario.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Lista de Referencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4
 Ac tividades de Auditoría Interna

Objetivo
de Aprendizaje

Comprender la estructura y funcionalidad de las fases de planificación y

ejecución de una auditoría interna individual, tomando directrices y reco-
mendaciones planteadas por fuentes nacionales e internacionales expertas.

5
 Ac tividades de Auditoría Interna

Resumen
El principal reto de los auditores internos es el total cumplimiento del ob-
jetivo general del programa de auditoría interna de la organización y para
lograrlo, resulta fundamental la planificación de todas las actividades a rea-
lizar en el marco de cada una de las auditorías individuales, incluyendo la
determinación del recurso humano y la asignación de roles y responsabi-
lidades específicos de los miembros del equipo, la determinación de los
métodos, de los recursos físicos y tecnológicos necesarios, de la logística,
de las agendas, etc.

Por otra parte, entes expertos en auditoría interna han desarrollado pro-
puestas con orientaciones metodológicas para planificar y realizar audito-
rías individuales, y la presente unidad pretende recoger algunas de ellas,
que pueden agregar valor a las auditorías que se realizan en organizaciones
de los sectores público y privado.

La unidad se desarrolla siguiendo el hilo conductor que presenta el Capí-

tulo Sexto de la Guía GTC ISO19011 (2018), recientemente actualizada a

6
 Ac tividades de Auditoría Interna

su tercera versión y que desde la publicación de las dos primeras ediciones

ha buscado brindar herramientas efectivas para la realización de auditorías
a sistemas de gestión, ajustándose cada vez a un enfoque más amplio y a
orientaciones que se ajusten a las necesidades actuales.

Se presentan orientaciones desde la GTC ISO19011 (2018), complemen-

tándolas con pautas de otras normas Internacionales para realizar audito-
rías individuales y con las orientaciones de Función Pública (2018), publica-
das en la Guía de Auditoría para Entidades Públicas - Versión 3.

7
 Ac tividades de Auditoría Interna

Generalidades sobre la
Tema 1
realización de una auditoría

Después de conocer la gestión de un programa de auditoría interna en la unidad anterior, durante

esta unidad encontraremos orientación específica sobre la planificación de las auditorías indivi-
duales, el trasegar en la realización y la presentación de informes finales. La Figura 1 demuestra
bajo un esquema de gestión o de Planificar, Hacer, Verificar, Actuar (PHVA) las diferentes fases
sugeridas desde la GTC ISO 19011 (2018), el marco internacional para el ejercicio profesional de
auditorías internas, y el manual de auditorías internas hallado en (Función Pública 2018).

Como se sugiere en la GTC ISO 19011 (2018), el grado de aplicación de las disposiciones de esta
unidad depende de los objetivos y del alcance de la auditoría específica.

8
 Ac tividades de Auditoría Interna

Planificar Hacer Verificar Actuar

5.2. Establecimiento
de los objetivos del
programa de auditoría

5.3. Determinación y 5.7. Revisión y

evaluación de los Mejora del programa
riesgos del programa de auditoría
de auditoría

5.4. Establecimiento 5.5. Implementación 5.6. Seguimiento del

del programa de del programa de programa de auditoría
auditoría auditoría
Capítulo 5

Capítulo 6
6.2.
Inicio de la auditoría

6.3. Preparación de 6.4. Realización de las 6.7. Realización de las

las actividades de actividades actividades de segui-
auditoría de auditoría miento de la auditoría

6.5. Preparación y 6.6. Finalización

distribución del de la auditoría
informe de auditoría

Planificar Hacer Verificar Actuar

Figura 1. Diagrama de flujo para la gestión de un programa de auditoría. Muestra las diferentes
fases sugeridas para las etapas de gestión de un programa de auditoría y realización de actividades
de auditoría, bajo el esquema de gestión (Planificar, Hacer, Verificar Actuar – PHVA).
Fuente: GTC-ISO 19011. (2018).

9
 Ac tividades de Auditoría Interna

Inicio de la auditoría
Tema 2

Una vez que el líder del programa de auditoría general designa a cada líder de equipo individual,
son estos últimos quienes reciben la responsabilidad de dar inicio al trabajo.

Según Función Pública (2018) y la GTC ISO 19011 (2018), para dar inicio a un programa de au-
ditoría se deben tener en cuenta los pasos lógicos que se sugieren en la Figura 2. No obstante,
se advierte que dicha secuencia puede diferir dependiendo del auditado, de los procesos y de las
circunstancias específicas.

10
 Ac tividades de Auditoría Interna

6.2.
Inicio de la auditoría

6.3. Preparación de 6.4. Realización de las 6.7. Realización de las

las actividades de actividades actividades de segui-
auditoría de auditoría miento de la auditoría

6.5. Preparación y 6.6. Finalización

distribución del de la auditoría
informe de auditoría

Planificar Hacer Verificar Actuar

Figura 2. Diagrama de flujo de la realización de una auditoría.

Fuente: ICONTEC, GTC ISO 19011:2018.

2.1. Establecimiento del contacto c. Proporcionar información pertinente so-

con el auditado
De acuerdo con la GTC – ISO 19011:2018,
el primer paso a desarrollar le corresponde al
líder del equipo auditor, quien debe estable-
cer comunicación directa con el auditado para
confirmar información y canales de comunica-
ción, así como para asegurarse de realizar las
siguientes actividades:
a. Confirmar los canales de comunicación
con los representantes del auditado
b. Confirmar la autoridad para llevar a cabo la
auditoría
bre los objetivos de la auditoría, el alcance,
los criterios, los métodos y la composición
del equipo auditor, incluyendo a los exper-
tos técnicos
d. Solicitar acceso a la información perti-
nente con propósitos de planificación,
incluyendo información sobre los riesgos
y oportunidades que la organización ha
identificado y la manera en que se tratan
e. Determinar los requisitos legales y regla-
mentarios aplicables y otros requisitos
pertinentes para las actividades, procesos,
productos y servicios del auditado

11
 Ac tividades de Auditoría Interna

f. Confirmar lo acordado con el auditado res- La solicitud de información se debe realizar te-
pecto al grado de difusión y al tratamiento niendo en cuentas los objetivos y alcance de
de la información confidencial la auditoría y las actividades contempladas en
g. Hacer los preparativos para la auditoría in- el plan de auditoría.
cluyendo el calendario
h. Determinar los acuerdos específicos de la En la Figura 3 se presentan algunos de los prin-
ubicación en cuanto al acceso, seguridad y cipales documentos que pueden ser solicitados:
salud, seguridad física, confidencialidad u
otras
i. Acordar la asistencia de observadores y la
necesidad de guías o intérpretes para el
equipo auditor
j. Determinar cualquier área de interés, pre-
ocupación o los riesgos para el auditado
en relación con la auditoría específica
k. Resolver las cuestiones relativas a la com-
posición del equipo auditor con el cliente
de la auditoría (P. 21)

Según la Guía de Auditoría Para Entidades Pú-

blicas publicada por Función Pública (2018),
Se debe solicitar obtener la información y do-
cumentaciones necesarias para iniciar la audi-
toría en campo.

