Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ORGANIZACIN CARVAJAL
Abril de 2015
TABLA DE CONTENIDO
PARTE I ............................................................................................................................................................................................. 4
DISPOSICIONES GENERALES .................................................................................................................................................... 4
1. Objetivo del Manual............................................................................................................................................................ 5
2. Alcance del Manual ............................................................................................................................................................ 5
3. Glosario ................................................................................................................................................................................. 5
4. Marco Conceptual ............................................................................................................................................................... 7
1.1 ESQUEMA DE PRINCIPIOS Y POLTICAS ................................................................................................................................ 7
1.2 MARCOS DE REFERENCIA ................................................................................................................................................... 7
5. Acuerdo de Niveles de Servicio .................................................................................................................................... 13
PARTE II .......................................................................................................................................................................................... 15
FUNCIN DE AUDITORA INTERNA ........................................................................................................................................ 15
1. Funcin de Auditora Interna ......................................................................................................................................... 16
1.3 MISIN ............................................................................................................................................................................... 16
1.4 VISIN ................................................................................................................................................................................ 16
1.5 FOCO ESTRATGICO ......................................................................................................................................................... 16
1.6 NATURALEZA E INDEPENDENCIA ....................................................................................................................................... 17
1.7 OBJETIVOS ......................................................................................................................................................................... 18
1.8 ESTRATEGIA....................................................................................................................................................................... 18
1.9 AUTORIDAD ........................................................................................................................................................................ 19
1.10 ALCANCE ........................................................................................................................................................................ 20
1.11 RESPONSABILIDAD......................................................................................................................................................... 21
2. Infraestructura de la Funcin de Auditora Interna .................................................................................................. 22
1.12 ESTRUCTURA ORGANIZACIONAL DE LA FUNCIN.......................................................................................................... 22
1.13 TECNOLOGA HABILITANTE ............................................................................................................................................ 22
1.14 MEDICIN DE LA FUNCIN DE AUDITORA INTERNA ...................................................................................................... 22
PARTE III ......................................................................................................................................................................................... 23
METODOLOGA DE AUDITORA INTERNA............................................................................................................................. 23
1. Metodologa de Auditora Interna ................................................................................................................................. 28
1.1 PLANEACIN GENERAL DE AUDITORA ............................................................................................................................... 28
1.15 PLANEACIN PROCESO AUDITOR .................................................................................................................................. 31
1.16 EJECUCIN PROCESO AUDITOR .................................................................................................................................... 32
1.17 COMUNICACIN DE LOS RESULTADOS .......................................................................................................................... 36
1.18 SEGUIMIENTO A PLANES DE ACCIN ............................................................................................................................ 38
1.19 AUDITORA DE TI............................................................................................................................................................ 40
2. Actividades Recurrentes de Auditora ........................................................................................................................ 41
3. Auditoras o Proyectos Especiales .............................................................................................................................. 42
PARTE IV ......................................................................................................................................................................................... 43
Pgina 2 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
REFERENCIA TCNICA............................................................................................................................................................... 43
1. Archivo y custodia de papeles de trabajo e informes ............................................................................................. 44
2. Copias de respaldo de Papeles de Trabajo................................................................................................................ 44
3. Aseguramiento de calidad de la funcin de auditora............................................................................................. 44
1.20 INDICADORES DE GESTIN ............................................................................................................................................ 46
1.21 RETROALIMENTACIN CONJUNTA.................................................................................................................................. 46
1.22 PROTOCOLOS DE EJECUCIN DE AUDITORAS. ............................................................................................................. 47
Pgina 3 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE I
DISPOSICIONES GENERALES
Pgina 4 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
3. Glosario
Auditora Interna: Es una actividad independiente y objetiva de aseguramiento y consulta, diseada
para agregar valor y mejorar las operaciones de la organizacin. La actividad de auditora interna
ayuda a la organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado
para evaluar y mejorar la eficacia de los procesos de gestin, control y gobierno. 1
Comit de Auditora: Es un rgano de soporte y supervisin, que apoya las funciones realizadas
por la Junta Directiva en materia de control interno.
Riesgo: Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los
objetivos. El riesgo se mide en trminos de impacto y probabilidad.
Conflicto de inters: existe conflicto de inters cuando: a) Existen intereses contrapuestos entre
un Administrador, asesor o cualquier empleado de la Sociedad y los intereses de la Organizacin
Carvajal, que pueden llevar aquel a adoptar decisiones o a ejecutar actos que van en beneficio
propio o de terceros y en detrimento de los intereses de la Sociedad o b) cuando exista la
circunstancia que pueda restarle independencia, equidad u objetividad a la actuacin de un
Administrador , asesor o de cualquier empleado de la Organizacin Carvajal y ello pueda ir en
detrimento de los Intereses de la Sociedad.
