PROCESO EVALUACION INSTITUCIONAL SUBPROCESO EVALUACION INDEPENDIENTE 1.1 Fecha de Revisión 7 de junio de 2007 Fecha de Aprobación Res.159-25 junio 2007 INSTRUCTIVO - GUÍA PARA LA ELABORACIÓN DEL PLAN DE VISITA DE AUDITORIA Versión 1 INS-EV–EI-006 Página 1 INSTRUCTIVO - GUÍA PARA LA ELABORACIÓN DEL PLAN DE VISITA DE AUDITORIA GUÍA Para la elaboración del Plan de Visita de Auditoría a una dependencia, proceso o función de la Procuraduría General de la Nación. 1. DESCRIPCIÓN El auditor define la secuencia de actividades para realizar la visita de auditoría, define los objetivos, el alcance, las fechas, prepara los formatos, formularios y listas de chequeo y demás papeles de trabajo. 2. OBJETIVOS Definir el plan de trabajo del auditor y organizar la labor in situ. 3. REQUISITOS Recursos físicos, tecnológicos y presupuestales para el desarrollo de la visita, comunicación de equipo auditor. 4. OPERACIÓN El auditor (entiéndase equipo o servidor designado) cumple con las siguientes tareas: a. Elaborar el Plan de Visita de Auditoría. i. Precisar los detalles de la auditoría tales como: Determinación del tipo de auditoria. Determinación de equipos y medios de almacenamiento electrónico a utilizar. Consideración y definición de fechas, inicio y terminación, actividades in situ, preparación y entrega de informe. Asignación de tareas al equipo auditor. Determinación de recursos necesarios. ii. Definir: Objetivos Alcance Antecedentes b. Someter el Plan de Visita de Auditoría a aprobación del Jefe de la Oficina de Control Interno c. Generar comunicaciones necesarias. d. Abrir archivo documental de la auditoria. Se solicita inicialmente considerar que el Plan de Visita de Auditoría: Implanta la estrategia de auditoria determinada en el plan Operativo Anual POA preparado por la OCI. Define las alternativas y las líneas de acción, de conformidad con lo establecido en la planeación estratégica, relacionada con las oportunidades, amenazas, fortalezas y debilidades detectadas en el mapa de riesgos. Comprende la precisión de los programas de auditoria, además permiten evaluar el cumplimiento del Plan de Desarrollo de la Entidad y los Planes Operativos Anuales de las dependencias. Debe enfocarse a evaluar los resultados, los procesos, el cumplimiento normativo, para recomendar la elaboración y aplicación de los planes de mejoramiento, seguimiento y evaluación, dando aplicación al sistema de control interno. Debe ser planeado en forma general todo trabajo de auditoria antes de ejecutarlo y detallarlo al inicio de cada fase de la auditoria. Por regla general, se debe prever la totalidad del trabajo a desarrollar, los objetivos, el tiempo de duración, los procedimientos, los medios y recursos con los cuales se cuenta antes de iniciar cualquier visita de auditoria. El equipo de trabajo determinará en el control de gestión de resultados, la verificación del cumplimiento de las metas y objetivos establecidos en el POA se determinará a través de indicadores tales como: o Programas ejecutados/ Programas proyectados. o Porcentaje de situaciones detectadas y corregidas de manera efectiva o Porcentaje de cumplimiento de los programas de auditoria proyectados en el POA. o Porcentaje de deficiencias determinadas a través de los cuestionarios de evaluación de control interno. o Porcentaje de elaboración de programas de auditoria para las áreas, a las cuales no se hayan preestablecido. o Porcentaje de investigaciones que se generen como causa de fallas en los procesos o Porcentaje de los errores presentados en los informes, registros, estados financieros y otros. o Porcentaje de seguimiento en los procesos auditados a partir de las recomendaciones de auditoria. Definir el control al riesgo. Según las normas internacionales de auditoria, (SAS Nº 47), significa: el riesgo que el auditor dé una opinión inapropiada. El riesgo en la Auditoria tiene tres componentes: riesgo inherente, riesgo de control y riesgo de detección. o Riesgo Inherente: Que está unido o relacionado directamente a los procesos de la entidad. o Riesgo de control: Es la posibilidad de que el Sistema de Control Interno no prevea o no detecte oportunamente errores importantes. o Riesgo de detección. Es la posibilidad de que los errores importantes no sean detectados mediante la aplicación de pruebas sustantivas. 