FASES DEL PROCESO DE AUDITORIAS

Objetivo

Definir el alcance y la estrategia de auditoría a partir del conocimiento del auditado y de la evaluación de los controles para mitigar los riesgos.

Alcance

Esta fase se inicia con la notificación del memorando de asignación y comprende la elaboración del cronograma de actividades para la misma; el análisis en detalle del ente o asunto a auditar; la evaluación del sistema de control interno o de los mecanismos de control; la determinación de los criterios técnicos de evaluación, alcance y estrategia de auditoría; hasta la elaboración y aprobación del Plan de Trabajo y de los Programas de Auditoria.

3.1.2 Actividades fase de planeación de la Auditoria

Recibido el memorando de asignación de auditoria por parte del equipo auditor3 , este deberá conocer y analizar su contenido, para desarrollar las siguientes actividades:

3.1.2.1 Cronograma de actividades fase de planeación

En mesa de trabajo, el equipo auditor deberá definir un cronograma a ejecutar en la fase de planeación, el cual contendrá como mínimo las siguientes actividades y el tiempo establecido para cada una: analizar en detalle el ente o asunto a auditar; Evaluar el Sistema de Control Interno y/o mecanismos de control; determinar criterios técnicos de evaluación; elaborar el plan de trabajo y elaborar y aprobar los programas de auditoria. Formato.3.1.2.1.CronogramaFasePlaneacion

Cuando el desarrollo de una auditoría comprenda la actuación de más de una jurisdicción territorial, el responsable de auditoría, tendrá a cargo la determinación de la coherencia del cronograma conjunto.

La información requerida del ente o asunto a auditar para desarrollar esta etapa, será solicitada por el responsable de auditoría ó el líder de auditoría, si es punto de control, a través de comunicaciones escritas, estipulando los tiempos para la entrega de la misma por parte del ente o asunto a auditar, teniendo especial cuidado en no solicitar información que haya sido remitida a través de la rendición de cuenta e informes. Dicha información deberá ser utilizada en el proceso auditor y no para otros fines y cuando tenga el carácter de reservada, confidencial y/o de uso restringido, el auditor debe pactar las condiciones para su acceso y salvaguarda. Así mismo, el acceso a la consulta de los sistemas de información está restringido al uso exclusivo de la auditoria.

Cuando la entidad disponga de bienes de su propiedad para el uso del equipo auditor, el responsable de auditoría ó el líder de auditoría, si es punto de control, recibirá por escrito, mediante inventario, especificando cada uno de los elementos: estado, número de placas ó identificación y las condiciones de seguridad.

El equipo auditor debe identificar, verificar, proteger y salvaguardar los bienes que son propiedad de la parte interesada suministrados para su utilización.

3.1.2.2 Análisis en detalle del ente o asunto a auditar

El obtener una comprensión del ente o asunto a auditar y su entorno es un proceso continuo y dinámico, que se inicia en la fase de planeación de la auditoría y se debe actualizar y analizar en el transcurso de la misma. Esta comprensión facilita la determinación del objeto principal del auditado; el bien y/o servicio a prestar; la naturaleza, características, actividades y/o procesos; los riesgos de pérdida o de inadecuada utilización de recursos, que se pueden presentar en desarrollo del objeto principal y la existencia o no de controles establecidos.

Esto implica realizar, entre otras, las siguientes actividades y preguntas: conocer cuál es su día a día; ¿qué actividades desarrollan su razón de ser?; ¿cuáles son los productos y/o servicios que ofrece?; ¿qué necesidades específicas satisfacen sus productos y/o servicios?; ¿cuál es la población objetivo? ¿cuál es su relación con otras entidades públicas?; ¿cómo es el flujo de recursos públicos?

A partir de la matriz de riesgos el equipo auditor focalizará su análisis y conocimiento en los aspectos específicos objeto de auditoría, para lo cual podrá consultar, analizar y evaluar la información y datos del auditado, que sirvieron de insumo a dicha matriz.

Existen diferentes métodos y herramientas para que el auditor obtenga un entendimiento holístico del negocio y una visión de conjunto del ente o asunto a auditar, como por ejemplo entrevistas, matriz DOFA, TASCOI, desdoblamiento de complejidad, PEST o modelo de revisión del negocio.

Para asegurar que todos los integrantes se apropien del conocimiento integral del auditado, en mesa de trabajo se socializará dicho conocimiento, dejando constancia sobre los aspectos analizados de mayor importancia en la ayuda de memoria y en el formato análisis en detalle. Formato 3.1.2.2. Analisis en Detalle.