1
Definicin del Instituto de Auditores Internos IIA
Pgina 5 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Los trabajadores deben evitar que relaciones personales externas o consideraciones especiales,
interfieran con el desarrollo de su trabajo.
Control: Cualquier medida que tome la Junta Directiva, Presidencia, Gerencia y otras partes para
gestionar los riesgos y aumentar la probabilidad para alcanzar los objetivos y metas establecidos.
La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar
una seguridad razonable de que se alcanzarn los objetivos y metas. 2
Gestin de riesgos: es el proceso llevado acabo por una organizacin para identificar, evaluar,
manejar y controlar acontecimientos o situaciones potenciales que puedan afectar el logro de los
objetivos de institucionales.
Monitoreo: Proceso que asegura la continua operatividad del control interno, implica la asignacin
oportuna y adecuada para el diseo y operacin de los controles.
Oportunidad de mejora: Resultado de las evaluaciones llevadas a cabo, frente a los criterios de
auditora utilizados.
Planes de accin: Son actividades que priorizan iniciativas para el cumplimiento de los objetivos y
metas de la organizacin y definen los actores encargados de su ejecucin.
Plan general de auditora: Documento que consiste en una lista de los procedimientos a seguir
durante el trabajo, diseado para cumplir con el plan de auditora.
Muestra: Conjunto de elementos que se desea evaluar o verificar de acuerdo con algunas
caractersticas de inters, los resultados de una investigacin muestral estarn siempre sujetos a
cierto grado de incertidumbre, puesto que slo parte de la poblacin habr sido medida, y porque
existirn errores de medicin.
2
Definicin del Instituto de Auditores Internos IIA
Pgina 6 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
4. Marco Conceptual
Este captulo describe los elementos del marco conceptual para el desarrollo de la Auditora Interna en
la Organizacin Carvajal.
La Organizacin Carvajal cuenta con un Sistema Integrado de Gestin que involucra los siguientes
marcos conceptuales de control, desarrollados bajo el enfoque de las prcticas lderes.
COSO: Este marco de referencia corresponde al reporte emitido por el Comit de Organizaciones
Patrocinadoras, el cul fue una iniciativa del sector en la dcada de los aos ochenta (80) para abordar
el problema del reporte fraudulento en los estados contables. El proyecto inicial fue el informe de la
Comisin Treadway emitido en 1987 y conocido como Control Interno Marco de Trabajo Integrado
y el cual ha sufrido dos actualizaciones, la primera en 2002 conocido como COSO- ERM y la versin
actual conocida como COSO-2013.
El modelo plantea que el Sistema de Control Interno (SCI) consiste en cinco componentes
interrelacionados, los cuales son inherentes a la forma en la que la gerencia maneja la empresa. Los
componentes sirven como criterio para determinar si el sistema es eficiente. A continuacin se explican
cada uno de los componentes:
Pgina 7 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Pgina 8 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1. Ambiente de Control
Est dado por los elementos de la cultura organizacional que fomentan en todos los integrantes de
la entidad principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los
dems elementos del Sistema de Control Interno, dado que la eficacia del mismo depende de que
las entidades cuenten con personal competente e inculquen en toda la organizacin un sentido de
integridad y concientizacin sobre el control
Componente Principios
2. Evaluacin de riesgos
Pgina 9 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Componente Principios
3. Actividades de control
Se refiere a las polticas y los procedimientos que deben seguirse para lograr que las instrucciones
de la administracin con relacin a sus riesgos y controles se cumplan. Las actividades de control
se distribuyen a lo largo y a lo ancho de la organizacin, en todos los niveles y funciones.
Componente Principios
4. Informacin y comunicacin
Los sistemas de informacin y comunicacin son necesarios en todos los niveles de la entidad para
identificar, evaluar y dar una respuesta al riesgo. La Organizacin Carvajal debe identificar, capturar
y comunicar la informacin pertinente en tiempo y forma que permita a los miembros de la entidad
cumplir con sus responsabilidades. As mismo, la informacin relevante puede ser obtenida de
fuentes internas y externas, y debe ser comunicada y fluir por la entidad en todos los sentidos
(ascendente, descendente, paralelo).
De igual forma, debe existir una comunicacin adecuada con partes externas a la entidad como son:
la ciudadana, los proveedores y entes de control.
