PLAN DE AUDITORIAS ANUALES DE LA E.S.E HOSPITAL IVAN RESTREPO GÓMEZ. SISTEMA DE CONTROL INTERNO Febrero de 2015

Transcripción

1 PLAN DE AUDITORIAS ANUALES DE LA E.S.E HOSPITAL IVAN RESTREPO GÓMEZ GABRIEL JAIME BETANCUR DUQUE Gerente MARTHA IRENE ACEVEDO AGUDELO Subdirección de control interno SISTEMA DE CONTROL INTERNO Febrero de 2015 MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 1

2 TABLA DE CONTENIDO INTRODUCCIÓN NORMATIVIDAD: ASPECTOS GENERALES DEL PLAN DE AUDITORÍA INTERNA: DEFINICIÓN: OBJETIVO GENERAL: OBJETIVOS ESPECÍFICOS: Estos objetivos se pueden basar en: ALCANCE: ROL DEL AUDITOR INTERNO: PROCEDIMIENTO DE GESTIÓN DE UN PLAN DE AUDITORÍA INTERNA: Responsabilidades del Plan de Auditoría: Recursos del Plan de Auditoría: Procedimientos del Plan de Auditoría: FORMULACIÓN DEL PLAN ANUAL DE AUDITORÍA Priorización de los Procesos a Incluir en el Plan Anual de Auditoría: Análisis de Riesgos de los Procesos en la Entidad: Evaluación de Otras Fuentes de Información: Ver Anexo: Formato GCI-FR-11 Evaluación Otras fuentes de Información Ponderación de las Variables: Calificación de los procesos. Ver el Anexo GCI-FR-11 Ponderación variables por proceso Extensión de un Plan de Auditoría: Registros del Plan de Auditoría: Los registros de auditoría individuales: Los resultados de la revisión del programa Los registros del personal de auditoría: Seguimiento y Revisión de los Planes de Auditoría: El seguimiento se debería llevar a cabo utilizando indicadores de desempeño: revisión del programa de auditoría : MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 2

3 INTRODUCCIÓN. El Plan de Auditoría Interna del Hospital Iván Restrepo Gómez tiene como objetivo describir en una forma clara y sencilla procedimiento con el cual la Entidad puede realizar bien sea una auditoria al sistema de gestión Integrado o una auditoria de rutina a un área específica de la entidad o a un proceso específico, considerando las Normas de Auditoría Interna recientemente emitidas por la DAFP, el Instituto de Auditores Internos IIA Global, el ICONTEC y las regulaciones sobre Control Interno vigentes en el país, las cuales brindan los elementos necesarios para una evaluación y seguimiento de forma estandarizada.. Es por esto que la Auditoría Interna o quien haga sus veces, en la E.S.E, requiere de un ejercicio profesional independiente que se constituye en un elemento clave para el seguimiento y evaluación de los información acerca del funcionamiento de todo el sistema de Control Interno, permitiendo con ello a la Alta Dirección la toma de decisiones en procura de la mejora y cumplimiento objetivos institucionales La orientación que brinda esta Plan pretende ser flexible y de aplicación a una amplia gama de usuarios potenciales. Como se indica en diferentes puntos del texto, el uso de estas directrices puede variar de acuerdo con el tamaño, naturaleza y complejidad de las organizaciones, al igual que en los objetivos y alcance de las auditorías por realizar. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 3