Los registros físicos y electrónicos que soportan

el proceso serán una de las fuentes desde donde
se obtienen datos, los cuales deben relacionarse
claramente en los papeles de trabajo.

12
 Ac tividades de Auditoría Interna

Procedimientos relacionados con el

proceso sujeto de auditoría

Mapa de riesgos del proceso

Principales documentos
que deberían revisarse
Plan de acción del proceso

Planes de mejoramiento

Figura 3. Documentos que deberían revisarse. - Fuente: Elaboración propia

2.2. Determinación de la viabilidad de la auditoría

Debería estudiarse la viabilidad de la auditoría (Figura 4) para determinar que los objetivos de la
misma pueden alcanzarse teniendo en cuenta factores como la disponibilidad de información sufi-
ciente y apropiada para planificar y realizar la auditoría, disponibilidad y cooperación del auditado,
el tiempo y recursos suficientes para adelantar la auditoría, tales como acceso apropiado a tecno-
logías de la información y las comunicaciones.

Si la auditoría no es viable, el líder del equipo auditor debería recomendar una auditoría alternativa
al cliente de auditoría.

13
 Ac tividades de Auditoría Interna

Establecer contacto con el auditado

Inicio de auditoria

Determinar la viabilidad de la auditoría

Figura 4. Inicio de la auditoría. - Fuente: Elaboración propia.

14
 Ac tividades de Auditoría Interna

Preparación de las actividades de auditoría

Tema 3

Con suficiente anticipación al día en que se adelantarán las entrevistas, se deberían adelantar la-
bores de preparación técnica para reconocer la organización y los procesos a auditar, de manera
que el equipo auditor alcance a realizar un barrido por la documentación existente, logre reconocer
el contexto general y pueda realizar actividades de auditoría con la mayor pertinencia posible, en
función de cumplir el objetivo del programa.

A continuación, se presentan los cuatro pasos propuestos por la GTC – ISO 19011:2018, para
preparar las actividades de auditoría:

15
 Ac tividades de Auditoría Interna

Realizar la revisión de la Enfoque basado en riegos

información documentada para la planificación

Detalles de la
Planificar la auditoria planificación de la
auditoría
Preparación de
las actividades
Asignar las tareas al
de auditoria
equipo auditor

Preparar la información
documentada para la
auditoría

Figura 5. Pasos para la preparación de las actividades de una auditoría.

Fuente: Elaboración propia.

3.1. Revisión de la información do- gral de “la extensión de la información docu-

cumentada
Es importante revisar minuciosamente la in-
formación documentada presentada por el
auditado y verificar que se reúna toda la in-
formación que permita comprender todas las
operaciones del auditado y permita preparar
todas las acciones de auditorías de forma per-
tinente.
Igualmente se debería permitir una vista inte-
mentada para determinar la posible conformi-
dad con los criterios de auditoría y detectar
las posibles áreas de preocupación, como de-
ficiencias, omisiones o conflictos” (GTC – ISO
19011:2018, P. 22).
La información y documentos útiles para ve-
rificar las acciones auditadas como documen-
tos y registros del sistema de gestión, como
a informes antiguos de auditoría pasados. “La

16
 Ac tividades de Auditoría Interna

revisión debería tener en cuenta el contexto ficadas, deberían ser suficientes para alcanzar
de la organización del auditado, incluyendo ta- a cumplir el objetivo general, los criterios y el
maño, naturaleza y complejidad, además ries- alcance del programa general de auditoría in-
gos y oportunidades relacionados. También terna de la organización.
debería tener en cuenta el alcance, los crite-
rios y los objetivos de la auditoría” (GTC – ISO En las entidades públicas colombianas, el Jefe
19011:2018, P. 23). de Control Interno o quien haga sus veces de-
bería asumir su rol de auditor líder y debería
En lo posible, el equipo auditor debería verifi- gestionar la aprobación del plan de auditoría
car si la información presentada es completa, que debería incluir alcance, objetivos, tiem-
correcta, coherente y actual. Igualmente de- po y los recursos necesarios tal como lo es-
bería considerarse si es suficiente la evidencia tablecen las normas internacionales para el
objetiva presentada para verificar el cumpli- ejercicio profesional de la auditoría interna (IIA
miento de los requisitos. GOLBAL, 2013). En la Figura 6, se observan
los aspectos a desarrollar en la planeación de
3.2. Planificación de la auditoría una auditoria interna para una entidad pública.
El líder de la auditoría individual tiene la res-
ponsabilidad de considerar todas las variables
que pueden afectar la realización de la audito-
ría y gestionar todas las acciones necesarias,
empezando por determinar el objetivo especí-
fico de la auditoría individual asignada, los cri-
terios, el alcance, el tiempo necesario, la agen-
da, los roles de los miembros de su equipo de
auditores, en coherencia con el programa ge-
neral de auditorías de la organización.

En su conjunto, los objetivos, criterios y alcan-

ces de todas las auditorías individuales plani-

17
 Ac tividades de Auditoría Interna

Tiempo y
Objetivos Alcance Procedimientos recursos

• Son los propósitos • Marco o límite de la • Técnicas de auditoría • Se relaciona en el

establecidos, lo que se auditoría y los temas que se aplicarán para cronograma y es el
busca logra con la que serán objeto de la obtener evidencias tiempo empleado para
auditoría. misma. suficientes sobre las la realización de las
cuales emitir una tareas bajo unas
• Será relevante tener • El alcance debe ser opinión respecto al condiciones que
en cuenta los objeti- suficiente para proceso auditado. garanticen su óptima
vos institucionales satisfacer los objetivos utilización.
que serán de interés de la auditoría estable- • Los procedimientos
para la auditoría. Su cidos. que se realizan • Se debe analizar así
óptima alineación se comúnmente pueden mismo la relación de
verá reflejada en los • Deben incluirse las consultarse en la recursos humanos,
resultados y el aporte posibles limitaciones al Figura 8. financieros y equipos
a la mejora de la alcance (factores que se necesitan para
entidad. externos al equipo de la ejecución de la
auditoría) que pueden auditoría.
• Para una mayor impedir obtener toda
comprensión en la la información para
figura 7 se explican los cumplir con el objetivo.
dos tipos de trabajos
de auditoría que
pueden realizarse.

Figura 6. Aspectos a desarrollar en la planeación de una auditoria interna para una entidad pública.
Fuente: Función Pública, 2018.

18
 Ac tividades de Auditoría Interna

Como se describe en la Figura 7, se pueden presentar seis (6) tipos de trabajos de auditorías de
acuerdo con la temática o el tipo de trabajo como aseguramiento financiero, aseguramiento de
controles, tecnología de la información, cumplimiento, operaciones e integrado (Función Pública,
2018).

Tipo Descripción

Proporciona aseguramiento en relación con el logro de uno o más objetivos

Aseguramiento financieros (existencia u ocurrencia, integridad, valuación y asignación,
financiero derechos y obligaciones, presentación y revelación).

Proporcionar aseguramiento en relación con el diseño y la operación de las

Aseguramiento actividades de control clave. Los controles pueden ser operativos, financieros
de controles o relacionados con el cumplimiento.