Componente Principios
Pgina 10 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
5. Monitoreo
Es el proceso que se lleva a cabo para verificar la calidad de desempeo del control interno a travs
del tiempo. Se realiza por medio de la supervisin continua que realizan los jefes o lderes de cada
rea o proceso como parte habitual de su responsabilidad frente al control interno (vicepresidentes,
gerentes, directores, etc. dentro del mbito de la competencia de cada uno de ellos), as como de
las evaluaciones peridicas puntuales que realicen la auditora interna u rgano equivalente, el
presidente o mximo responsable de la organizacin y otras revisiones dirigidas.
Componente Principios
B. Marco de Control COBIT (Control Objetives for Information and Related Technology):
Los objetivos de control resultantes de este marco han sido desarrollados para su aplicacin en los recursos
de TI en toda la Entidad, manteniendo independencia respecto a las diferentes plataformas de TI existentes
en el mercado.
El objetivo principal de COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el
control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las organizaciones
comerciales, gubernamentales y profesionales en todo el mundo.
Arquitectura Empresarial.
Gestin de activos y servicios.
Modelos emergentes de organizacin y externalizacin/internalizacin.
Innovacin y tecnologas emergentes.
Los beneficios de este marco de control se pueden resumir en tres grandes aspectos:
Ayuda a la Administracin de una entidad a lograr un balance entre los riesgos y las inversiones
realizadas en tecnologa de informacin.
Permite a los usuarios de los servicios de tecnologa de informacin obtener una garanta en cuanto
a la seguridad y controles de estos servicios, proporcionados internamente o por terceras partes.
Ayuda a los Auditores de Sistemas de Informacin a dar soporte a las opiniones mostradas a la
Administracin sobre los controles internos.
A continuacin se presentan algunas de las caractersticas de este marco de control:
Pgina 11 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
COBIT est basado en cinco principios y 7 catalizadores/ habilitadores conforme con las reas
responsables de: evaluar, planear, construir, entregar y supervisar los recursos de TI.
La negociacin.
Decidir entre los diferentes intereses de valor de las partes interesadas.
Considerar todas las partes interesadas en la toma de decisiones relativas a la evaluacin
de riesgos, recursos y la obtencin de beneficios.
Pgina 12 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
COBIT permite alinearse con los marcos de referencia y normas relevantes ms recientes y
proporciona una arquitectura simple para estructurar materiales de orientacin y elaborar un conjunto
de productos coherentes.
El Gobierno asegura que las necesidades, condiciones y opciones de las partes interesadas:
Sean evaluadas para determinar un equilibrio, en acuerdo con los objetivos que desee
lograr la empresa.
Ajusten la direccin a travs de la priorizacin y toma de decisiones.
Supervisen el rendimiento, cumplimiento y progreso frente a la direccin y los objetivos
acordados.
La Gerencia planifica, desarrolla, ejecuta y supervisa las actividades alineadas con la direccin
establecida por el rgano de gobierno, para alcanzar los objetivos de la empresa.
Pgina 13 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Los acuerdos de servicio hacen referencia a aquellas condiciones en las que la Direccin de la
Organizacin Carvajal a travs de los responsables de las diferentes compaas, reas y/o procesos,
se comprometen a cumplir con el propsito de lograr el mayor desempeo de los procesos de auditora
interna que se adelantan al interior de cada una de las compaas del Grupo.
Pgina 14 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE II
FUNCIN DE AUDITORA INTERNA
Pgina 15 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Aseguramiento confiable
Cubriendo el espectro de gobierno, gestin de riesgos y control interno
Capaz de ofrecer una evaluacin confiable de la Gestin de Riesgos y Controles de la entidad
(EGRC) en tiempo real
Altamente efectiva
Rpida respuesta
Rapidez y flexible
Fcil escalabilidad y mejora
Costo Efectiva
Orientacin al mejoramiento
Facilitador de la gestin del riesgo y control a travs de la empresa
Rpido diagnstico de problemas
Intercambio de buenas prcticas
1.3 Misin
Auditora Interna proporciona servicios de aseguramiento y asesora independientes y objetivos,
concebidos para agregar valor y mejorar las operaciones de la Organizacin Carvajal con base en un
equipo humano de alto desempeo, cumpliendo parmetros de calidad y adoptando los estndares y
Normas Internacionales de Auditora.
Ayuda a cumplir los objetivos empresariales aportando un enfoque sistemtico y disciplinado para
evaluar y mejorar la eficiencia de los procesos de Gobierno, Gestin de Riesgos y Control; con el fin
de aumentar la confianza en nuestros accionistas, clientes, entes de control, comunidad y dems
Grupos de Inters.
