Planeación y ejecución de auditorías internas al sistema ... · Web viewEsta norma de la serie...

PROCESO AUDITORÍAS INTEGRALES DE GESTIÓN CÓDIGO IGPD03

PROCEDIMIENTOPLANEACION Y EJECUCION DE

AUDITORIAS INTERNAS AL SISTEMA INTEGRADO DE GESTIÓN (SIG)

VERSIÓN 1

ELABORÓ:Profesional Oficina de Control InternoProfesional Oficina Asesora de Planeación

REVISÓ:Jefe Oficina de Control InternoJefe Oficina Asesora de Planeación

APROBÓ:Jefe Oficina de Control Interno

FECHA: 11/12/2017

FECHA:12/12/2017

FECHA:13/12/2017

OBJETIVO Evaluar el grado de conformidad del Sistema Integrado de Gestión (SIG), a través de Auditorías Internas, de acuerdo a las normas, internas y externas, aplicables a cada uno de los subsistemas que lo integran, con el fin de promover la mejora continua de los procesos.

ALCANCEInicia con la planeación, elaboración y trámite de la comunicación del Plan de Auditoría al responsable del proceso a auditar. Continúa con la reunión de apertura de Auditoría, la ejecución del Plan de Auditoría, la elaboración del Informe Preliminar de Auditoría Interna, el traslado de este último, la presentación del Informe Final, Seguimiento a los Planes de Mejoramiento y Cierre en el aplicativo que disponga la Entidad, de las acciones correctivas correspondientes.

ÁMBITO DE APLICACIÓN Aplica a todos los procesos de la Superintendencia Nacional de Salud (Estratégicos, Misionales, de Apoyo y de Evaluación).

DEFINICIONESAlcance de la Auditoría: Extensión y límites de la auditoría que se informa en el Plan de Auditoría. El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos, así como el período de tiempo cubierto. (Instituto Colombiano de Normas Técnicas y Certificación ICONTEC, NTC ISO 19011:2012).

Auditado: Responsable de la dependencia, proceso, sistema, operación, actividad u otro asunto objeto de verificación. Toda la organización es susceptible de ser auditada, es decir, en todos los niveles jerárquicos e independientemente de la vinculación de sus servidores públicos o colaboradores.

Auditor: Persona o Grupo de Personas (Equipo) que lleva(n) a cabo una auditoría.

Auditor Líder: Será quien se designe para tal fin en el memorando en el que se comunica el Plan de Auditoría y es el interlocutor permanente entre los auditores que conforman el equipo auditor y el Jefe de la Oficina de Control Interno, así como entre este último y el responsable de la dependencia auditada. El auditor líder, lidera el proceso de auditoría, por esta razón, es indispensable que quien cumple esta tarea posea un alto grado de aceptación y liderazgo dentro de los integrantes del equipo auditor, de manera tal que garantice el trabajo en equipo.

Pág. 1 de 20




VERSIÓN 1

DEFINICIONESAuditoría Interna: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría .

Mediante la ejecución del procedimiento de Auditoría Interna, la Oficina de Control Interno podrá evaluar los subsistemas que componen el Sistema Integrado de Gestión, como la gestión individual de cada una de las dependencias que ejecutan los procesos de la Institución.

Se entenderá por Auditoria Interna, toda aquella que ejecute la Oficina de Control interno en desarrollo de sus funciones; independientemente que estas se refieran a cualquiera de los subsistemas que componen el Sistema Integrado de Gestión.

Auditoría Interna de Calidad: Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumple los criterios de auditoría. Los propósitos de la Auditoria de Calidad son entre otros: determinar la conformidad o no conformidad del Sistema de Calidad con los recursos especificados; Determinar la efectividad del Sistema en el cumplimiento de objetivos; e identificar el potencial para el mejoramiento del Sistema de Gestión de la Calidad y cumplir los requisitos regulatorios.

Conclusiones de Auditoría: Resultado de una auditoría proporcionada por el equipo auditor, tras considerar los objetivos de la auditoría y todos los hallazgos de la misma.

Criterios de Auditoría: Conjunto de normas, políticas, procedimientos o requisitos utilizados como referencia. Es el “deber ser” de la organización y se constituyen en las normas razonables sobre las cuales pueden evaluarse las prácticas administrativas y de gestión en forma adecuada. Dichos criterios deben ser utilizados para evaluación del grado en el cual la organización cumple con las expectativas que se habían determinado y dispuesto en forma explícita. Los criterios de auditoría se utilizan como una referencia frente a la cual se compara la evidencia de la auditoría.

Equipo auditor: Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos. A un auditor del equipo se le designa como líder del mismo. El equipo auditor puede incluir auditores en formación. La Oficina de Control Interno a través de su Jefe, es la que lidera conforme a la norma, la Auditoría, designando a los auditores líderes, acompañantes y observadores, catalogando estos, conforme a su experticia y experiencia.