Tecnología de la Proporcionar aseguramiento en relación con el diseño y la operación de las

Información (TI) actividades de control general de Gobierno Digital.
(

Proporcionar aseguramiento en relación con el diseño y la operación de las

Cumplimiento actividades de control y los procedimientos existentes para asegurar el
cumplimiento de las leyes, regulaciones, políticas, etc.

Proporcionar aseguramiento en relación con la eficacia y eficiencia de las

Operaciones operaciones de una organización, incluidos los objetivos de desempeño y
rentabilidad y la protección de recursos contra pérdidas.
(

Proporcionar aseguramiento en relación con cualquier combinación de los

Integrado objetivos anteriores, por ejemplo, una auditoria de alcance completo puede
incluir aseguramiento respecto de todos los tipos de trabajo antes
Actuar
mencionados.

Figura 7. Tipos de trabajos de auditoría.

Fuente: Fundación de Investigaciones del IIA. Auditoría Interna. Servicios de Aseguramiento y Con-
sultoría. P 10 - 13. Función Pública, (2018).

19
 Ac tividades de Auditoría Interna

Procedimiento Descripción

• Se realizan preguntas al personal del proceso auditado o a terceros y obtener sus

Consulta respuestas bien sean orales o escritas.
• Los tipos de consulta más formales incluyen entrevistas, encuestas y cuestionarios.

• Se observan a las personas, los procedimientos o los procesos.

Observación • Una limitación importante de la observación es que proporciona información en un
momento determinado, por lo que el auditor no puede concluir que lo observado es
representarivo de lo que sucede en forma general.

• Se estudian documentos y registros y en examinar físicamente los recursos tangibles.

Inspección • Los auditores internos deben reconocer y considerar su nivel de competencia (en
otras palabras, su capacidad para comprender lo que leen y lo que ven).
(

Revisión de Se realiza específicamente para probar la validez de la información documentada o

comprobantes registrada.

Se realiza específicamente para probar la integridad de la información documentada

Rastreo
o registrada.
(

Se utilizan para identificar anomalías en la información tales como fluctuaciones,

Procedimientos diferencias o correlaciones inesperadas. Dichas anomalías pueden ser indicadoras de
analíticos transacciones o eventos inusuales, de errores o de actividades fraudulentas que
Actuar
requieren una mayor atención o profundidad en el análisis.

Consiste en la obtención de verificación directa o por escrito de la exactitud de la

Confirmación
información proveniente de terceros independientes. Actuar

Figura 8. Procedimientos de auditoría.

Fuente: Fundación de Investigaciones del IIA. Auditoría Interna. Servicios de Aseguramiento y Con-
sultoría. PP. 9 - 18. Función Pública, 2018.

20

3.2.1. Enfoque basado en riesgos para la
planificación
En la GTC ISO 19011 (2018) se sugiere que el
líder del equipo de auditoría individual adopte
un enfoque basado en los riesgos para planifi-
car las actividades de auditoría en los procesos
del auditado, a partir de lo que fue aproba-
do en el programa general de auditoría y de
la información suministrada previamente por
el auditado sobre la organización y sobre los
procesos que serán revisados.
La planificación de la auditoría individual con
un enfoque con base en riesgos proporciona
la base para el acuerdo entre el cliente de la
auditoría, el equipo auditor y el auditado en
lo que tiene que ver con realizar la auditoría
individual.
21
Ac tividades de Auditoría Interna
La identificación, evaluación y control de los
riesgos asociados a las actividades de auditoría
individual, debería estar alineada con la gestión
de riesgos realizada en la formulación del progra-
ma general de auditoría de la organización.
Para lograr los objetivos de forma eficaz, la
planificación a partir de los riesgos identifica-
dos facilita el establecimiento de cronogramas
y coordinaciones eficientes del trabajo.
Según la GTC ISO 19011 (2018), el nivel de
detalle proporcionado en el plan de auditoría
debería reflejar el alcance y la complejidad de
ésta, así como los riesgos de no lograr los ob-
jetivos de la auditoría. Al planificar la auditoría,
el líder del equipo auditor debería considerar
lo siguiente:

a) La composición del equipo auditor y su
competencia global
b) Las técnicas de muestreo apropiadas
c) Las oportunidades para mejorar le eficacia
y eficiencia de las actividades de auditoría
d) Los riesgos para el logro de los objetivos
de la auditoría generados por una planifi-
cación ineficaz de la auditoría
e) Los riesgos para el auditado generados al
realizar la auditoría (P. 23)
Lo que se considera un riesgo para el auditado
puede presentarse por la presencia del equipo
auditor en algún sitio sensible a la presencia
de terceros por cuestiones de seguridad, en-
torno, salud, calidad de productos y servicios,
personal o infraestructura de locaciones sus-
ceptibles.
3.2.2. Detalles de la planificación de la
auditoría
Para planificar las actividades de auditoría se
debe tener en cuenta la disponibilidad de re-
cursos y de acceso a los sitios de trabajo.
El detalle y contenido de los planes de audito-
ría dependen de muchos factores particulares
y deberían ser flexibles para hacer los ajustes
pertinentes en la marcha.
22
Ac tividades de Auditoría Interna
Según la GTC ISO 19011 (2018), la planifica-
ción de la auditoría debería tratar o hacer re-
ferencia a lo siguiente:
a) Los objetivos de la auditoría
b) El alcance de la auditoría, incluyendo la
identificación de la organización y de sus
funciones, así como los procesos que van
a auditarse
c) Los criterios de auditoría y cualquier infor-
mación documentada de referencia
d) Las ubicaciones (físicas y virtuales), las fe-
chas, el horario y la duración previstos de
las actividades de auditoría que se van a
llevar a cabo, incluyendo las reuniones con
la dirección del auditado
e) La necesidad de que el equipo auditor se
familiarice con las instalaciones y procesos
del auditado (por ejemplo, realizando una
visita a las ubicaciones físicas, o revisando
las tecnologías de la información y las co-
municaciones)
f) Los métodos de auditoría que se van a
usar, incluyendo el grado en que se nece-
sita el muestreo de la auditoría para obte-
ner las evidencias de auditoría suficientes
g) Los roles y responsabilidades de los miem-
bros del equipo auditor, así como los guías
y los observadores intérpretes