3.1.2.3 Evaluación del Sistema de Control Interno o mecanismos de control

Consiste en obtener suficiente comprensión del sistema de control interno o de los mecanismos de control y la importancia que tiene para facilitar el logro de los objetivos del objeto o ente a auditar. Este conocimiento implica que el equipo auditor deberá diseñar las preguntas orientadas a determinar la efectividad de controles que permitan minimizar los riesgos y de esta forma enfocar la auditoría. El éxito de la identificación de riesgos, dependerá de la adecuada y acertada formulación de las preguntas, razón por la cual deben ser socializadas, analizadas y validadas en mesa de trabajo.

Lo anterior implica que independientemente del modelo de control que tenga implementado el objeto a auditar, el cuestionario de control interno que diseñe el equipo auditor, se debe enfocar a la identificación de los riesgos.

Metodología de evaluación

El modelo adoptado por la CGR para la valuación y calificación del Sistema de Control Interno y los mecanismos de control, es un instrumento que permite a los auditores determinar durante el desarrollo del proceso auditor, el grado de confianza que éstos puedan depositar en los mecanismos de control implementados por el objeto o ente a auditar, establecer la profundidad de las pruebas de auditoría y soportar el concepto que se emita por parte de la CGR, sobre la aplicación y efectividad de los mismos.

La evaluación se apoya en el manejo y verificación de los controles establecidos ya sea por el ente o asunto a auditar o los que catalogue como tal el equipo auditor, con base en los procesos y los Componentes de MECI, para los auditados que les aplica, y para los que no les aplica el MECI, se debe encaminar hacia los controles establecidos en los diferentes procesos, los cuales se calificarán en la fase de planeación y ejecución de la auditoría. El sistema de calificación está presupuestado en dos eventos, así:

Evaluación en la fase de planeación (Primera)

Para efectuar la primera evaluación se debe preparar un cuestionario, con preguntas encaminadas a evaluar los controles que minimicen los riesgos establecidos por el ente o asunto a auditar o determinados en los diferentes procedimientos por el equipo auditor, en todo caso, el equipo auditor no debe olvidar la misión del auditado. (3.1.2.3. Matriz Evaluación del Sistema Control Interno)

El equipo auditor debe identificar y comprender los controles relevantes de los diferentes procesos.

Una vez, el cuestionario haya sido aprobado en mesa de trabajo, el equipo deberá validar los controles que se derivan de las preguntas propuestas mediante pruebas de recorrido. (3.1.2.3. Formato Pruebas de recorrido).

Cuando el Equipo auditor ha realizado las pruebas sobre los controles, deberá determinar si estos son aplicados y efectivos por el objeto o ente a auditar y mitigan los riesgos asociados con ellos.

Los Resultados de las pruebas de recorrido corresponderán a conceptos "se aplica", "se aplica parcialmente" y "no se aplica", para efectos de cuantificar su resultado, su equivalencia numérica es:

EVALUACIÓN DE CONTROLES PUNTAJE

Se aplica 1

Se aplica parcialmente 2

No se aplica 3

Evaluación en la fase de ejecución (Segunda)

Después de que los auditores realicen las pruebas sobre los controles que identificó en la Fase de Planeación, en la ejecución de la auditoria, el equipo auditor deberá determinar si los controles son efectivos, por medio de la ejecución de los procedimientos. Por lo cual la segunda evaluación se realizará terminando la fase de ejecución de la auditoría.

Para la segunda Evaluación solo serán objeto de verificación por parte de los auditores las preguntas a las que se les asignó una Evaluación en la primera fase de 1 o 2 y deben corresponder a los siguientes conceptos y puntaje:

EFECTIVIDAD DE CONTROLES PUNTAJE

Efectivo 1

Con deficiencias 2

Inefectivo 3

Si la Evalaución en la primera fase fue "no se aplica" no se deberá probar en la fase de ejecución y su calificación por consiguiente será de 3.

Consolidación Sistema de control Interno (SCI) y mecanismos de Control interno con puntos de control

Cuando el auditado cuente con puntos de control, en el nivel central o descentralizado, el equipo auditor deberá evaluar el control interno y remitir el formato diligenciado con los comentarios pertinentes al responsable de la auditoría para efectuar la consolidación.

El responsable de auditoría deberá tener en cuenta todos los resultados de la evaluación de los controles y consolidarlos en un único formato de evaluación de control interno, en el cual se obtendrá la evaluación consolidada del auditado.

La evaluación final del SCI o mecanismos de control,

...