Evaluación: Comprende la valoración y verificación objetiva de las evidencias efectuadas para proporcionar una opinión o conclusión independiente respecto de un proceso, sistema u otro asunto. La naturaleza y el alcance del trabajo de evaluación están determinados por el Jefe de la Oficina de Control Interno. (Cartillas de Administración Pública Rol de las Oficinas de Control Interno o quien haga sus veces ESAP-DAFP 2009. Pág. 19-20).

Pág. 2 de 20




VERSIÓN 1

DEFINICIONES

Evidencia de la Auditoría: Registros, declaraciones de hecho, o cualquier otra información, que son pertinentes para los criterios de auditoría y que son verificables. Pueden ser de carácter cualitativo o cuantitativo.

Evidencia Objetiva: Datos que respaldan la existencia o veracidad de algo.

Hallazgo de la Auditoría: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.

Informe de Auditoría: Es el resultado del trabajo realizado por el auditor que contiene las observaciones y recomendaciones, producto de los hallazgos evidenciados.

Modelo Estándar de Control Interno- MECI: Estructura básica para evaluar la estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo y aunque promueve una estructura uniforme, se adapta a las necesidades específicas de cada entidad, a sus objetivos, estructura, tamaño, procesos y servicios que suministran. El propósito esencial del MECI es orientar a las entidades del Estado Colombiano hacia el cumplimiento de sus objetivos y la contribución de éstos a los fines esenciales del Estado.

No Conformidad: Incumplimiento de un requisito establecido en las normas aplicables al Sistema Integrado de Gestión, que no permiten alcanzar los objetivos de calidad. (Instituto Colombiano de Normas Técnicas y Certificación ICONTEC, NTC ISO 19011:2012)

Observación: Situación que no implica incumplimiento de un requisito, pero que si es tenida en cuenta puede llevar a mejoras en el desempeño de los Sistemas de Control Interno o de Gestión, o eliminar situaciones de riesgo potencial.

Papeles de Trabajo u Hoja de Verificación: Documento de trabajo que permite estructurar la auditoria y desarrollar los procedimientos definidos. Sirve de guía para determinar si las prácticas reales concuerdan con los procedimientos establecidos y los requisitos y como soporte para realizar las entrevistas. Allí se pueden realizar las pruebas y registrar los hallazgos y conclusiones, sirviendo de base para la elaboración del Informe de Auditoria. Al ser un instrumento propio del auditor líder y de los auditores que conforman el equipo de auditoría, los papeles de trabajo pueden ser diseñados por cada uno de los mismos, en busca de cumplir con el objetivo de la auditoría; y, por tanto, no estarán codificados.

Plan de Auditoría: Es el conjunto de actividades diseñadas por el auditor, que contiene los pasos mínimos a seguir en la auditoría.

Pág. 3 de 20




VERSIÓN 1

DEFINICIONESPrograma de Auditoría: Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico . (Instituto Colombiano de Normas Técnicas y Certificación ICONTEC, NTC ISO 19011:2012) Un programa de auditoria incluye las actividades para planificar, organizar y llevar a cabo las auditorías.

Registro: Documento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas.

Requisito: Necesidad o expectativa establecida, generalmente implícita u obligatoria.

Sistema Integrado de Gestión (SIG): Es el conjunto de orientaciones, procesos, políticas, metodologías, instancias e instrumentos orientados a garantizar un desempeño institucional articulado y armónico que busque de manera constatable la satisfacción de los grupos de interés.

Es importante destacar que cuando se habla de sistema de gestión no solamente se entiende Calidad o Control Interno, sino también otros como Desarrollo Administrativo, Ambiental, Seguridad y Salud en el Trabajo, Seguridad de la Información, Responsabilidad Social, Gestión Documental, entre otros que pueda tener la Entidad. Esto implica que la auditoría puede centrarse en uno o en varios de los subsistemas que se encuentren implementados.

Técnicas de Auditoría: Son los métodos prácticos de investigación y pruebas que utiliza el auditor para obtener evidencia necesaria que fundamente sus opiniones y conclusiones.

Verificación: Confirmación, mediante la aportación de evidencia objetiva, de que se han cumplido los requisitos especificados.

POLÍTICAS DE OPERACIÓN1. La Alta Dirección, conforme a lo establecido a las normas que regulan las Oficinas de Control Interno, deberá suministrar el personal idóneo y competente

para la realización de auditorías internas al Sistema Integrado de Gestión (SIG), de conformidad con lo establecido en la Ley 87 de 1993, y demás normas que la complementan y modifican, así como la Circular 06 de 2005, expedida por el Departamento Administrativo de la Función Pública, implementando acciones de capacitación y entrenamiento verificables de manera periódica, incorporando éstas en el Plan Anual de Capacitación de la Entidad, y por tanto se asignarán para estos efectos los recursos presupuestales que permitan cumplir con esta actividad.

2. En el caso que la Alta Dirección de la Entidad solicite la realización de Auditorias especiales de Gestión no definidas en el Programa Anual de Auditorías, el Jefe de la Oficina de Control Interno, revisará la viabilidad y factibilidad para la ejecución de la Auditoría; y en caso de serlo, estas deberán ser ejecutadas, de conformidad a lo establecido en los procedimientos Planeación y Ejecución de las Auditorías Gestión (IGPD01).