4 NORMATIVIDAD: Constitución política de 1991, artículos 209 y 269 Ley 87 de Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado Ley 872 de Por la cual se crea el sistema de gestión de la calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios. Ley 489 de 1998 (Cap. IV) Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones. Ley 1474 de Nuevo estatuto anticorrupción. Artículos 8 y 9 Decreto 1599 de 2005 Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano MECI 1000:2005. Decreto 1537 de 2001 Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades Decreto 943 de Por el cual se actualiza el Modelo Estándar de Control Interno - MECI Decreto 4110 de 2004 Por el cual se reglamenta la Ley 872 de 2003 y se adopta la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004. Decreto 4485 de 2009 Por medio la de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2009. Decreto 2482 de 2012 Por el cual se establecen los lineamientos generales para la integración de la planeación y la gestión 2. ASPECTOS GENERALES DEL PLAN DE AUDITORÍA INTERNA: 2.1. DEFINICIÓN: Se define la auditoría interna como una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Por lo anterior, las actividades de auditoría interna son vitales para el mantenimiento y mejora del Sistema de Control Interno en las entidades, ya que permiten evaluar los mecanismos de control establecidos en toda la entidad. La Auditoría Interna es un elemento fundamental del Sistema de Control Interno que se traduce en una función preventiva de asistencia y aseguramiento cuya actividad esencial se constituye en una permanente verificación, revisión, evaluación, comprobación y análisis de todas las operaciones y procedimientos contables, financieros y administrativos, con el objeto de formular las recomendaciones y ajustes o correctivos pertinentes, a nivel directivo o gerencial y en procura de los objetivos y metas preestablecidas 2.2. OBJETIVO GENERAL: Servir de auxiliar en sus obligaciones y responsabilidades a los administradores, proporcionándoles análisis, apreciaciones y recomendaciones concernientes a las actividades revisadas. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 4

5 2.3. OBJETIVOS ESPECÍFICOS: Estos objetivos se pueden basar en: Prioridades de la dirección. Intenciones comerciales. Requisitos del sistema de gestión. Requisitos reglamentarios o contractuales. Necesidad de evaluación de proveedores. Requisitos de los clientes. Necesidades de las partes interesadas. Riesgos potenciales para la organización. 2.4 ALCANCE: Establece el marco o límite de la auditoría y los temas o actividades que son objeto de la misma. Se define en función del objetivo de auditoría, del riesgo de auditoría, de la naturaleza y características del proceso. El alcance establecido debe ser suficiente para satisfacer los objetivos del trabajo. Igualmente se deben incluir las limitaciones al alcance de la auditoría, que son los factores externos al equipo de auditoría que hayan impedido al auditor obtener toda la información y explicaciones que considere necesarias para cumplir con los objetivos del trabajo. 3. ROL DEL AUDITOR INTERNO: Teniendo en cuenta lo expresado inicialmente acerca del proceso de auditoría interna y de su ejercicio profesional como elemento esencial para un óptimo desarrollo de la actividad en sí misma, se puede establecer que la auditoría interna requiere: Independencia; Entrenamiento técnico y capacitación profesional; Cuidado y diligencia profesional; Estudio y evaluación del Sistema de Control Interno; Supervisión adecuada de las actividades por parte del auditor de mayor experiencia; Información competente, suficiente en lo que respecta a la observación, investigación y confirmación Estas actividades requieren profesionales que no solamente conozcan las funciones de control interno, sino que deben disponer de conocimientos en Materia de herramientas de gestión, control estadístico de los procesos, trabajo en equipo, tormenta de ideas, planificación, administración, normativas legales, financieras, contables y de los sistemas de información. Dichos conocimientos no tendrán la profundidad de quienes ejercen tales funciones, pero con un conjunto de información suficiente relacionada con los procesos y temas en mención, serán esenciales frente al proceso auditor, ya que entrega elementos MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 5