h) La asignación de los recursos apropiados
basada en la consideración de los riesgos y
oportunidades relacionados con las activi-
dades que se han de auditar
Por otra parte, la planificación de la auditoría
debería tener en cuenta los siguientes aspec-
tos según sea apropiado:
• La identificación de los representantes del
auditado en la auditoría
• El idioma de trabajo y del informe de audito-
ría, cuando sea diferente del idioma del audi-
tor o del auditado, o ambos
• Los temas del informe de auditoría
• Los preparativos logísticos y de comunica-
ciones, incluyendo los preparativos específi-
cos para las ubicaciones que se van a auditar
• Las acciones específicas a tomar para tratar los
riesgos en el logro de los objetivos de la audi-
toría y las oportunidades que surjan
• Los asuntos relacionados con la confidencia-
lidad y la seguridad de la información
• Las acciones de seguimiento de una audito-
ría previa u otras fuentes, por ejemplo, las
lecciones aprendidas, las revisiones de pro-
yectos
• Las actividades de seguimiento de la audito-
ría planificada
23
Ac tividades de Auditoría Interna
• La coordinación con otras actividades de
auditoría, en el caso se una auditoría con-
junta (P. 24)
Cuando no se puede verificar algunos hechos
cumplidos en un proceso o algunas transaccio-
nes, se selecciona una muestra representativa
de acuerdo con lo complejo del proceso o sis-
tema auditado.
Se pueden realizar dos tipos de muestreos. Por
una parte, el muestreo estadístico que se basa
en la teoría de la distribución normal, requiere
la aplicación de fórmulas estadísticas para cal-
cular tendencias. En Función Pública (2018),
se anexa una caja de herramientas, donde se
presenta un formato para este ejercicio.
Por otro lado, se presenta el muestreo “no
estadístico”, como el “indiscriminado”, donde
el equipo auditor selecciona el tamaño de la
muestra sin usar alguna técnica estructurada,
pero evita algún cambio que se pueda calcular.
Igualmente, existe el muestreo “de juicio o dis-
crecional”, donde el equipo auditor pone una
variante en la selección de la muestra, por
ejemplo: todas las cifras mayores a determina-
do valor, todas los productos o servicios que
tengan una característica particular, todos los
 Ac tividades de Auditoría Interna

positivos, los usuarios nuevos, entre otros según el juicio del equipo auditor, desde los cuales se
pueda establecer una muestra representativa.

3.3. Asignación de las tareas al equipo auditor

Es el líder del equipo auditor el encargado de asignar roles y la responsabilidad de auditar algunos
procesos, actividades, funciones, o lugares, según se establezca; teniendo en cuenta la imparcia-
lidad, la objetividad y la competencia de los auditores; así como el uso apropiado de los recursos,
los diferentes roles y responsabilidades de cada integrante del equipo auditor.

Es posible realizar cambios según el líder del equipo auditor lo establezca para el normal desarrollo
del ejercicio de auditoría.

24

3.4. Preparación de la información
documentada para la auditoría
El equipo auditor debería preparar la informa-
ción necesaria recopilando y usando los medios
adecuados para revisar la información documen-
tada de listas de verificación físicas o digitales,
detalles de muestreo de auditoría, información
audiovisual y cualquier otra fuente de verifica-
ción pertinente.
El uso de medios de comunicación e informá-
tica no debe limitar la preparación de la infor-
mación necesaria.
25
Ac tividades de Auditoría Interna
Se sugiere en GTC ISO 19011 (2018)
“La información documentada preparada para
la auditoría, y la que resulta de su uso, debería
conservarse al menos hasta que finalice la au-
ditoría, o según se especifique en el programa
de auditoría... …la información documentada
generada durante el proceso de auditoría que
contenga información confidencial o prote-
gida debería salvaguardarse de manera ade-
cuada en todo momento por los miembros del
equipo auditor” (P. 25).
 Ac tividades de Auditoría Interna

Realización de las actividades de auditoría

Tema 4

4.1. Generalidades
Las actividades de auditoría se secuencian de tal forma que puedan adaptarse a las circunstancias
de auditorías específicas. Sin embargo, como se observa en la Figura 9, deberían tenerse en cuenta
los siguientes aspectos:
1) Asignación de roles y responsabilidades de 6) Recopilación y verificación de la informa-
los guías y los observadores ción
2) Realización de la reunión de apertura 7) Generación de hallazgos de la auditoría
3) Comunicación durante la auditoría 8) Determinación de conclusiones de la audi-
4) Disponibilidad y acceso a la información toría
de la auditoría 9) Realización de la reunión de cierre
5) Revisión de la información documentada
durante la auditoría

26
 Ac tividades de Auditoría Interna

Asignar roles y responsabilidades de guías y observadores

Realizar reunión de apertura

Comunicar durante la auditoría

Asegurar disponibilidad y acceso a la información de la auditoría

Realización de las
Revisar la información documentada durante la auditoría
actividades de auditoria

Recopilar y verificar la información

Generar los hallazgos de la auditoría

Determinar las conclusiones de la auditoría

Realizar la reunión de cierre

Figura 9. Realización de actividades de auditoría.

Fuente: Elaboración propia.

27

4.2. Asignación de roles y respon-
sabilidades de los guías y los ob-
servadores
Se denomina guías y observadores a algunos
acompañantes del equipo auditor que son
seleccionados según sea conveniente para
gestionar cualquier mecanismo de acceso, se-
guridad y salud, medio ambiente, seguridad fí-
sica y confidencialidad, de forma tal que no se
influya, se interfiera, ni afecte el normal des-
empeño del trabajo de auditoría, si el líder del
equipo auditor así lo determina.
Según la GTC ISO 19011:2018, los guías de-
signados por el auditado deberían asistir al
equipo que realizará la labor y actuar cuando
así lo solicite el líder del equipo o el auditor al
que han sido asignados. Sus responsabilidades
deberían incluir lo siguiente:
28
Ac tividades de Auditoría Interna
a) Ayudar a los auditores a identificar a las per-
sonas que participarán en las entrevistas y a
confirmar los horarios y las ubicaciones
b) Acordar el acceso a ubicaciones específi-
cas del auditado
c) Asegurarse de que los miembros del equi-
po auditor y los observadores conozcan
y respeten las reglas concernientes a los
acuerdos específicos para el acceso a la
ubicación, la seguridad y salud en el traba-
jo, el medio ambiente, la seguridad física, la
confidencialidad, la gestión de los riesgos,
entre otras cuestiones
d) Ser testigos de la auditoría en nombre del
auditado, cuando sea apropiado
e) Proporcionar aclaraciones o ayudar en la
recopilación de información, cuando sea
necesario (P. 26)

4.3. Realización de la reunión de
apertura
Es primordial realizar una reunión para con-
firmar el plan de auditoría acordado entre el
auditado y el equipo auditor, presentar dicho
equipo y sus roles durante el ejercicio para
brindar seguridad y se puedan llevar a cabo
todas las actividades de auditoría planificadas.
Durante esta reunión de apertura, debe-
ría proporcionarse la oportunidad de realizar
preguntas, pues estos interrogantes deberían
brindarnos detalles del proceso de auditoría.
Según la GTC ISO 19011:2018, se debería
considerar la presentación de:
- Otros participantes, incluyendo observa-
dores y guías, interpretes y una descrip-
ción general de sus roles
- Los métodos de auditoría para gestionar
los riesgos en la organización que puedan
resultar en la presencia de los miembros
del equipo auditor.
Según sea apropiado, también se debería con-
siderar la confirmación de lo siguiente:
- Los objetivos, el alcance y los criterios de
la auditoría
- El plan de auditoría y otras disposiciones
29
Ac tividades de Auditoría Interna
pertinentes con el auditado, como la fecha
y hora de la reunión de cierre, cualquier
reunión intermedia entre el equipo audi-
tor y la dirección del auditado y cualquier
cambio necesario
- Los canales de comunicación formal entre
el equipo auditor y el auditado
- El idioma que se va a utilizar durante la auditoría
- Mantener informado al auditado acerca
del progreso de la auditoría, mientras esta
se desarrolla
- La disponibilidad de los recursos e instala-
ciones que necesita el equipo auditor
- Los temas relacionados con la confidencia-
lidad y la seguridad de la información
- Los acuerdos relativos al acceso, seguridad
y salud, seguridad física, emergencia y otros
acuerdos pertinentes para el equipo auditor
- Las actividades en el sitio que puedan tener
impacto en la realización de la auditoría
Asimismo, se debería considerar la presenta-
ción de la información sobre los siguientes ele-
mentos, según sea pertinente:
- El método de informar sobre los hallazgos
de la auditoría incluyendo los criterios para
la categorización, si la hay
 Ac tividades de Auditoría Interna