Pág. 4 de 20




VERSIÓN 1

POLÍTICAS DE OPERACIÓN

3. Para garantizar independencia y objetividad en la ejecución de auditorías internas, ningún auditor podrá auditar el proceso donde haya prestado sus servicios en los últimos seis (6) meses; así mismo se tendrá en cuenta cualquier otra inhabilidad o impedimento que pueda existir, la cual debe ser informada oportunamente al Jefe de la Oficina de Control Interno, quien decidirá al respecto.

4. La Oficina de Control Interno deberá llevar el control de las hojas de vida de los auditores, para lo cual estructurará una Carpeta que cuente con la debida foliación y bajo los parámetros establecidos para las Tablas de Retención Documental, correspondiente a las hojas de vida de auditores.

5. Se clasificarán a los auditores de acuerdo con los siguientes parámetros: si el auditor ha realizado más de 15 horas de auditoría se clasificará como líder; entre 5 y 15 horas se clasificará como auditor acompañante; y quien acredite 5 horas o menos, será clasificado como observador. El auditor líder y el acompañante deben evidenciar formación como auditores, el auditor observador, puede o no relacionar formación como auditor. En todo caso, los auditores líderes y acompañantes, deben estar certificados en la norma que aplique a cada uno de los subsistemas que conforman el Sistema Integrado de Gestión (SIG), y en sus respectivas actualizaciones.

6. Los mecanismos de verificación y evaluación de las auditorías internas serán los sugeridos por las normas de auditoría generalmente aceptadas.

7. Las auditorías internas al Sistema Integrado de Gestión (SIG) deben realizarse teniendo en cuenta los diferentes requisitos que demandan los subsistemas que lo conforman, siguiendo los lineamientos, directrices, guías y metodologías formalmente establecidas, así como las Normas Internacionales adoptadas, para el ejercicio profesional de la Auditoría al SIG.

8. Las actuaciones que se ejecuten derivadas del presente procedimiento, deberán ser desarrolladas atendiendo lo dispuesto en el Decreto 648 de 2017, los auditores, auditados, la alta dirección y en general toda la institución, deben tener en cuenta el Estatuto de Auditoría y el Código de Ética del Auditor, conforme a acto administrativo que se expida sobre el particular.

9. Los informes, preliminar y final de la auditoría interna al Sistema Integrado de Gestión (SIG), deberán remitirse dentro del plazo señalado en el plan de auditoría, respetando siempre el debido proceso y el derecho a la contradicción. Para estos efectos el auditado contará con cinco (5) días hábiles para realizar sus observaciones; luego de lo cual la Oficina de Control Interno presentará al representante de la Entidad el informe final, incorporando en el mismo la conclusiones y recomendaciones pertinentes, solicitando que dentro de los diez (10) días hábiles siguientes a la presentación del informe final, se

Pág. 5 de 20




VERSIÓN 1

POLÍTICAS DE OPERACIÓNregistre en el sistema o aplicativo dispuesto por la Entidad, el respectivo Plan de Mejoramiento o las acciones correctivas, si a ello hubiere lugar.

10. La auditoría finaliza cuando se cierren las acciones correctivas planteadas por los líderes de los procesos auditados, a las que la Oficina de Control Interno les hace control posterior.

11. El auditor debe remitir a la Oficina de Control Interno los registros y evidencias producto de la auditoría realizada, acatando las instrucciones que emita oportunamente esta dependencia, sobre la manera de allegar aquéllas.

12. El auditor no debe revelar el contenido de los documentos o cualquier información obtenida durante las auditorías internas o el reporte de las mismas, sin la aprobación del Jefe de la Oficina de Control Interno.

13. La evidencia recolectada durante la auditoría que sugiera un riesgo significativo inminente para la Entidad, debe ser reportada sin demora al auditado, y cuando sea apropiado, al Superintendente Nacional de Salud.

14. Cuando se planeen y ejecuten auditorías internas a un Subsistema del Sistema Integrado de Gestión (SIG), deben realizarse las actividades descritas para ese caso, en este procedimiento.

15. Las actividades y pasos a seguir durante la ejecución de las auditorías internas al Sistema Integrado de Gestión (SIG), deben ceñirse a lo establecido en la “Guía de Orientación de Labores de la Oficina de Control Interno”, Código IGGU01

16. El seguimiento a los planes de mejoramiento, radicados en el Sistema o aplicativo dispuesto por la Entidad, debe llevarse a cabo de conformidad en el procedimiento “Tratamiento del Servicio No Conforme y de No Conformidades”, código PMPD01.

NORMASREQUISITO LEGAL DIRECTRIZ DE CUMPLIMIENTO

Resolución 1016 del 31 de marzo de 1989: Por la cual se reglamenta la organización, funcionamiento y forma de los Programas de Salud Ocupacional que deben desarrollar los patronos o empleadores en el país.