1.4 Visin
Ser una funcin de Auditora Interna que aplique los estndares Internacionales de Auditora, que
contribuya al logro de los objetivos estratgicos de la Organizacin Carvajal, al mejoramiento continuo
de los procesos y al mantenimiento efectivo del Sistema de Control Interno.
Pgina 16 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
B. Asesora y Aseguramiento
La Funcin de Auditora Interna est diseada para evaluar, de forma independiente, el control interno
de la entidad como base para prestar un servicio constructivo y de proteccin a la administracin,
visualizndose as como un proceso de apoyo a la Alta Direccin, cuyo carcter idneo, independiente
y objetivo le proporciona a la entidad una informacin razonable de que se est llevando un adecuado
control interno, midiendo y valorizando la eficacia y eficiencia de todos los controles establecidos por
la administracin, en aras del cumplimiento de los objetivos de negocio.
Este carcter objetivo e independiente se logra si los funcionarios que participan en la Funcin de
Auditora Interna se abstienen de participar en decisiones, actividades, operaciones y otras labores
que corresponden a la Administracin.
La Funcin de Auditora Interna tiene una visin facilitadora y pone a disposicin de la entidad el
conocimiento, especializacin y experiencia del equipo, para apoyar proyectos que complementen los
procedimientos y sistemas de las diferentes reas. Sin embargo, es importante tener en cuenta que
el personal de auditora interna que preste este tipo de servicios, no podr realizar funciones de
aseguramiento (evaluacin) sobre los procesos involucrados en esta consultora. As mismo, estas
labores deben ser detalladas con especificidad y ser puestas a consideracin del Director Corporativo
de Control Interno y el Comit de Auditora de la compaa correspondiente.
Pgina 17 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.7 Objetivos
1.8 Estrategia
La estrategia de la Funcin de Auditora Interna indica cmo el rea desarrolla el alcance planteado.
La estrategia de esta funcin est basada en el entendimiento de los procesos de la entidad, la
relacin con los riesgos del negocio, los controles establecidos para su mitigacin y a partir de estos
riesgos determinar y priorizar los procesos asociados, para as concentrarse en los procesos de
mayor impacto para la entidad.
1. Maximizar la cobertura de la Auditora en los procesos impactados por los riesgos a los que
est expuesta la entidad.
Pgina 18 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.9 Autoridad
La Funcin de Auditora Interna es parte integral del Gobierno Corporativo y por la cual puede
conocer, evaluar e identificar oportunidades de mejora en cada uno de los procesos y reas de las
compaas. Los funcionarios y/o directivos de las compaas deben brindar la informacin y las
explicaciones necesarias para la ejecucin de la Funcin de Auditora Interna, teniendo en cuenta
que apunta a promover controles efectivos a un costo razonable. Para lograr esto, est autorizada en
el curso de sus actividades para:
Tener acceso irrestricto a todos los niveles, recurso humano, sistemas, instalaciones, registros
e informacin financiera de la Organizacin Carvajal.
Acceder a la informacin, propiedades, registros, funciones y personal que requiera para el
cumplimiento de sus responsabilidades, dando un uso apropiado, confidencial y prudente de
esta informacin.
Auditar o evaluar cualquier Unidad de negocio, operacin, funcin o actividad de la
Organizacin Carvajal.
Tener acceso y comunicacin libre y directa con la Presidencia/ Gerencia General y el Comit
de Auditora de Junta Directiva.
Auditora interna podr solicitar la participacin en calidad de observador, con la debida
antelacin a reuniones de la Direccin cuando sea necesario para el adecuado desempeo del
proceso de Auditora Interna.
Asignar recursos dentro del presupuesto aprobado, establecer frecuencias de revisin,
determinar las reas a revisar, establecer, modificar y ampliar los alcances de sus reuniones y
aplicar las tcnicas necesarias para cumplir con sus objetivos.
Solicitar y obtener la colaboracin necesaria del personal de las reas donde se desarrollarn
las actividades de asesora y aseguramiento, las cuales deben asignar una persona contacto
durante la ejecucin de los trabajos.
Recibir copias de cualquier informe expedido por los auditores o consultores externos y efectuar
seguimiento al cumplimiento de los planes.
Definir lineamientos y procedimientos de aseguramiento y asesora.
Recomendar las mejores prcticas o herramientas para gestionar y apoyar los procesos de
Auditora Interna.
Disear, proponer e incentivar los planes de desarrollo de su personal de acuerdo con las
competencias requeridas por las prcticas internacionales, fortaleciendo la gestin del
conocimiento al interior del rea, las prcticas de autoformacin, rotacin y entrenamiento.