1.1 Diseño del Plan de Visita de Auditoría Cuando se decida la realización de la auditoría se debe considerar lo siguiente: Determinar el equipo de cómputo y directorio donde se consolidará la información correspondiente a la visita, siguiendo las siguientes indicaciones para el diligenciamiento del formato de Registro REG-OCI-000 Plan de Auditoría: 1.1.1 Creación y definición de la auditoria Detalles de la auditoria Como se nombra la Auditoria. El nombre debe ser comprensivo del compromiso de auditoría que se adquiere, indicar el proceso o la dependencia, así como el o los meses en que se realizará la revisión, en caso de existir cortes determinarlo, por ejemplo: o o Auditoría a los procesos de contratación a través de licitación pública de la vigencia 2006 – septiembre y octubre de 2006. Auditoría al proceso de nómina – enero y febrero 2006. o Auditoría a los procesos de servicio al usuario de la Oficina de Sistemas – julio y mayo 2006 Departamento Indicar el nombre de la dependencia o proceso, por ejemplo: Oficina de Planeación Oficina de Selección y Carrera Proceso de convocatoria a concursos Auditor Asignado De la lista de auditores, una vez sea creado el archivo se selecciona el auditor o equipo. Fecha inicio planeada Corresponde al día, mes y año en que se prevé iniciar la auditoria o evaluación. Planeación Definición del proceso que se seguirá. Considere las anotaciones que pueden existir sobre el área o proceso, el señalamiento de situaciones que deben ser conocidas por el auditor en forma previa, por información proveniente de fuentes fidedignas. Cronograma Se define la secuencia de etapas a realizar para el desarrollo de la auditoria. Siguiendo la Norma Técnica Colombiana NTC-19011: 2002 Directrices para la Auditoría de los Sistemas de Gestión de la Calidad, así como por las buenas prácticas institucionales se considera que la secuencia adecuada sería la siguiente: ﻡ ﻡ ﻡ ﻡ ﻡ ﻡ ﻡ ﻡ ﻡ ﻡ Preparación del Plan de Auditoría Asignación de las tareas al equipo auditor Preparación de los documentos de trabajo Realización de la reunión de apertura. Fecha prevista para su celebración. Recopilación y verificación de la información Generación de hallazgos de la auditoría Preparación de las conclusiones de la auditoría Realización de la reunión de cierre. Fecha prevista para su celebración. Preparación del informe de auditoría Aprobación y distribución del informe de auditoría ﻡ ﻡ Finalización de la auditoría Realización de las actividades de seguimiento. En este caso de refiere a las fechas en las cuales serán requeridos informes de avance en el desarrollo de los planes de mejoramiento de acuerdo con las observaciones recibidas por parte de la auditoría. Tiempo/Gastos Se refiere a los recursos que son requeridos para el proceso tales como: Viáticos, pasajes, así como a la definición del tiempo requerido para desarrollar la auditoria. Personal Se toma la relación del personal de la Oficina de Control Interno y se selecciona solamente al personal que trabajará en la auditoria. Papeles de trabajo En este se colocan documentos relacionados con el área objeto de auditoria, tales como mapas de riesgos, manual de procesos, POA, o incluso evaluaciones anteriores. Determinación del tipo de auditoria: Paso a paso o de riesgos La decisión sobre el tipo de auditoria a realizar determina sustancialmente la realización de la auditoria, es una decisión clave para el éxito de la misma y su determinación final es de competencia del Jefe de la Oficina de Control Interno. 1.1.2 Se diligencia la información correspondiente al Resumen Ejecutivo. Se deben definir los siguientes aspectos en este proceso: a. Objetivos b. Alcance c. Antecedentes Objetivos Es necesario precisar el propósito de la visita y registrarlo en el Resumen Ejecutivo; para el efecto se debe considerar que los objetivos de control se relacionen con los aspectos esenciales de un tema o proceso. En las guías se encuentran objetivos genéricos a ser valorados. Es necesario considerar en la redacción que se utilice un verbo en infinitivo y que sea de fácil comprensión a nivel institucional, de igual manera es conveniente considerar un objetivo general y objetivos específicos, por ejemplo: Objetivo general: “Ejercer el control de gestión sobre la información de la gestión disciplinaria de la Procuraduría Regional Choco.” Objetivo específico: “Verificar que la información contenida en el sistema GEDIS sea concordante con la existente físicamente en los expedientes” Recuerde en relación con los objetivos considerar: Determinar con precisión los objetivos de la auditoria que se va a practicar. Aplicar y utilizar las nuevas modalidades, técnicas y herramientas de Auditoria. Establecer esta guía como obra de consulta constante sobre conceptos, definiciones, procesos, fases y técnicas de auditoria y papeles de trabajo entre otros. Obtener elementos para planificar el funcionamiento de la actividad de control interno, con la mayor eficacia del servicio de Auditoria Interna. Alcance Se procede a la definición del Alcance, que es el compromiso de la auditoría, se refiere a las áreas que se auditan, las fechas que se incluyen en la evaluación como corte de los reportes de expedientes. Se procede a la inclusión del Alcance, que se refiere a las áreas que se auditan, las fechas que se incluyen en la evaluación como corte de los reportes de expedientes, los procesos o