Toda la Norma.

Artículo 1º: Todos los empleadores públicos, oficiales, privados, contratistas y subcontratistas, están obligados a organizar y garantizar el funcionamiento de un programa de Salud Ocupacional de acuerdo con la presente Resolución.

Pág. 6 de 20




VERSIÓN 1


Ley 87 del 29 de noviembre de 1993, “Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado”

Toda la norma

Ley 489 del 29 de diciembre de 1998: “Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones”.

Capitulo IV – Artículo 15: Sistema de Desarrollo Administrativo. Definición del sistema. El Sistema de Desarrollo Administrativo es un conjunto de políticas, estrategias, metodologías, técnicas y mecanismos de carácter administrativo y organizacional para la gestión y manejo de los recursos humanos, técnicos, materiales, físicos, y financieros de las entidades de la Administración Pública, orientado a fortalecer la capacidad administrativa y el desempeño institucional, de conformidad con la reglamentación que para tal efecto expida el Gobierno Nacional.

Capítulo VI-Sistema Nacional de Control Interno. Artículo 27: Creación. Créase el Sistema Nacional de Control Interno, conformado por el conjunto de instituciones, instancias de participación, políticas, normas, procedimientos, recursos, planes, programas, proyectos, metodologías, sistemas de información, y tecnología aplicable, inspirado en los principios constitucionales de la función administrativa cuyo sustento fundamental es el servidor público.

Decreto 1537 del 26 de julio de 2001 " Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado."

Artículo 3. De las Oficinas de Control Interno. En desarrollo de las funciones señaladas en el artículo 9 de la Ley 87 de 1993, el rol que deben desempeñar las oficinas de control interno, o quien haga sus veces, dentro de las organizaciones públicas, se enmarcan en cinco tópicos, a saber: valoración de riesgos, acompañar y asesorar, realizar evaluación y seguimiento, fomentar la cultura de control, y relación con entes externos.

Artículo 4º. La identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las Oficinas de Control Interno, evaluando los aspectos tanto internos como externos que puedan llegar a representar una amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las Oficinas de Control interno e integradas de manera inherente a

Pág. 7 de 20




VERSIÓN 1


los procedimientosLEY 872 del 30 de diciembre de 2003: “Por la cual se crea el sistema de gestión de la calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios".

Toda la Norma

Decreto 1599 del 20 de mayo de 2005: “por medio del cual se adoptó el Modelo Estándar de Control Interno para el Estado Colombiano”.

Mediante este Decreto, se determinan las generalidades y la estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las Entidades y Agentes obligados conforme al Artículo 5º de la Ley 87 de 1993.

Resolución 1523 del 23 de agosto de 2006: “Por la cual se ordena el diseño e implementación del Plan de Gestión Ambiental de la Superintendencia Nacional de Salud”.

Toda la Resolución

NTC/OHSAS 18000:2007: Por medio de la cual se establecen los requisitos del Sistema de Gestión de Salud y Seguridad Laboral.

Toda la Norma

Esta norma de la serie de evaluación en Seguridad y Salud Ocupacional (OHSAS) acompañada por OHSAS 18002, Guía para la implementación de OHSAS 18001, ha sido desarrollada en respuesta a la demanda de los clientes por una norma reconocible para el Sistema de Gestión en Seguridad y Salud Ocupacional contra el cual sus sistemas de gestión puedan ser evaluados y certificados.

OHSAS 18001 ha sido desarrollada para ser compatible con las normas de sistema de gestión ISO 9001:2000 (Calidad), e ISO 14001:2004 (Ambiental), de manera que se facilite la integración de Sistemas de Gestión de Calidad, Ambiental y Seguridad y Salud Ocupacional, si ellos desean hacerlo.

Decreto 4485 del 18 de noviembre de 2009: "Por medio de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública".

ARTICULO 1. Adoptase la actualización de la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000 Versión 2009, la cual establece las generalidades y los requisitos mínimos para establecer, documentar, implementar y mantener un Sistema de Gestión de la Calidad en los organismos, entidades y agentes obligados conforme al artículo 20 de la Ley 872 de 2003.

ISO 26000:2010. responsabilidad social. La Norma ISO 26000:2010 hace énfasis en que el desempeño de una organización con la sociedad

Toda la Norma.

Esta Norma Internacional proporciona orientación sobre los principios que subyacen en la responsabilidad

Pág. 8 de 20




VERSIÓN 1


y con su impacto con el medio ambiente será una parte crítica al medir su desempeño integral y su habilidad para operar de manera eficaz.

social, el reconocimiento de la responsabilidad social y el involucramiento con las partes interesadas, las materias fundamentales y los asuntos que constituyen la responsabilidad social y sobre las maneras de integrar un comportamiento socialmente responsable en la organización. Esta Norma Internacional hace énfasis en la importancia de los resultados y mejoras en el desempeño de la responsabilidad social.

NTC/ISO 19011:2012: Por medio de la cual se establecen las directrices para la Auditoría a los Sistemas de Gestión.