- Las condiciones bajo las cuales la auditoría
puede darse por terminada
- La manera de tratar los posibles hallazgos
durante la auditoría
- Cualquier sistema de retroalimentación
del equipo auditado sobre los hallazgos o
conclusiones de la auditoría, incluyendo
las quejas o apelaciones (P. 26).
4.4. Comunicación durante la
auditoría
Mientras dura la auditoría, es necesario que
se llegue a acuerdos formales para lograr una
comunicación asertiva y acertada dentro del
equipo auditor, con el auditado y con partes
externas interesadas, por ejemplo, autoridades
reglamentarias, especialmente cuando sea im-
perativo comunicar las no conformidades.
toría se deben anotar y notificar al líder del
equipo auditor, para comunicarlo al cliente de
la auditoría y al auditado. Cuando estas evi-
dencias nos muestran que los objetivos de au-
ditoria planteados inicialmente no son alcan-
zables, el líder debe anunciarlo para tomar las
acciones adecuadas y hacer los cambios en los
objetivos o variaciones en la planificación que
sean pertinentes. Estos deben ser acordados
entre el equipo auditor y el cliente de auditoría
y dárselos a conocer al auditado; si esto no es
posible, dar por terminada la auditoría.

Las reuniones periódicas del equipo auditor

deben evaluar el proceso de la auditoría, hacer
ajustes y reasignación de tareas, según apli-
que. El líder del equipo auditor debería anun-
ciar progresos de forma periódica, así como los
hallazgos que sugieren un riesgo significativo,
las inquietudes que se le van presentando tan-
to al auditado, como al cliente de la auditoría,
según se requiera.
Las inquietudes fuera del alcance de la audi-

30

4.5. Disponibilidad y acceso a la in-
formación
Se debe tener acceso a la información y docu-
mentación suficiente y necesaria para dar ini-
cio a las auditorías de campo. Estos registros,
sean físicos o electrónicos, deben mantenerse
para soportar el proceso.
Parte de la información que se solicita corres-
ponde a procedimientos relacionados con el
proceso auditado, el mapa de riesgos del pro-
ceso, el plan de acción del proceso y planes de
seguimiento y mejoramiento.
La metodología que se lleve a cabo en la audi-
toría depende de los objetivos que se definan
por el equipo auditor y el cliente de auditoría,
el alcance y los criterios, así como de los tiem-
pos y el lugar físico o virtual en que está dispo-
nible la información necesaria para la actividad
específica de auditoría. Las circunstancias de
la auditoría pueden implicar que los métodos
cambien durante la auditoría.
4.6. Revisión de la información do-
cumentada durante el proceso
Al reunir toda la información de soporte para
las actividades, se debería determinar la con-
formidad del sistema con los criterios de audi-
31
Ac tividades de Auditoría Interna
toría, sobre la base de la documentación a la
que se tiene acceso.
La revisión de información se presenta a lo lar-
go del trabajo sin interferir en la eficacia de la
realización de la auditoría.
Si por alguna razón el equipo no puede tener
acceso a la información solicitada dentro del
tiempo estimado, el líder de equipo debería
comunicarlo tanto a las personas responsa-
bles, como al cliente de la auditoría y al au-
ditado. Dependiendo de la gravedad de los
obstáculos para acceder a esta información,
se debe tomar la decisión de continuar, o sus-
pender hasta que se resuelvan los conflictos o
situaciones que impiden conseguir determina-
da información.
4.7. Recopilación y verificación de
la información
Para la recolección y verificación de la infor-
mación, en la GTC ISO 19011:2018 se sugiere
lo siguiente:
“Durante la auditoría, la información pertinen-
te a los objetivos, el alcance y los criterios de
la misma, incluyendo la información relativa a
las interrelaciones entre funciones, activida-

des y procesos, debería recopilarse mediante
un muestreo apropiado y debería verificarse,
en la medida de lo posible” (P. 29).
Como evidencia de la auditoría, solo se debe
presentar información que puede estar suje-
ta a verificación. En caso de que no existan
fuentes de verificación objetivas, es necesario
optar por el juicio del auditor para determinar
qué tan fiable puede ser la información para
ser considerada como evidencia, ya que la mis-
32
Ac tividades de Auditoría Interna
ma nos conduce a los hallazgos de la auditoría.
Si en el transcurso del ejercicio se es conscien-
te de algún cambio o algún aspecto que pueda
afectar el resultado de las auditorías, es ne-
cesario comunicar estos aspectos al líder del
equipo auditor y plantear las estrategias per-
tinentes.
La Figura 10 proporciona una visión general
de un proceso típico, desde la recopilación de
información hasta las conclusiones.
 Ac tividades de Auditoría Interna

Fuente de
información

Recopilación mediante
un muestreo apropiado

Evidencia de
la auditoria

Evaluación frente a los

criterios de auditoria

Hallazgos de
la auditoria

Revisión

Conclusiones
de la auditoría

Figura 10. Visión general de un proceso típico de recopilación y verificación de la información.

Fuente: GTC ISO 19011: 2018 (P. 29)

33

En Función Pública (2018), se menciona que
los tres tipos de pruebas esperadas corres-
ponden a pruebas de control, pruebas analíti-
cas y pruebas sustantivas.
4.7.1. Pruebas de control
Las pruebas de control se relacionan con el
nivel de efectividad del control interno del
proceso auditado, de tal forma que el auditor
interno debe considerar el impacto de los con-
troles para toda la organización, considerando
su diseño y forma de operar. El auditor interno
debe preguntarse ¿cuáles de estas actividades
de control, si no se ejecutan como se diseña-
ron, probablemente ocasionen la incapacidad
para lograr los objetivos del proceso?
A continuación, presentamos algunas activida-
des de control claves como:
• Aprobar: autorizaciones presentadas du-
rante el proceso de auditoría
• Documentar: Presentar documentos de
soporte como facturas, soportes de pa-
gos, adquisiciones, etc.
• Examinar/comparar: verificar frente a un
hecho cumplido
• Segregar: Separar responsabilidades in-
compatibles o que no se relacionan (au-
34
Ac tividades de Auditoría Interna
torizaciones a nivel interno para procedi-
mientos administrativos)
Una vez identificadas las actividades de con-
trol clave, el siguiente paso será vincularlas con
los riesgos a nivel del proceso, esto teniendo
en cuenta que el logro de los objetivos está
sujeto a distintos escenarios de riesgo y cier-
tas actividades de control solo pueden mitigar
ciertos riesgos. Cuando se determina que un
control es ineficaz, éste puede tener impacto
en uno o varios riesgos, se pretende entonces
determinar si las actividades de control clave
reducen o gestionan los riesgos del proceso.
4.7.2. Pruebas analíticas
Las pruebas analíticas se utilizan haciendo
comparaciones entre dos o más estados fi-
nancieros o haciendo un análisis de las razo-
nes financieras de la entidad para observar su
comportamiento.
4.7.3. Pruebas sustantivas
Las pruebas sustantivas están relacionadas
con la integridad, la exactitud y la validez de la
información financiera auditada.
La mayoría del trabajo en una auditoría de
estados financieros consiste en la obtención