Pgina 19 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.10 Alcance
El alcance del trabajo de la funcin de Auditora Interna consiste en determinar si los procesos de
Administracin de Riesgos, Controles y Gobierno Corporativo representados por la administracin, han
sido adecuadamente diseados y funcionan correctamente. Estos procesos deben controlar que:
Pgina 20 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.11 Responsabilidad
Preparar un plan anual de auditora basado en la metodologa, con un enfoque de procesos y
riesgos teniendo en cuenta las necesidades puntuales de la Alta Direccin y del Comit de
Auditora. Este plan provee informacin sobre la evaluacin y validacin de riesgos y el orden
actual de prioridad de los proyectos de auditora y cmo estos deben ser desarrollados.
Participar en Comits.
Considerar el alcance del trabajo de los auditores externos y las normas, para proporcionar
ptima cubertura de la auditora a un costo razonable.
Reportar peridicamente los avances y resultados del plan del Control Interno y la suficiencia
de los recursos del rea.
Pgina 21 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
La Organizacin Carvajal cuenta con herramientas que soportan el desarrollo del proceso de
Auditora Interna asociadas a cada una de las etapas de su metodologa.
Pgina 22 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE III
METODOLOGA DE AUDITORA INTERNA
Pgina 23 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
El plan general de auditora se realiza de acuerdo con la identificacin de los procesos prioritarios de
las compaas de la Organizacin Carvajal.
Se deben definir las prioridades de acuerdo con los resultados de estos anlisis.
El punto de partida es el modelo de negocio el cual se enfrenta a un universo de riesgos los cuales son
identificados, analizados y valorados para as definir medidas de tratamiento por medio de un sistema
de control, autocontrol, autorregulacin y autogestin enmarcado bajo el gobierno corporativo de la
Organizacin Carvajal.
Pgina 28 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
El equipo auditor como parte de sus funciones, identifica las expectativas de la Alta Direccin con
relacin a la auditora y establece las variables para la definicin del plan general de auditora. La
Organizacin Carvajal contempla los siguientes elementos:
Plan estratgico de las compaas: los lineamientos estratgicos son una fuente valiosa para la
planeacin general de la auditora. La auditora interna debe informarse y entender los objetivos que
persiguen las diferentes compaas y las estrategias a seguir en un periodo de tiempo determinado,
conocer la misin, visin y los objetivos estratgicos, para alinear la estrategia de auditora con la
estrategia de la Organizacin Carvajal.
Una vez se desarrolla el mapa de riesgos inherentes y se identifican los controles que mitigan cada
uno de los riesgos, se determina el perfil de riesgo de la entidad (mapa de riesgos residual), lo que
permite priorizar los procesos para ser contrastados frente a los recursos de auditora disponibles y
requeridos y as establecer el Plan General de Auditora y definir las medidas de mitigacin.
Durante la ejecucin del plan de auditora, es necesario definir el alcance de las pruebas de controles
y en los casos en que no sea posible evaluar todos los controles con el objeto de optimizar los recursos,
es necesario definir los criterios con los cuales sern seleccionados los controles a evaluar.
- La seleccin de controles que mitiguen riesgos calificados como Muy Altos y Altos.
- La seleccin de controles que mitiguen ms de un riesgo.
- La seleccin de otros controles, que a criterio del auditor o dueo de proceso deben ser
considerados en el proceso de auditora.
Anlisis de los mapas de procesos: El equipo auditor entiende los elementos claves de la
organizacin como su estructura organizacional y su mapa de procesos, ya que estos son los
susceptibles de evaluacin. Los mapas de procesos permiten identificar los puntos crticos y que sern
tomados en cuenta para la priorizacin de los procesos auditables en el Plan General de Auditora y
tambin sern considerados en la etapa de ejecucin para las pruebas a controles crticos para la
mitigacin de riesgos.
Pgina 29 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Informes suministrados por auditora y entes de control externos: Para la definicin del plan
general de auditora y la priorizacin de procesos se tiene en cuenta los resultados de los informes
emitidos por otros entes de control, as como informes previos emitidos directamente por la Gerencia
de auditora interna. Estos elementos constituyen una referencia histrica cercana y son fundamentales
en la definicin de enfoques y prioridades de trabajo.