Toda la Norma

Esta Norma Internacional no establece requisitos, sino que provee una guía sobre el manejo de un programa de auditoría, sobre la planeación y realización de una auditoría a un sistema de gestión, así como sobre la competencia y evaluación de un auditor que pertenezca al equipo auditor.

NTC/ISO 27001:2013: Por medio de la cual se establecen los requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI).

Toda la NormaEsta norma internacional ha sido elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI).

Resolución 678 del 10 de abril de 2014, “Por medio del cual se adopta el Sistema Integrado de Gestión de la Superintendencia Nacional de Salud y se dictan otras disposiciones”

Toda la Resolución

Decreto 943 del 21 de mayo de 2014, “Por el cual se actualiza el Modelo Estándar de Control Interno, MECI” y Manual Técnico

Proporciona la estructura básica para evaluar la estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo.

Decreto 1443 del 31 de julio de 2014: Por el cual se dictan disposiciones para la implementación del Sistema de Gestión de la Seguridad y Salud en el Trabajo (SG-SST).

Todo el Decreto

Resolución 1521 del 12 de agosto de 2014: “Por medio de la cual se adoptan las Políticas del Sistema Integrado de Gestión”.

Toda la Resolución

Resolución 2116 del 25 de septiembre de 2014. Por medio de la cual se modifican el artículo 1° y Toda la Resolución

Pág. 9 de 20




VERSIÓN 1


8° de la Resolución 00678 de 2014 y se dictan otras disposiciones.Resolución 1650 del 1 de septiembre de 2015: “Por medio de la cual se adopta el Reglamento de Higiene y Seguridad Industrial de la Superintendencia Nacional de Salud”

Toda la Resolución

NTC/ISO 9001:2015: Por medio de la cual se establecen los requisitos del Sistema de Gestión de la Calidad.

Toda la Norma

Esta Norma Internacional promueve la adopción de un enfoque basado en procesos cuando se desarrolla, implementa y mejora la eficacia de un sistema de gestión de la calidad, para aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos.

NTC/ISO 14001:2015: Por medio de la cual se establecen los requisitos del Sistema de Gestión Ambiental.

Toda la Norma:

El propósito de esta norma internacional es proporcionar a las organizaciones un marco de referencia sistemático para proteger el medio ambiente y responder a las condiciones ambientales cambiantes, en equilibrio con las necesidades socioeconómicas, mediante la especificación de requisitos para un sistema de gestión ambiental, que posibilita que una organización mejore su desempeño ambiental.

Decreto 648 del 19 de abril de 2017: Por el cual se modifica y adiciona el Decreto 1083 de 2015, Reglamento Único del Sector de la Función Pública.

Todo el Decreto

DESCRIPCIÓN DEL PROCEDIMIENTO

IDACTIVIDAD /

TAREA¿QUÉ?

DESCRIPCIÓN¿CÓMO?

ÁREA RESPONS

ABLECARGO ÁREA

PARTICIPANTE REGISTRO

1 Identificar las prioridades de

Se deben determinar los subsistemas del Sistema Integrado de Gestión (SIG), que van a ser auditados.

Oficina de Control

Jefe de Oficina de

Oficina de Control Interno

Matriz Priorización de

Pág. 10 de 20




VERSIÓN 1


necesidad de Auditorías internas

al Subsistema Integrado de

Gestión para la vigencia

Con base en los requerimientos presentados por la alta dirección, se establecerán y registrarán las necesidades de auditorías de Gestión en el formato “Matriz Priorización de Necesidades de Auditoría Integral”, Código IGFL01.

Interno

Control Interno

Auditor Líder Oficina de

Control Interno

Necesidades de Auditoria

Integral Código IGFL01

2 Formular Programa Anual de Auditorías

y Seguimientos

A partir de los resultados de la priorización de necesidades para la estructuración del Programa Anual de Auditorías y Seguimientos (PAAS), la Auditoría Interna al Sistema Integrado de Gestión (SIG) se debe formular, previa la consulta de la disponibilidad de los recursos necesarios (Ejemplo: humanos, físicos, financieros, tecnológicos e informáticos), los cronogramas de actividades claves de la organización que determinen su operación (Ejemplo: vacaciones, cierres de periodos fiscales, proyectos especiales entre otros).

El Jefe de la Oficina de Control Interno deberá asignar equipos auditores de acuerdo a su competencia y experiencia; así:

1. Auditor Líder.2. Auditor (es) acompañante (s).3. Auditor (es) observador (es).

Una vez cumplido lo preceptuado en el Decreto 648 del 19 de abril de 2017 (aprobación del Programa Anual de Auditoría por parte del Comité de Control Interno), la


Jefe de Oficina de

Control Interno

Profesional (es)

Asignado (s)


Matriz de Formulación

del Plan Anual de Gestión -

PAG (PIFT02)

Memorando, código

ASFL01

Acta Comité de Control

Interno

Programa Anual de

Auditorías y Seguimientos

(PAAS) IGFT04

Pág. 11 de 20




VERSIÓN 1


Oficina de Control Interno, procederá a incorporar las actividades de Auditorías y Seguimientos en el Plan Anual de Gestión, de conformidad con lo establecido en el Procedimiento “Formulación y Elaboración de Planes Institucionales” (PIPD01) y la Guía “Formulación, elaboración, implementación y evaluación del Plan Anual de Gestión” (PIGU01); y se remitirá a la Oficina Asesora de Planeación mediante memorando.