y evaluación de evidencia sobre las “declara-
ciones”, éstas son representaciones por parte
de la administración evidenciada en los com-
ponentes de los estados financieros. Algunas
declaraciones posibles son:
a) Integridad: Si todas las transacciones y
cuentas que debieron ser representadas
en los estados financieros están incluidas.
b) Derechos y obligaciones: todos los bienes
son los derechos y todas las obligaciones
son las que ha adquirido la entidad.
c) Valuación o asignación: Si los bienes, obli-
gaciones, ingresos y gastos de una entidad
han sido incluidos en los estados financie-
ros con las cantidades apropiadas.
d) Existencia u ocurrencia: Si los bienes/obli-
gaciones existen en una fecha dada y si
las transacciones registradas han ocurrido
durante un periodo dado.
e) Presentación y revelación de estados fi-
nancieros: Si los componentes de los esta-
dos financieros han sido clasificados, des-
critos y revelados apropiados (P. 34).
4.8. Generación de hallazgos de la
auditoría
Todas las observaciones resultantes de la
comparación entre los criterios estándares
35
Ac tividades de Auditoría Interna
establecidos y las situaciones encontradas du-
rante el examen a una actividad se denominan
“hallazgos”. Los mismos pueden determinar
conformidad o no conformidad, así como evi-
denciar buenas prácticas, oportunidades de
mejora y cualquier recomendación que se de-
rive para el auditado.
Los datos se deben evaluar de acuerdo a es-
tándares establecidos: normas, procedimien-
tos aprobados, instructivos de operación de-
finidos en el proceso, entre otros (Función
Pública, 2018, P. 29). La profundidad de análi-
sis, incluida en el plan de auditoría inicial, debe
permitir al equipo auditor opinar acerca de lo
efectivos que pueden ser los controles para
mitigar el riesgo, como el nivel de cumplimien-
to con las normas establecidas aplicables.
Con respecto a las no conformidades pueden
clasificarse dependiendo del contexto de la
organización y de sus riesgos de acuerdo a la
GTC ISO 19011 (2018).
Esta clasificación puede ser cuantitativa (por
ejemplo, de uno a cinco) y cualitativa (por
ejemplo, de menor a mayor) y debería revisar-
se con el auditado para reconocer que la evi-
dencia de la auditoría es exacta y que las no

conformidades se han comprendido. De igual
forma, se debería realizar todo el esfuerzo
posible para resolver cualquier opinión diver-
gente relativa a las evidencias o a los hallazgos
de la auditoría. Las cuestiones para las que no
haya acuerdo deberían registrarse en el infor-
me de auditoría. Por otra parte, el equipo audi-
tor debería reunirse, según sea necesario, para
revisar los hallazgos de la auditoría en etapas
apropiadas durante la auditoría (P. 30).
De acuerdo a la redacción de hallazgos, en
el manual de auditorías internas que se en-
cuentra en la página del Modelo Integrado de
Planeación y Gestión MIPG (Función Pública,
2018) se sugiere:
• Condición: La evidencia basada en hechos
que encontró el auditor interno (realidad)
• Criterios: Las normas, reglamentos o ex-
pectativas utilizadas al realizar la evalua-
ción (lo que debe ser)
• Causa: Las razones subyacentes de la bre-
cha entre la condición esperada y la real,
que generan condiciones adversas (qué
originó la diferencia encontrada)
• Consecuencias o efectos: Los efectos ad-
versos, reales o potenciales, de la brecha
entre la condición existente y los criterios,
36
Ac tividades de Auditoría Interna
(qué efectos puede ocasionar la diferencia
encontrada) (P. 35)
4.9. Determinación de conclusiones
de la auditoría
4.9.1. Preparación para la reunión de cierre
Para la preparación de esta reunión de cie-
rre, el equipo auditor debería, de acuerdo a la
complejidad de los hallazgos, convocar reunio-
nes previas para recabar información suficien-
te para determinar las observaciones que irán
en el informe definitivo; acordar con el equipo
auditor cuáles serán las conclusiones de au-
ditoría teniendo en cuenta la incertidumbre
del proceso de auditoría y proponer algunas
recomendaciones para el mejoramiento de los
sistemas auditados, si esto fuera pertinente y
estuviera contemplado en el plan de auditoría.
4.9.2. Contenido de las conclusiones de la
auditoría
En la GTC ISO 19011 (2018) se plantea que
las conclusiones de la auditoría deberían tratar
aspectos tales como los siguientes:
a. El grado de conformidad con los criterios
de auditoría y la robustez del sistema de
gestión, incluyendo la eficacia del siste-
ma de gestión para cumplir los resultados

previstos, la identificación de riesgos y la
eficacia de las acciones tomadas por el au-
ditado para tratar los riesgos
b. La implementación, el mantenimiento y la
mejora eficaces del sistema de gestión
c. El logro de los objetivos de la auditoría, co-
bertura del alcance de la misma y cumpli-
miento de los criterios del proceso
d. Hallazgos similares encontrados en dis-
tintas áreas auditadas o en una auditoría
conjunta o en una auditoría previa, con el
propósito de identificar tendencias
Si se especifica en el plan de auditoría, las
conclusiones de auditoría pueden llevar a re-
comendaciones para la mejora, o a futuras ac-
tividades de auditoría (P. 31).
4.10. Realización de la reunión de cierre
Al terminar las tareas de auditoría y posterior
a haber analizado todas las evidencias que so-
portan los hallazgos de auditoría, el equipo de
auditores debe convocar a una reunión a los res-
ponsables de las funciones o procesos que se
han auditado; al cliente de la auditoría; a otros
miembros del equipo auditor y a otras partes
interesadas pertinentes, según lo determinen el
cliente de la auditoría y/o el auditado.
37
Ac tividades de Auditoría Interna
Esta reunión debe centrarse no solo en pre-
sentar los resultados y observaciones del
trabajo, presentar hechos que constituyen
fortalezas y oportunidades de mejora, como
presentar hechos que constituyen exposicio-
nes los riesgos relevantes; sino también deter-
minar plazos para el levantamiento de los pla-
nes de mejoramiento correspondientes. Toda
la información de la reunión se debe formalizar
mediante la elaboración de un acta.
Adicionalmente la GTC ISO 19011 (2018) su-
giere que debería explicarse al auditado lo si-
guiente:
a) Aclarar que la evidencia de la auditoría
recopilada se basó en una muestra de la
información disponible y no es necesaria-
mente representativa de la eficacia global
de los procesos del auditado
b) El método de presentación de la información
c) La manera en que debían tratarse los ha-
llazgos de auditoría basándose en el pro-
ceso acordado
d) Las posibles consecuencias de no tratar
adecuadamente los hallazgos de auditoría
 Ac tividades de Auditoría Interna

e) La presentación de los hallazgos y conclusiones de la auditoría de tal manera que se compren-

dan y se reconozcan por la dirección del auditado
f) Todas las actividades posteriores a la auditoría relacionadas (por ejemplo, implementación y revisión
de acciones correctivas, tratamiento de quejas de la auditoría, proceso de apelación) (P. 32).