El anlisis de las anteriores variables y sus diferentes interrelaciones permiten formular el Plan General
de Auditora el cual incluye:
Finalmente el plan general de auditora debe ser anualmente sometido a la aprobacin del Comit de
Auditora y socializado con la Presidencia/Gerencia General de la compaa y la Direccin de Control
Interno, con el propsito de lograr su adhesin y su colaboracin para el logro de los objetivos
planteados.
Pgina 30 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Actividades
Reunin de planeacin equipo auditor
Realizar entendimiento del proceso
Reunin de planeacin equipo auditor: Tiene como finalidad revisar con el equipo auditor el
objetivo de la auditora, alcance, cronograma y requerimientos iniciales de informacin.
Pgina 31 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Realizar entendimiento del proceso a auditar: Esta actividad busca obtener un conocimiento del
proceso a auditar considerando los objetivos de la actividad a revisar para identificar los riesgos de
mayor criticidad e identificar los controles clave que gestionan los riesgos.
Esta parte debe quedar documentada ya que ser la base para la determinacin de las pruebas de
auditora a ser ejecutadas.
Actividades
Comunicar el inicio de la auditora
Presentacin de apertura
Desarrollo de la auditora
Pgina 32 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Comunicar el inicio de la auditora: Se realiza a travs de una carta de notificacin, con el fin de
comunicar a las reas a auditar la fecha de inicio, duracin aproximada de la auditora, objetivos,
alcance de la revisin, requerimiento de informacin inicial y equipo de trabajo.
Reunin de apertura de auditora: Todas las auditoras deben contar con una reunin de inicio
previamente a la ejecucin de la auditora, en la cual deben participar el dueo del proceso o su
delegado, durante sta reunin auditora interna debe realizar una presentacin de los siguientes
aspectos:
Desarrollo de la Auditora
Pgina 33 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
o Proporcionar a los miembros del equipo, un plan sistemtico del trabajo de cada
componente, rea o rubro a examinarse.
o Responsabilizar a los miembros del equipo por el cumplimiento eficiente del trabajo a
ellos encomendado.
o Efectuar una adecuada distribucin del trabajo entre los componentes del equipo de
auditora y una permanente coordinacin de labores entre los mismos.
o Servir como un registro cronolgico de las actividades de auditora, evitando olvidarse
de aplicar procedimientos necesarios.
o Facilitar la revisin del trabajo al Coordinador y al Gerente del proyecto Auditora de EY
o Constituir el registro del trabajo desarrollado y la evidencia del mismo.
o Sirve como un historial del trabajo efectuado y como una gua para futuros trabajos.
Este programa debe ser aprobado por el Gerente del proyecto Auditora de EY con
anterioridad a su ejecucin y cualquier ajuste tambin debe ser sometido a aprobacin de
esta misma instancia.
Pgina 34 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Esta actividad se refiere a la ejecucin de las pruebas incluidas en los respectivos programas
para evaluar la eficacia operativa de los controles de acuerdo con los resultados de las
pruebas realizadas.
Con la ejecucin del plan de pruebas se busca asegurar que el programa de trabajo definido
sea realizado con el enfoque y la calidad establecida en la fase de planeacin.
Actividades
Solicitar poblaciones e informacin general necesaria para la auditora
Ejecucin y documentacin de pruebas
Analizar resultados
Efectuar reunin de seguimiento "Como vamos
Pgina 35 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
- Diferencias imprevistas
- Ausencia de las diferencias imprevistas
- Errores potenciales
- Fraude o actos ilegales potenciales
- Otras transacciones o acontecimientos inusuales o no recurrentes.
Con el resultado de la aplicacin de las pruebas de auditora y con la evidencia respectiva, el equipo
auditor genera un acta de cierre del proceso auditado para comunicar a los responsables de los
procesos, las oportunidades de mejora y recomendaciones para minimizar el impacto de los riesgos
que afectan el cumplimiento de los objetivos del negocio.
Actividades
Elaborar acta de cierre
Presentar a dueo de proceso, jefe
responsable y FCI
Definir planes de accin
Generacin de Informes
Presentacin de resultados de auditoras
al Grupo primario de Presidencia
Presentacin de resultados al Comit de
Auditora
Pgina 36 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Elaborar acta de cierre: El auditor debe elaborar un acta con las oportunidades y notas de mejora
identificadas durante la ejecucin de la auditora.
Presentar al dueo de proceso, jefe responsable y FCI: La presentacin del acta de cierre al dueo
del proceso, jefe y facilitador de control interno tiene la bondad de permitir a las dos partes tener
aclaraciones frente a las pruebas realizadas, la documentacin suministrada o la faltante y la
interpretacin de los hechos y circunstancias ocurridas. Una vez las oportunidades de mejora son
conciliadas, se procede a la definicin de los planes de accin, responsables y fechas para cada una
de las oportunidades por parte del dueo del proceso.