3 Planeación de la Auditoría

La planeación y ejecución de las Auditorías Internas al Sistema Integrado de Gestión (SIG) deberá desarrollarse de conformidad con lo estipulado en la Guía Orientación de Actividades de la Oficina de Control Interno (IGGU01) Capítulo 3. Auditorías Internas al Sistema Integrado de Gestión (SIG)


Jefe de Oficina de

Control Interno

Auditor Líder Oficina de

Control Interno


4

Elaborar y trámitar de la comunicación a(los) responsable(s) del(los) proceso(s) a auditar, informando el Plan de Auditoría.

De conformidad con lo establecido en el Programa Anual de Auditorías Internas, el Jefe de la Oficina de Control Interno remite Memorando, código ASFL01 a(los) responsable(s) del(los) proceso(s) a auditar, adjuntando el Plan de Auditoria Interna con código IGFT02, a través del sistema de gestión documental vigente en la Entidad, en el cual se incorporará el alcance en cuanto al periodo a evaluar, de la auditoría.


Jefe de la Oficina de Control Interno

Las Dependencias que ejecutan los Procesos de la Superintendencia Nacional de Salud, que son objeto de Auditoría.

Memorando Código ASFL01.

Plan de Auditoría código IGFT02

5 Realizar reunión de apertura de Auditoría Interna.

Una vez remitido el Plan de Auditoría por Memorando radicado en el sistema de gestión documental institucional, el Jefe de la Oficina de Control Interno, establecerá la fecha y hora para efectuar la Reunión de Apertura donde



Las Dependencias que ejecutan los Procesos de la Superintendencia Nacional de Salud,

Módulo de Actas Sistema dispuesto por la entidad o el

Pág. 12 de 20




VERSIÓN 1


se realizará lo siguiente:

a) Presentar los Integrantes del equipo Auditorb) Comunicar Objetivos de la Auditoría.c) Comunicar el Alcance de la Auditoría.d) Presentar el Cronograma de Trabajo.e) Se establecerán los canales formales de comunicación

entre el equipo auditor y el auditadof) Solicitud de los recursos e instalaciones que necesita

el equipo auditor.g) Información acerca de las condiciones bajo las cuales

la auditoria puede darse por terminada. h) Solicitar acceso a documentos y registros relevantes,

si es el caso.i) Recibir inquietudes y/o comentarios del auditado, si es

el caso.j) Establecer la reunión de cierre

El desarrollo de la reunión quedará registrado en el módulo Actas del Aplicativo que disponga la Entidad, y se dejará lista de asistencia.

que son objeto de Auditoría.

que se encuentre vigente en la Entidad.

Lista de Asistencia ASFT04

6. Ejecutar el Plan de Autoría

Los Auditores designados, ejecutarán la auditoría, con base en la normatividad vigente y el Plan de Auditoría previamente definido e informado a(los) responsable(s) de(los) proceso(s) a auditar, para lo cual estudiarán previamente el respectivo proceso, en procura que la auditoría se ejecute de manera eficiente, efectiva y eficaz.


Profesional (Auditor Líder y equipo auditor)


lista de Asistencia, formato ASFT04

6.1. Verificar la Recolectar y verificar la información recibida, evaluando Oficina de Profesional Las Dependencias

Pág. 13 de 20




VERSIÓN 1


información y aplicar listas de chequeo.

que ésta sea completa, correcta, veraz y consistente con lo requerido.

Para verificar la información se pueden utilizar entre otras, alguna(s) de las herramientas y/o técnicas de auditoría, relacionadas a continuación:

- Entrevistas con servidores públicos, contratistas y otras personas

- Observación de actividades, el ambiente y/o de las condiciones y medios de trabajo circundante.

- Revisión de documentos y registros de información.- Muestreos de auditoría

Tan solo la información que es verificable puede constituir evidencia de la auditoría, la cual hace parte de los papeles de trabajo.

Control Interno

(Auditor Líder y equipo auditor)

que ejecutan los Procesos de la Superintendencia Nacional de Salud, que son objeto de Auditoría.

6.2. Analizar las evidencias encontradas y Generar los hallazgos de Auditoría

Los Profesionales que conforman el Equipo Auditor deberán realizar las siguientes acciones:

Revisar las evidencias y formular los hallazgos de la auditoría interna, frente a los objetivos y criterios establecidos en el Plan de Auditoría.

Verificar los documentos de trabajo y anexos que soporten la validez de los hallazgos detectados.

Identificar y presentar las conformidades, no conformidades y observaciones.