procedimientos que se incluyen, las cuentas a revisar, etc. Por ejemplo: Procesos disciplinarios activos a fecha día de mes de año, en la Dependencia aaaa. Parque automotor asignado al nivel central y que sea de propiedad de la entidad. Ejecución presupuestal correspondiente a la vigencia 2006 por el concepto de gastos generales, del nivel central. Antecedentes Se incluye la información relativa a justificación de la realización de la auditoría e información relevante que debe ser considerada por el auditor: las observaciones de visitas anteriores y las recomendaciones de auditoría las consideraciones que tiene el auditor al analizar las cifras consolidadas de gestión hechos especiales de los cuales se tiene conocimiento y son objeto de verificación Las más comunes motivaciones para iniciar el desarrollo de una auditoría son las siguientes: ﻡ ﻡ ﻡ el cumplimiento del Plan Operativo Anual POA por instrucciones del nivel directivo por situaciones especiales vistas en la gestión disciplinaria Al ser aprobada por el Jefe de la Oficina de Control Interno la información incluida en el sistema Proaudit correspondiente a las pantallas previamente señaladas se crea el Registro REG-EV-EI-012 Plan de Visita de Auditoría. 1.1.3 Elaboración Plan de Visita de Auditoría Se refiere al método que seguirá el auditor e incluye la revisión de las mejores prácticas de la Oficina de Control Interno, para la determinación de las áreas del proceso de auditoría a realizar, sus pasos, así como la preparación de algunos de los papeles de trabajo a obtener y algunas de las pruebas a realizar; en caso de ser necesario in situ es apropiado recoger más papeles de trabajo y aplicar más pruebas de las inicialmente previstos. 1.1.3.1 Áreas de Programa Es la definición del nombre del compromiso (macroproceso, proceso, subproceso, área o asunto) que será objeto de examen. En principio se considera, conforme al Sistema de Gestión de Calidad, que las auditorías deberían realizarse por procesos, por tal razón las áreas de programa serían: Por procesos: Procesos estratégicos: Planeación estratégica Desarrollo del plan estratégico Desarrollo de planes operativos anuales Procesos misionales: Proceso Preventivo Proceso de Intervención Proceso Disciplinario Procesos de apoyo conexos: Proceso de relatoría Proceso Centro Atención al Público Proceso registro de sanciones e inhabilidades – SIRI Trámite de acciones jurídicas Procesos de apoyo: Proceso estratégico Proceso de contratación Proceso financiero Proceso de gestión humana Proceso de selección y carrera Procesos administrativos Procesos del IEMP Procesos de tecnología Informática Procesos de evaluación y control: MECI Sistema de Gestión de Calidad La otra forma de definir las áreas de programa sería por dependencias, se recuerda que estas cumplen un proceso o parte de él y que por tal razón deberían valorarse los procesos y procedimientos que desarrollan. Así puede ser definida también como área de programa: Áreas Misionales Procuradurías Auxiliares Sala Disciplinaria Procuradurías Delegadas Procuradurías Regionales Procuradurías Distritales Procuraduría Provinciales Procuradurías Judiciales Áreas de Apoyo Secretaría General División Gestión Humana Hojas de Vida Cesantías Nómina Bienestar y Capacitación División Centro de Atención al Público CAP División Financiera Tesorería Presupuesto Contabilidad División Administrativa Almacén Transportes Mantenimiento Compras Licitaciones Inventarios Coordinaciones administrativas Áreas Asesoras Oficina Jurídica Oficina de Control Interno Oficina de Planeación Oficina de Prensa Oficina de Sistemas Otras Áreas Instituto de Estudios del Ministerio Público División Administrativa y Financiera División de Capacitación División de Investigación Al definir un área de programa, es conveniente señalar los detalles y pasos de programa. Detalles Presentación de la definición del proceso, los objetivos de la realización de la auditoria y la secuencia que se define para realizar la visita. En este caso se incluye Definición de: PROCESO Se define el proceso o tema que será objeto de revisión. Normatividad relacionada (se puede colocar como adjunto) Señalar la normatividad relaciona con el proceso a revisar, tanto externa como interna a la entidad. 