6 suficientes de juicio para la priorización y preparación de las auditorías. Lo anterior, bajo los principios de integridad, objetividad, confidencialidad y competencia y las reglas de conducta relacionadas. En este sentido para el Estado Colombiano se ha determinado una serie de roles y responsabilidades para la Oficina de Control Interno o quien haga sus veces, en cumplimiento del Decreto 1537 del 2015 así: ción de riesgos 4. PROCEDIMIENTO DE GESTIÓN DE UN PLAN DE AUDITORÍA INTERNA: Una organización que necesite realizar auditorías debería implementar y gestionar un plan de auditoría efectivo. El propósito de un plan como su nombre lo dice es planear el tipo y número de auditorías, e identificar y suministrar los recursos necesarios para realizarlas. El plan de auditoría puede incluir auditorías con una variedad de objetivos. Dependiendo del tamaño, naturaleza y complejidad de la organización por auditar, el plan de auditoría puede incluir una, algunas o muchas auditorías, y auditorías conjuntas y combinadas. Una organización puede establecer más de un plan de auditoría. La alta dirección de la organización debería conceder la autoridad para dirigir el plan de auditoría. Los responsables de dirigir el proceso de auditoría deberían: Establecer los objetivos y extensión del plan de auditoría. Establecer las responsabilidades, recursos y procedimientos. Asegurar la implementación del plan de auditoría. Hacer seguimiento, revisar y mejorar el plan de auditoría, y Asegurar que se llevan los registros apropiados del plan de auditoría Si observamos los pasos antes expuestos estos dan cumplimiento con el ciclo PHVA, de Planear, Hacer, Verificar y Actuar Para una organización que comienza operar el sistema de gestión de la calidad puede manejar los diferentes tipos de auditorías como son el de calidad, la rutinaria y la ambiental, también se puede decidir que el plan de auditoría incluya auditorías combinadas. En este caso, se debería prestar atención especial a la competencia del equipo auditor. Como parte de su plan de auditorías, dos o más organizaciones auditoras pueden cooperar en la realización de una auditoría conjunta. En este caso, se debería prestar atención especial a la división de responsabilidades, el suministro de recursos adicionales, la competencia adicional necesaria en el equipo de auditoría y los procedimientos apropiados. Se debería llegar a un acuerdo sobre estos procedimientos antes de comenzar la auditoría. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 6

7 4.1. Responsabilidades del Plan de Auditoría: La responsabilidad de dirigir un plan de auditoría se debería asignar a una o más personas que tengan una comprensión general de los principios de auditoría, competencia del auditor y aplicación de técnicas de auditoría. También deberían poseer habilidades gerenciales y conocimiento técnico y del negocio pertinentes a las actividades por auditar. Las personas a quienes se asigne la responsabilidad de dirigir el plan de auditoría, deberían: Definir, implementar, hacer seguimiento, revisar y mejorar el plan de auditoría. Identificar y suministrar los recursos para el plan de auditoría Recursos del Plan de Auditoría: Al identificar los recursos para el plan de auditoría, se deberían considerar: Los recursos financieros necesarios para el desarrollo, implementación, gestión y mejora de las actividades de auditoría. Las técnicas de auditoría. Los procesos para lograr y mantener la competencia de los auditores, y mejorar el desempeño de estos. La disponibilidad de los auditores y expertos técnicos que posean la competencia apropiada para los objetivos del plan de auditoría particular. La duración de las auditorías. El tiempo de desplazamiento, el alojamiento y otras necesidades durante la realización de la auditoría Procedimientos del Plan de Auditoría: Se deberían establecer procedimientos de auditoría, que incluyeran: Planificar y plan las auditorías. Asegurar la competencia de los auditores y de los líderes del equipo auditor. Seleccionar los equipos auditores adecuados. Realizar las auditorías. Realizar las acciones complementarias de la auditoría. Llevar registros del plan de auditoría. Hacer seguimiento del desempeño y mejora del plan de auditoría. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 7

8 5. FORMULACIÓN DEL PLAN ANUAL DE AUDITORÍA. El Plan anual de auditoría es el documento formulado y ejecutado por el equipo de trabajo de la Oficina de Control Interno en la Entidad, cuya finalidad es planificar y establecer los objetivos a cumplir anualmente para evaluar y mejorar la eficacia de los procesos de operación, control y gobierno. Para la formulación del Plan Anual de Auditoría, se deben tener en cuenta los siguientes aspectos: Las actividades que se deben considerar para la elaboración del programa anual de auditoría son: Formulación del programa, elaboración de informes determinados por Ley, capacitación, auditorías internas a los procesos, actividades de asesoría y acompañamiento, asistencia a comités de la Entidad, atención a entes de control, seguimiento a planes de acción, auditorías especiales o eventuales sobre procesos o áreas responsables específicas y ante eventualidades presentadas que obliguen a ello, situaciones imprevistas que afecten el tiempo del programa de auditoría, entre otros Priorización de los Procesos a Incluir en el Plan Anual de Auditoría: Para el ejercicio profesional de la auditoría interna el auditor interno de la entidad debe incluir dentro del plan anual de auditoría aquellos procesos que una vez analizados bajo el enfoque de riesgos son prioritarios y pueden llegar a afectar o impactar la gestión de la Entidad, para esto se recomienda tener en cuenta los siguientes aspectos: seleccionando aquellos que se consideren prioritarios de acuerdo con el impacto, la probabilidad de ocurrencia de los eventos y la zona de riesgo o riesgo residual. como son informes de gestión, resultados de auditorías de vigencias anteriores, informes de la Contraloría General de la República, informe de la contraloría general de Antioquia, estado de los sistemas de gestión y control de la Entidad, presentaciones a la junta directiva de la entidad, solicitudes especiales del Alcalde, decisiones del Comité de Control Interno, análisis del equipo de trabajo, entre otros. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 8