Profesional (Auditor Líder y equipo auditor)


Informe Parcial de Auditoria, código IGFT05

Pág. 14 de 20




VERSIÓN 1


Identificar y presentar las conformidades, no conformidades y observaciones, en el informe parcial correspondiente, a presentar a la Oficina de Control Interno, quien consolidará el informe preliminar.

7.

Elaborar el Informe Preliminar de Auditoría y someterlo a consideración del Jefe de la Oficina de Control Interno.

Una vez ejecutada la actividad precedente, el Auditor Líder con el equipo auditor, redactará el Informe Preliminar de Auditoria, para darle traslado a los auditados.


Profesional (Auditor Líder y equipo auditor del proceso auditado)



Informe Preliminar de Auditoría, código COFL02

8. Elaborar y presentar Informe Preliminar de Auditoría Interna al Sistema Integrado de Gestión (SIG)

Una vez el Jefe de la Oficina de Control Interno aprueba el Informe Preliminar, se dará traslado a (los) líder(es) de(los) proceso(s) auditado(s), para efectuar las observaciones que considere oportunas, entendiéndose que, si no se pronuncia en el término de cinco (5) días hábiles, el informe preliminar ostentará la calidad de informe final de auditoría.

Una vez vencido el término del traslado del Informe Preliminar, el Jefe de la Oficina de Control Interno procederá a evaluar las observaciones presentadas por el auditado, en caso que se hubieren presentado dentro del


Profesional (Auditor Líder)



Memorando de traslado del Informe Preliminar, Código ASFL01

Informe Preliminar de Auditoría, código COFL02

Pág. 15 de 20




VERSIÓN 1


término anteriormente establecido.

En caso de no recibir observaciones, se entenderá que el informe preliminar pasará a ser informe final.

9.Realizar mesa de trabajo con auditores líderes.

Una vez recibido el pronunciamiento del líder del proceso respecto del informe preliminar, la Oficina de Control interno realizará mesa de trabajo con los auditores líderes, para poner en discusión las observaciones del auditado.

A pesar de lo expuesto, en caso que un auditor líder no pueda acudir a la mesa de trabajo, se le remitirán las observaciones del líder del proceso auditado por correo electrónico institucional, para que, por ese medio, se pronuncie.





Auditores líderes


10. Presentar el Informe Final.

Una vez agotada la actividad número seis (6), se presentará el informe final al Superintendente Nacional de Salud y a los Auditados, dejando constancia en el Memorando con el cual se remite el informe, que dentro de los diez (10) días hábiles siguientes a la fecha de presentación del informe, el(los) responsable(s) del(los) proceso(s) auditado(s), deberán radicar en el Sistema Integrado de Planeación y Gestión ITS o el que se encuentre vigente en la Entidad, las acciones correctivas o Planes de Mejoramiento, a los que la Oficina de Control Interno les realizará seguimiento posterior.



Despacho del Superintendente Nacional de Salud y auditados.

Memorando remisorio del Informe Final, código ASFL01.

Informe Final Código COFL02.

11. Registrar No Conformidades en el aplicativo ITS

Una vez presentado el informe final, el auditor líder de la Oficina de Control Interno registrará en el Sistema Integrado de Planeación y Gestión ITS o el que se


Auditor Líder Oficina de Control Interno

Sistema Integrado de Planeación y

Pág. 16 de 20




VERSIÓN 1


encuentre vigente en la Entidad, las No Conformidades derivadas de la auditoría.

Gestión ITS o el que se encuentre vigente en la Entidad.

12. Evaluar a los auditores internos

Después de presentar el informe final de auditoría, el Jefe de la Oficina de Control Interno, solicitará a los líderes de los procesos auditados, que evalúen a los auditores líderes, en el Formato Evaluación de competencia y desempeño de los auditores internos, código IGFT03; así mismo los Auditores Lideres evaluarán a su equipo auditor.

Una vez recibida la información, el Jefe de la Oficina de Control Interno consolidará las respectivas evaluaciones, las que quedarán archivadas en la carpeta de la respectiva auditoría

Procesos auditados

Auditores Líderes

Líderes de los Procesos Auditados

Auditores líderes


Jefe de la Oficina de Control Interno Líder de la Auditoría.

Memorando remisorio, código ASFL01.

Evaluación de competencia y desempeño de los auditores internos diligenciado, IGFT03

13.

Archivar y custodiar las evidencias y los papeles de trabajo soportes de la auditoría

Conforme a las Normas de Auditoria Legalmente Aceptadas, el Jefe de la Oficina de Control Interno es el responsable de la Planeación y desarrollo de los Procesos de Auditoría; por lo tanto, los registros, evidencias y demás documentos que se generen como resultado de éstas, deben reposar en la Oficina de Control Interno.




Secretaria

Carpeta con documentos soportes, archivadas conforme a las Tablas de Retención Documental.