1.1.3.2 Determinación de actividades y pruebas (Pasos de programa) Los auditores en la fase de Planeación, deberán organizar el programa de auditoria del área correspondiente y el plan de pruebas de acuerdo con las normas de auditoria. Según las normas internacionales de auditoria, las pruebas de control se desarrollan para obtener evidencia sobre la efectividad de: El diseño de los sistemas de contabilidad y de control interno, ver si están diseñados adecuadamente para prevenir, encontrar y corregir manifestaciones erróneas de importancia relativa; y La operación de los controles internos a lo largo del período. Las pruebas de control pueden incluir: Inspección de documentos que soportan los procedimientos y otros eventos para ganar evidencia en la Auditoria. Investigación y observación de controles internos que no dejan rastros para Auditoria, por ejemplo, quién desempeña realmente cada función y no suponer quién la desempeña. Reconstrucción del desempeño de los controles internos por ejemplo, la conciliación de cuentas de bancos, para asegurar que fueron correctamente desarrollados por la entidad. Prueba de cumplimiento. Que proporcionar al profesional, una seguridad razonable de que los procedimientos relativos a los controles internos, misionales, contables y administrativos, están siendo aplicados tal como fueron establecidos. Las pruebas de detalle, son procedimientos sustantivos que requieren de examen puntual en busca de evidencia que la labor del auditor Pruebas selectivas, consiste en aplicar los métodos estadísticos, a una muestra estratificada, con determinadas características Pruebas sustantivas. Sí las pruebas de cumplimiento proporcionan evidencia que los controles no están operando o no proveen seguridad razonable, el auditor debe buscar errores cuantificables, que sustenten las debilidades encontradas. La metodología que seguirá el auditor se define en los denominados “pasos de programa”, que es la definición de actividades y pruebas que in situ se van a realizar para el cumplir del compromiso de auditoría adquirido. Las acciones del plan (pasos de programa en el software) considerados como la mejor práctica genérica son los siguientes, se recuerda que cada programa tiene énfasis en determinados temas: Actividad o prueba1 INS-EV-EI-009- Guía Realización de la Reunión de Apertura INS-EV-EI-011 Guía Levantamiento de Información Descripción Presentación ante el Jefe de la dependencia y ante los servidores que atenderán la auditoría En la Oficina de Control Interno, Oficina de Planeación u Oficina de Sistemas. Determinación de estadísticas e información relevante sobre la dependencia o proceso objeto de revisión y obtención de la misma. INS-EV-EI-012 Guía En puestos de trabajo del Servidor Público. Revisión Revisión a servidor del autocontrol de gestión. público INS-EV-EI-013 Guía En instalaciones de la dependencia. Verificar la verificación locaciones situación locativa. INS-EV-EI-014 Guía En despacho del jefe de la dependencia. Elaboración y realización de la reunión aprobación del acta de visita general de auditoría. de cierre 1.1.4 Selección de pruebas a realizar 1 Las guías se encuentran en el Instructivo de realización de auditoría Las pruebas corresponden a la constatación física, verificación de documentación y tratamiento de información, sirven para generar evidencias y se constituyen en registros (o papeles de trabajo). Las pruebas deben tener un mínimo predefinido para homologar el trabajo de los auditores y soportar los conceptos posteriores. El diseño de las pruebas contiene: Descripción: Corresponde a la presentación de la prueba a realizar Plan de testeo: Es la prueba Las pruebas que son considerados como la mejor práctica son las siguientes: Pruebas de cumplimiento: Se orientan a verificar que se esté aplicando las políticas de operación definidas a través de normas, circulares, directrices, resoluciones, manuales previamente aprobados. Por ejemplo: - Verificar que una orden de pago tenga la información de registro y firma que debe presentar Verificar que el un contratista haya cumplido con los parámetros preestablecidos. Pruebas sustantivas: Son las que se realizan repitiendo la operación con base en los métodos y procedimientos que deben ser habituales para verificar que el resultado corresponde con los registros o soportes existentes. Por ejemplo: - Reliquidar la nómina de uno o varios servidores utilizando medios distintos a los habituales y confrontar con los resultados Realizar el conteo de las existencias físicas de un bien en una bodega Realizar un arqueo a una caja menor Los programas de auditoria para las áreas (misional, administrativa, financiera, asesoras, de capacitación y demás) se precisarán para cada Plan de Visita de Auditoría, por las situaciones coyunturales y debilidades conocidas que se quieren valorar, así mismo se puede ajustar a medida en que se ejecute el trabajo, teniendo en cuenta entre otros aspectos: los mapas de riesgo, las visitas de auditoria, la evaluación del Autocontrol Mejorando, el POA, evaluación del Sistema de Control Interno y las solicitudes que presenten los directivos de la institución. En los capítulos siguientes se presentan los programas de auditoria diseñados para los procesos de la Procuraduría General de la Nación, que son un referente para la labor. PAPELES DE TRABAJO Permanentes: Ver primer Instructivo de este Capítulo. Corrientes: Registro REG-EV-EI-012 Plan de Visita de Auditoría.