9 Análisis de Riesgos de los Procesos en la Entidad: Cuando se ha implementado este componente en la Entidad, el equipo auditor puede utilizar los resultados de este ejercicio y tomar la información registrada en el mapa de riesgos para determinar la zona de riesgo en la cual se encuentran los procesos. ZONA DE RIESGO CALIFICACION SUGERIDA Baja 1 Moderada 2 Alta 3 Extrema 4 La siguiente tabla registra un ejemplo de calificación asignada a cada uno de los procesos: PROCESO RIESGO RESIDUAL EVALUACIÓN OFICINA CONTROL INTERNO Gestión de Talento Zona riesgo Moderada 2 Humano Planeación estratégica Zona riesgo Extrema 4 Gestión de Contratación Zona de riesgo Alta 3 Pública Gestión Documental Zona de riesgo Alta 3 Soporte Jurídico y legal Zona de riesgo Baja 1 Gestión de Sistemas de Zona riesgo Moderada 2 Información Gestión Comunicación Zona de riesgo Alta 3 Pública Proceso: En este campo se incluye la relación de los procesos de la Entidad. Tomados del Mapa de Procesos actual de la E.S.E. Riesgo Residual: Campo en el cual describe la zona de riesgo donde se encuentra clasificado el proceso en el mapa de riesgos institucional. Mapa de Riesgos por Proceso Evaluación Oficina de Control Interno: Calificación asignada a cada proceso teniendo en cuenta la zona de riesgo donde se ha clasificado. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 9

10 Evaluación de Otras Fuentes de Información: Ver Anexo: Formato GCI-FR-11 Evaluación Otras fuentes de Información Adicionalmente al análisis de los riesgos, se deben tener en cuenta otras fuentes de información, como: otros entes de control. como el Departamento Administrativo de la Función Pública y la Contaduría General de la Nación. Una vez se determinen las fuentes de información, se realizará el análisis correspondiente, asignando el mayor valor cuando el resultado de la información analizada es crítico y se presenta incumplimiento y el menor valor cuando el resultado de análisis evidencia cumplimiento por parte de la Entidad, como se muestra en la siguiente tabla: CRITERIO CALIFICACIÓN SUGERIDA Cumple 1 No cumple 2 A continuación se presenta un ejemplo donde se toman algunas de las fuentes de información sugeridas y se relaciona la calificación obtenida del análisis realizado: Ejemplo: Formato de Evaluación Otras Fuentes de Información MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 10

11 En esta tabla se diligencia la siguiente información correspondiente a: 1) Informes: Informe: Nombre de la fuente de información que se tendrá en cuenta en la evaluación. Descripción del Informe: Breve reseña del contenido del informe. Criterio de Evaluación: Descripción de las dos (2) variables que se tendrán en cuenta en la evaluación, asignado la calificación correspondiente según el criterio de cumplimiento establecido (1: Cumple - 2: No cumple). 2) Procesos: Procesos: Nombre de los procesos a los cuales se les realizó el análisis. Calificación: Campo donde registra la calificación asignada a cada proceso resultante del análisis realizado Ponderación de las Variables: Para definir los procesos a incluir en el plan anual de auditoría, se debe definir el nivel de importancia estratégica de cada proceso, para lo cual se debe tener en cuenta la ponderación de cada variable analizada según los valores relacionados en la siguiente tabla: NO. VARIABLE VARIABLES PONDERACIÓN 1 Análisis de los riesgos del proceso 40% 2 Estado actual de los 25% Sistemas de Gestión y Control 3 Evaluación de otras Informes de seguimiento a 15% fuentes de cumplimiento del plan Información estratégico MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 11