14. Seguimiento a los Planes de

La Oficina de Control Interno, en desarrollo de su función de control posterior, realizará seguimiento al cumplimiento

Procesos auditados

Líderes de los Procesos


la Guía de Orientación de

Pág. 17 de 20




VERSIÓN 1


Mejoramiento radicados en el Sistema Integrado de Planeación y Gestión ITS o el que se encuentre vigente en la Entidad.

de las acciones correctivas planteadas por los líderes de los procesos auditados, ante las no conformidades incorporadas en el informe final de la auditoría, siendo responsabilidad de aquéllos, el análisis de las causas, la redacción de las respectivas acciones correctivas, su ejecución, y reporte de evidencias al Sistema Integrado de Planeación y Gestión ITS o el que se encuentre vigente en la Entidad, de conformidad con lo establecido en la Guía de Orientación de Labores de la Oficina de Control Interno, código IGGU01.

En caso, que alguno de los líderes de los procesos auditados no formule plan de mejoramiento para superar las no conformidades detectadas en el proceso de auditoría interna al Sistema Integrado de Gestión (SIG), se entiende que el procedimiento de responsabilidad de la Oficina de Control Interno, ha terminado con el informe final de auditoría.

Auditados

Auditores líderes


Líder de la Auditoría.

Labores de la Oficina de Control Interno, código IGGU01.

PUNTOS DE CONTROL

ID NOMBRE DE LA ACTIVIDAD/ TAREA MÉTODO DE CONTROL FRECUENCI

A RESPONSABLE REGISTRO

4

Elaboración y trámite de la comunicación al responsable del proceso y/o dependencia en donde se va a realizar la auditoría, informando el Plan de Auditoría.

Revisión y validación de la comunicación informativa Jefe de la Oficina de Control Interno

Memorando Informativo, código ASFL01.

7 Presentar Informe Preliminar de Auditoría

Revisión y validación del Informe Preliminar Jefe de la Oficina de Control Interno

Informe Preliminar de Auditoría

Pág. 18 de 20




VERSIÓN 1


Interna, Código COFL02

9 Realizar mesa de trabajo con auditores líderes.

Una vez recibido el pronunciamiento del líder del proceso respecto del informe preliminar, la Oficina de Control interno realizará mesa de trabajo para poner en discusión las objeciones del auditado.



10 Presentar el Informe Final. Revisión y validación del Informe Final y del Memorando remisorio


Memorando remisorio Informe Final, código ASFL01.

11 Evaluar a los auditores internos

Después de presentar el informe final de auditoría, el Jefe de la Oficina de Control Interno, solicitará a los líderes de los procesos auditados, que evalúen a los auditores líderes, en el Formato Evaluación de competencia y desempeño de los auditores internos, código IGFT03; así mismo los Auditores Lideres evaluarán a su equipo auditor.

Procesos auditados

Auditores Líderes

Memorando remisorio, código ASFL01.

Evaluación de competencia y desempeño de los auditores internos diligenciado IGFT03

ANÁLISIS DE TIEMPO

El tiempo promedio de la auditoría interna al Sistema Integrado de Gestión (SIG), será hasta 45 días hábiles.

DOCUMENTOS DE REFERENCIA

Pág. 19 de 20




VERSIÓN 1


Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014. NTC-ISO 9001:2015, Sistema de Gestión de la Calidad. Requisitos NTC-ISO 14001:2015, Sistema de Gestión Ambiental. Requisitos NTC-OHSAS 18001:2007, Sistema de Gestión en Seguridad y Salud Ocupacional. Requisitos NTC-ISO 19011 – 2012 Directrices para la Auditoria de los Sistemas de Gestión NTC-ISO 26000:2010, Directrices Responsabilidad Social NTC-ISO 27001:2013, Tecnología de La Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. The Institute of Internal Auditors Florida 32701-4201 USA www.theiia.org Consejos para la práctica IIA Global Instituto de Auditores IIA-Colombia wwwtheriia.org/chapter/Colombia Código de Ética The Institute of Internal Auditors Cartillas de Administración Pública Guía Rol de las oficinas de Control interno, Auditoría interna o quien haga sus veces, 2009. Manual de Acuerdos de Niveles de Servicios, código PMMN01 Portafolio de Servicios Superintendencia Nacional de Salud, código PMMN02

CONTROL DE CAMBIOS

ASPECTOS QUE CAMBIARON EL DOCUMENTO

DETALLES DE LOS CAMBIOS EFECTUADOS

RESPONSABLE DE LA SOLICITUD DEL CAMBIO

FECHA DEL CAMBIODD/MM/AAAA VERSIÓN

Adopción del documento

Mediante NURC 3-2017-019936, se solicita la creación del procedimiento Planeación Y Ejecución De Auditorías Internas Al Sistema Integrado De Gestión (SIG). Y se da respuesta de aprobación con NURC 3-2017-019947

Jefe de la Oficina de Control Interno 13/12/2017 1

Pág. 20 de 20

Planeación y ejecución de auditorías internas al sistema ... · Web viewEsta norma de la serie...

Documents

Transcript of Planeación y ejecución de auditorías internas al sistema ... · Web viewEsta norma de la serie...