38
 Ac tividades de Auditoría Interna

Preparación y distribución del informe de auditoría

Tema 5

5.1. Preparación del informe de audotoría

Según la GTC ISO 19011:2018, el informe final de auditoría preparado y presentado por el equipo,
debe incluir mínimo la siguiente información: auditor debe incluir mínimo la siguiente información:

a) Objetivos
b) Alcance, particularmente la identificación
de la organización (el auditado) y de las
funciones o procesos auditados
c) La identificación del cliente
d) La identificación del equipo auditor y de
los participantes
e) Las fechas y ubicaciones donde se realiza-
ron las actividades de auditoría
f) Criterios
g) Los hallazgos de auditoría y las evidencias
relacionadas
h) Conclusiones
i) Una declaración del grado en el que se
han cumplido los criterios
j) Las opiniones divergentes sin resolver en-
tre el equipo auditor y el auditado

39

k) Las auditorías, por naturaleza, son un ejerci-
cio de muestreo; como tales, hay un riesgo
de que las evidencias de la auditoría exami-
nadas no sean representativas (P. 32)
En el informe también debe hacer referencia al
plan de auditoría, incluyendo los horarios em-
pleados, como un resumen del proceso realiza-
do, incluyendo cualquier dificultad u obstáculo
encontrado que pueda afectar la confiabilidad
de los resultados.
Igualmente, en la redacción del informe debe
confirmarse el cumplimiento de los objetivos
planteados en el plan de auditoría inicial, cual-
quier área no cubierta dentro de lo permitido,
además de reportar las cuestiones que pudie-
ran interferir en la obtención de las evidencias,
en la disponibilidad de los recursos y logística.
Se espera que el contenido del documento de
informe final incluya un resumen que presen-
te las conclusiones y hallazgos más relevantes
durante el proceso, buenas prácticas eviden-
ciadas, el seguimiento del plan de acción ini-
cialmente pactado, una declaración de confi-
dencialidad para el manejo de la información
y los contenidos y cualquier implicación para
el programa o las auditorías posteriores. (GTC
ISO 19011:2018, P. 29).
40
Ac tividades de Auditoría Interna
5.2. Distribución del informe de au-
ditoría
El informe de auditoría debe presentarse en las
fechas acordadas entre el equipo auditor y el
cliente, debe distribuirse y presentarse de acuer-
do a las pruebas y obtención de evidencias.
El formato y el contenido de la información
final del trabajo varía dependiendo de la en-
tidad o al tipo de trabajo que desempeña y
debe contener como mínimo propósito, alcan-
ce y resultados del trabajo (hallazgos y reco-
mendaciones).
Estas conclusiones deberían contener antece-
dentes y resúmenes que cambian de acuerdo
al tipo de entidad o el tipo de trabajo y reco-
mendaciones finales para el mejoramiento.
Como parte de la caja de herramientas encon-
trada en la página www.funcionpublica.org se
podrá consultar el formato sugerido de Mode-
lo Informe Definitivo de Auditoria, el formato
Plan de Mejoramiento por Procesos, y el For-
mato Seguimiento al Plan de Mejoramiento.
 Ac tividades de Auditoría Interna

Finalización de la auditoría
Tema 6

La auditoría finaliza cuando se hayan realizado las actividades planificadas o si se ha acordado de

otro modo con el cliente (por ejemplo, podría haber una situación inesperada que impida que la
auditoría se finalice de acuerdo con el plan inicial).

La información documentada perteneciente a la auditoría debería conservarse o disponerse de

común acuerdo entre las partes participantes y de acuerdo con el programa de auditoría y los
requisitos aplicables.

Salvo que se requiera por ley, el equipo auditor y las personas responsables de gestionar el progra-
ma de auditoría no deberían revelar ninguna información obtenida durante el proceso ni el informe
final a alguna otra parte sin la aprobación explicita del cliente y, cuando sea apropiado, la del audi-
tado. Si se requiere revelar el contenido de un documento, la auditoría y el auditado deberían ser
informados tan pronto como sea posible.

Las lecciones aprendidas de la auditoría pueden identificar los riesgos y oportunidades para el progra-
ma de auditoría y para el auditado.

41

Realización de actividades de
Tema 7
seguimiento de la auditoría
Los resultados de la auditoría pueden, depen-
diendo de los objetivos, indicar la necesidad
de correcciones, o de acciones correctivas
u otras oportunidades para la mejora. Tales
acciones generalmente son decididas y em-
prendidas por el auditado en un intervalo de
tiempo acordado. Cuando sea apropiado, el
auditado debería mantener informadas a las
personas responsables de la gestión del pro-
grama y/o el equipo auditor sobre el estado de
estas acciones.
42
Ac tividades de Auditoría Interna
El auditor interno debe establecer un proceso
de seguimiento y poder verificar la implemen-
tación de acciones previstas en los planes de
mejoramiento y dar cierre cuando se hayan
cumplido, analizando la efectividad de dichas
acciones para superar los hallazgos.
El MIPG (Función Pública, 2018) promueve
mecanismos y brinda herramientas estandari-
zadas para realizar estos seguimientos desde
la actividad de auditoría interna, buscando que

dicho proceso retroalimente a las entidades no
solo en el mantenimiento de controles efecti-
vos, sino procurando la mejora continua de la
eficacia y eficiencia de las organizaciones.
Desde los estándares internacionales dados
por el Instituto de Auditores Internos Global
(THE IIA Global) se recomienda que los direc-
tores ejecutivos de la oficina de Control Inter-
no planeen y lleven a cabo un plan de audito-
ría anual, seleccionando proyectos, procesos
y actividades para auditar, basados en el en-
foque de riesgos documentado, alineados con
43
Ac tividades de Auditoría Interna
objetivos y prioridades de la entidad (Función
Pública, 2018).
A continuación, en la Figura 11 se observan los
principales aspectos a tener en cuenta para rea-
lizar la autoevaluación del programa de asegura-
miento y mejora de la calidad, desde la perspec-
tiva de la autoevaluación a nivel de auditoría, la
autoevaluación a nivel general de la actividad u
organización y perspectiva externa.
 Ac tividades de Auditoría Interna

Autoevaluación a
Autoevaluación a nivel general de la Perspectiva
nivel de auditoria actividad u organización Externa

¿La planeación de la audito- Se documentan las políticas Evaluación externa inde-

ría fue ejecutada debida-
mente?
¿La planeación de la audito-
ría, trabajo de campo, ejecu-
ción y comunicación de
resultados se ajustaron a las
normas?
¿Existe un seguimiento
apropiado?
¿Se realizaron encuestas
posteriores a los auditados?
y procedimientos.
El proceso auditor cumple
con las normas internacio-
nales de auditoría.
El proceso auditor se ajusta
a las políticas y procedi-
mientos.
La auditoría interna agrega
valor y mejora las operacio-
nes de la organización.
Los recursos para la audito-
ría interna se utilizan de
forma eficaz y eficiente.
pendiente de la actividad
completa de auditoría
interna.
Su aplicación estaría
supeditada a la disposi-
ción de recursos para su
realización y a la compleji-
dad tanto de la Oficina de
Control Interno como de
la entidad.