12 4 Informe de auditoría 10% interna al proceso 5 Resultados Informes 10% Contraloría General, Departamental o Municipal TOTAL 100% Calificación de los procesos. Ver el Anexo GCI-FR-11 Ponderación variables por proceso Se deben registrar en la siguiente tabla, tanto los valores de la calificación obtenida en la evaluación como el porcentaje establecido en la ponderación según la fuente de información y multiplicar estos dos factores para obtener el resultado de la calificación de cada proceso. Ejemplo: Formato de Ponderación Variables por Proceso Proceso Variables Calificación Ponderación Resultado Direccionamie Análisis de riesgos del ,8 nto estratégico procesos Evolución Estado ,5 de otras actual de fuentes de los información sistemas de gestión y control Informes de ,3 seguimiento a cumplimient o del plan estratégico Informe de ,2 auditoría interna al proceso Resultados informe contraloría ,2 General, departamen tal Proceso Variable Calificación Ponderación Resultado Análisis de los riesgos de los procesos Evaluación Estado actual de otras de los Sistemas de fuentes de Gestión y , ,5 MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 12

13 información Control Informes de seguimiento a cumplimiento del plan estratégico ,15 Informe auditoría interna proceso de al ,2 Resultados Informes Contraloría General, Departamental o Municipal ,2 Calificación total del proceso 2, Registro de resultados. Finalmente, se registra en una tabla la información resultante de la calificación de los procesos y se priorizan aquellos que se incluirán en el plan anual de auditoría. Ejemplo: Tabla de Registro de los Resultados de la Ponderación PROCESO Resultados de la evaluación Gestión del talento humano 2 Planeación estratégica 2,8 Gestión contratación publica 2,15 Gestión Documental 2,15 Soporte jurídico y legal 2,65 Gestión de sistemas de información 2,15 Gestión comunicación publica 2,8 Una vez aplicada la anterior metodología para la priorización de procesos a auditar, es importante tener en cuenta aquellos que son críticos para la organización, como son la gestión contractual, la gestión financiera y la gestión de tecnología informática, así como aquellos que han sido identificados como más susceptibles al riesgo de corrupción, de modo que como mínimo una vez en el año sean auditados. Con los resultados obtenidos de la evaluación realizada a cada uno de los procesos, se diligencia el plan anual de auditoría, así: Ver el Anexo GCI-FR- 09 Formato Plan Anual de Auditoría Interna MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 13

14 5.2. Extensión de un Plan de Auditoría: La extensión de un programa de auditoría puede variar y estará influenciada por: ón de cada auditoría por realizar. por auditar. auditoría. requisitos reglamentarios y contractuales y otros criterios de auditoría previo. les y sociales. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 14

15 5.3. Registros del Plan de Auditoría: Se deberían mantener registros para demostrar la implementación del programa de auditoría y deberían incluir: Los registros de auditoría individuales, tales como: Los resultados de la revisión del programa Los registros del personal de auditoría, tales como: tor, y Los registros se deberían conservar y controlar con la seguridad apropiada. 5.4 Seguimiento y Revisión de los Planes de Auditoría: Se debería hacer seguimiento a la implementación del programa de auditoría y se debería revisar a intervalos apropiados, para evaluar si sus objetivos se han cumplido y para identificar oportunidades de mejora El seguimiento se debería llevar a cabo utilizando indicadores de desempeño que midan, por ejemplo: itores para implementar el plan de auditoría. auditores Esta revisión del programa de auditoría debería considerar, por ejemplo:. MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 15

16 Los resultados de las revisiones del programa de auditoría pueden conducir a acciones correctivas o preventivas y a la mejora del programa de auditoría. ANEXOS: Formato GCI-FR-09 Plan Anual de Auditoria. Formato GCI-FR-10 Seguimiento al Plan de Mejoramiento Formato GCI-FR-11 Evaluación de Otras fuentes Formato GCI-FR-12 Ponderación de las Variables de los procesos GABRIEL JAIME BETANCUR DUQUE Gerente MANUAL DE AUDITORIA E.S. HOSPITAL IVAN RESTREPO GOMEZ Página 16