Definir planes de accin: Los planes de accin son responsabilidad del dueo del proceso y deben
ser formulados durante el cierre de la auditora, el auditor interno podr realizar recomendaciones
manteniendo su independencia, por lo cual en ningn caso debe tomar decisiones frente a su
definicin. Para la definicin de los planes de accin se debe tener cuenta los siguientes pasos para
su anlisis:
Generacin de Informe: Una vez surtidas las reuniones de discusin se generan los informes finales
y las comunicaciones formales a las partes interesadas de acuerdo con los protocolos de
comunicacin definidos. Estos deben incluir, dependiendo de la instancia:
Pgina 37 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
De acuerdo con las oportunidades de mejora observadas en cada evaluacin, los informes de
auditora deben ser:
Decir lo que tiene que decir. Ser exacto (puntual) en cada frase y en el informe completo. Su
Precisos
redaccin debe ser sencilla, clara, ordenada, coherente y en orden de importancia.
La redaccin debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto.
Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir
Concisos lo que se tiene que decir sobre la condicin (situacin detectada); as mismo, se debe incluir
el criterio de auditora, la causa y el efecto, aspectos que muestren claramente el impacto que
tiene la situacin detectada.
Todos los hallazgos deben reflejar una situacin real, manejada con criterios tcnicos,
Objetivos
analticos e imparciales.
Las afirmaciones, conceptos y opiniones deben estar respaldadas con evidencia vlida,
Soportados
suficiente, pertinente y competente.
Deben cumplir los trminos de elaboracin, consolidacin, entrega, comunicacin y
publicidad. Es importante que la elaboracin y entrega del informe sea oportuna, de tal
Oportunos
manera que la administracin pueda implementar los correctivos del caso en procura de su
mejoramiento continuo.
Encuesta de Satisfaccin
Una vez el acta de cierre se encuentre firmada por el dueo del proceso, el auditor es responsable de
solicitar la firma de la encuesta de satisfaccin. Informacin que servir de insumo para alimentar los
indicadores del proyecto.
Presentacin Comit de Auditora: Esta actividad tiene como finalidad presentar los resultados de
las auditoras realizadas.
Pgina 38 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Para el seguimiento a los planes de accin se deben tener en cuenta las siguientes consideraciones:
La definicin de los planes de accin para mitigar las oportunidades o notas de mejora
identificadas en los resultados de auditoras, sern responsabilidad de los colaboradores del
Grupo Carvajal. El alcance no incluye nuestra participacin en el diseo detallado o
implementacin de planes de accin resultantes de la auditora.
Identificar la causa es un aspecto clave para definir las acciones. El plan debe ser suficiente
para resolver el problema, es decir para atacar la causa y mitigar el riesgo asociado.
Los planes de accin pueden requerir del apoyo de varias reas y procesos. Definir los
responsables y alcance de cada una de las reas que intervienen es fundamental para el xito,
as como el seguimiento a su cumplimiento.
Las reas que se involucren en el desarrollo del plan de accin deben cumplir con sus
compromisos para lograr la implementacin de los planes de accin.
El dueo de proceso ser el responsable del desarrollo del plan de accin y reportar el estado
independiente de que existan otras reas o procesos involucrados.
El tiempo de implementacin estimado de los planes de accin supone una participacin activa
y disponibilidad del personal involucrado; por lo anterior, es importante validar y socializar las
fechas definidas para su desarrollo.
Pgina 39 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Cada compaa en cabeza de la Alta Direccin ser responsable de generar los mecanismos
y el ambiente para facilitar el desarrollo de los planes de accin.
Cuando se identifique un plan de accin que implique el desarrollo de un proyecto a largo plazo,
se deben implementar controles compensatorios que mitiguen el riesgo.
Una vez se finalice el proceso auditor, la auditora interna debe realizar el cargue de los planes
de accin en la herramienta definida por Carvajal, a excepcin de los planes de accin que an
se encuentran en proceso de ejecucin como parte de la auditora anterior, para lo cual, los
Facilitadores de Control Interno deben realizar el cargue.
Cualquier cambio o reprogramacin en la fecha de los planes de accin, debe ser informada al
Comit de Auditora para su aprobacin.
El Facilitador de Control Interno debe generar reportes mensuales, en los cuales identifica los
planes de accin cerrados y vencidos informando a auditora interna y dueos de proceso.