Figura 11. Aspectos para la evaluación dentro del Programa de Aseguramiento y Mejora de la
Calidad (PAMC).
Fuente: Función Pública, 2018.

44
 Ac tividades de Auditoría Interna

Glosario

Aseguramiento: la Ley 1122 de 2007 define el aseguramiento como la administración del riesgo
financiero, la gestión del riesgo en salud, la articulación de los servicios que garantice el acceso
efectivo, la garantía de la calidad en la prestación de los servicios de salud y la representación del
afiliado ante el prestador y los demás actores sin perjuicio de la autonomía del usuario. El artículo
157 de la Ley 100 de 1993 establece la obligatoriedad para todos los habitantes del territorio na-
cional de afiliarse al Sistema General de Seguridad Social en Salud (SGSSS), a través de tres formas:
Régimen contributivo, régimen subsidiado y participantes vinculados. (DNP. S.f)

Auditoría conjunta: auditoría llevada a cabo a un único auditado por dos o más organizaciones
auditadas.

Auditoría individual: proceso sistemático, independiente y documentado para obtener evidencias

objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los
criterios de auditoría.

Competencia global: nivel de conocimiento del equipo auditor para certificar competencias gene-
rales durante la ejecución de una auditoría en el sector público.

Confidencialidad: la confidencialidad es la garantía de que la información será protegida para que

no sea divulgada sin consentimiento de la persona. Dicha garantía se lleva a cabo por medio de un
grupo de reglas que limitan el acceso a ésta información. Cada individuo tiene derecho a proteger
su información personal y/o institucional. (INCMNSZ. S.f)

45
 Ac tividades de Auditoría Interna

Control: mecanismos internos y externos de supervisión, notificación y vigilancia pertinente al

Direccionamiento Nacional de Planeación. (DNP. S.f)

Desempeño: es una palabra que deriva del latín, exactamente es fruto de la suma de tres compo-
nentes diferenciados de dicho idioma:

-El prefijo “des-”, que significa “de arriba hacia abajo”.

-El prefijo “in-”, que es sinónimo de “hacia dentro”.
-El sustantivo “pigno”, que puede traducirse como “prenda”.

Se define igualmente como el acto y la consecuencia de cumplir una obligación, realizar una activi-
dad, dedicarse a una tarea. Esta acción también puede vincularse a la representación de un papel.

Se conoce como evaluación del desempeño al proceso que se lleva a cabo para analizar si un in-
dividuo cumplió con los objetivos fijados. Este tipo de metodología se suele utilizar en los trabajos
para premiar a aquellos empleados que lograron alcanzar las metas y para corregir a quienes no
lograron un buen desempeño. (Definición. De. S.f)

Planificación: los esfuerzos que se realizan a fin de cumplir objetivos y hacer realidad diversos pro-
pósitos se enmarcan dentro de una planificación. Este proceso exige respetar una serie de pasos
que se fijan en un primer momento, para lo cual aquellos que elaboran una planificación emplean
diferentes herramientas y expresiones. Es un método que permite ejecutar planes de forma di-
recta, los cuales serán realizados y supervisados en función del planeamiento. (Definición. De. S.f)

Referencia: las referencias son datos propiciados por terceros que faciliten la información de un
lugar, persona o sobre una investigación realizada, el término referencia describe el proceso por
el cual se menciona o se señala (que es lo mismo decir “se refiere”). (conceptodefinicion. De. S.f)

46
 Ac tividades de Auditoría Interna

Responsabilidad: es el cumplimiento de las obligaciones, o el cuidado al tomar decisiones o rea-

lizar algo. La responsabilidad es también el hecho de ser responsable de alguien o de algo. El
término se utiliza también para referirse a la obligación de responder ante un hecho. Procede del
latín responsum, del verbo respondere, que a su vez se forma con el prefijo re-, que alude a la
idea de repetición, de volver a atrás y el verbo spondere que significa "prometer", "obligarse" o
"comprometerse".

Roles: término que proviene del inglés role, que a su vez deriva del francés rôle. El concepto está vin-
culado a la función o papel que cumple alguien o algo.

Viabilidad: en términos empresariales hace referencia a la posibilidad de que un proyecto o nego-

cio pueda progresar, garantizado a largo plazo su rentabilidad económica. De una manera sencilla
se puede considerar el concepto viabilidad como la opción de que un proyecto se pueda llevar a
cabo, con una cierta continuidad en el tiempo. Para ello debe tenerse en cuenta los recursos que
precisa, los que tiene y la capacidad para obtenerlos. En el caso de que cuente con los suficientes
medios para ejecutar la idea empresarial, se podría decir que el proyecto es viable.

47
 Ac tividades de Auditoría Interna

Referencias

conceptodefinición. DE. (s. f.). “Referencia”. Recuperado el 16 de abril de

2019, de: https://bit.ly/2Syzim4

Definición. DE. (s. f.). “Desempeño”. Recuperado el 16 de abril de 2019, de:

https://bit.ly/2JHp9hz

Departamento Administrativo de la Función Pública. (2018). Guía de Audi-

toría para entidades públicas, Versión 3. Recuperado de:
http://tiny.cc/onvy7y

Departamento Administrativo de la Función Pública. (2018). Marco Interna-

cional para la Práctica Profesional de la Auditoría Interna. Instituto de
Auditores Internos de Colombia. Actualizado a Enero de 2013. Recupe-
rado de: https://bit.ly/2VJaTMr

Departamento Nacional de Planeación (s. f.). “Aseguramiento” Recuperado

el 16 de abril de 2019, de: https://bit.ly/2HlSFaN

Departamento Nacional de Planeación (s. f.). “Control” . Recuperado el 16

de abril de 2019, de: https://bit.ly/30s3oYP

48
 Ac tividades de Auditoría Interna

INCMNSZ (s. f.). “Confidencial” . Recuperado el 16 de abril de 2019, de:

https://bit.ly/2pX02Mt

Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). GT-

CISO 19011. (2018). Directrices para la Auditoría de Sistemas de Ges-
tión de la calidad y/o ambiental. Recuperado de: https://bit.ly/2EN43v9

Instituto de Auditores Internos – IIA GLOBAL. (2013). Marco Internacional

para la Práctica Profesional de la Auditoría Interna. p.154.

“Planificación” (s. f.). En: Definición.DE. Recuperado el 16 de abril de 2019,

de: Recuperado de: https://bit.ly/2J1Njol

49
 Unidad Actividades de
didáctica Auditoría Interna

Subdirección de Proyección Institucional ESAP