Para los planes de accin vencidos, auditora Interna realizar un resumen al Comit de
Auditora, con el propsito de que la Alta Direccin genere las respectivas explicaciones y se
tomen las medidas que permitan su implementacin.
1.19 Auditora de TI
El desarrollo del trabajo de auditora implica la ejecucin de pruebas relacionadas con las tecnologas
de informacin. El marco de referencia COBIT (Control Objetives for Information and Related
Technology) se ha convertido en Modelo de referencia y prctica lder asociada para el desarrollo del
trabajo de auditora de TI, como se describe en el literal B de la parte I de este manual.
Con base en el marco anteriormente mencionado las principales tareas desarrollados por la Auditora
de Sistemas estn relacionadas con:
Identificacin de los sistemas de informacin que soportan los procesos de negocio de las
compaas de la Organizacin Carvajal.
Evaluacin de los controles de TI de los sistemas de informacin que soportan los procesos de
negocio de las compaas de la Organizacin Carvajal.
Pgina 40 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Administracin de cambios:
o Solicitud de cambios
o Prueba de Cambios
Aprobacin de cambios
o Segregacin de funciones
o Monitoreo
Acceso lgico:
o Configuracin de seguridad del sistema
o Establecimiento de contraseas
o Permisos de usuarios privilegiados
o Utilitarios y recursos clave del sistema
o Autorizacin de accesos
o Seguridad fsica
o Segregacin de funciones
o Monitoreo
Operaciones de TI:
o Back Ups
o Procesos programados
o Manejo de incidentes.
Son aquellas actividades que requieren un proceso de monitoreo continuo, por cuanto las mismas tienen
una mayor sensibilidad a la materializacin del riesgo.
Algunas de las actividades recurrentes de Auditora que deben ser consideradas son
Pgina 41 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Tambin obedecen a la atencin de casos de tica y cumplimiento recibidos por los distintos canales
establecidos por la Organizacin Carvajal o solicitados por la Administracin.
Los proyectos o auditoras especiales deben surtir los siguientes pasos para su aprobacin
Solicitud
Es posible que una vez aprobado el Plan General de Auditora, surjan necesidades adicionales que
requieran la participacin del equipo de auditora. Estas necesidades pueden ser manifestadas por el
Comit de Auditora de Junta Directiva, la Alta Direccin o la Direccin Corporativa de Control Interno.
Estas solicitudes se realizan al Gerente del proyecto Auditora de EY a travs de comunicacin formal
(carta o correo electrnico) informando el objetivo y las expectativas.
Evaluacin y Aprobacin
El Gerente del proyecto de Auditora en conjunto con el Director Corporativo de Control Interno debe
analizar los recursos necesarios para atender el requerimiento y tomar decisiones frente al plan de
auditora en curso.
Si la solicitud no puede ser atendida por falta de recursos, se debe presentar dicha solicitud ante el
Comit de Auditora de Junta Directiva, para realizar un anlisis costo/beneficio y tomar las decisiones
necesarias.
El resultado de esta evaluacin (aprobacin o rechazo) debe constar en acta, de acuerdo con lo definido
en los protocolos de comunicacin.
Pgina 42 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE IV
REFERENCIA TCNICA
Pgina 43 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Esta seccin del Manual de Auditora Interna enuncia aspectos que se deben tener en cuenta en el desarrollo
del proceso auditor.
Los papeles de trabajo adelantados por la Funcin de Auditora Interna son propiedad de la
Organizacin Carvajal. Como tal deben ser protegidos y archivados cuidadosamente en la ruta
dispuesta ya que gran parte de la informacin obtenida con carcter confidencial se registra en los
papeles de trabajo, por lo tanto estos son de naturaleza confidencial. Es importante identificar este
tipo de documentos con un comentario que haga alusin a su debido cuidado, por ejemplo, el
contenido de este documento no debe ser reproducido total o parcialmente por ningn medio, ni
distribuido a personas externas a la Organizacin Carvajal sin el consentimiento previo y por escrito
de la Organizacin Carvajal.
Los papeles de trabajo podrn ser revisados por terceros (auditores gubernamentales, entes
regulatorios, auditores externos, dueos de proceso) en las instalaciones de la Organizacin Carvajal,
previa autorizacin del Auditor Interno.
Una vez cerrado cada uno de los proyectos de auditora durante el ao fiscal, se debe proceder a
archivar en la carpeta virtual designada por la Organizacin Carvajal para la Funcin de Auditora
Interna.
El equipo de Auditora Interna debe garantizar la calidad del servicio provisto mediante el correcto
cumplimiento de sus funciones y roles asignados para alcanzar los objetivos definidos. Para ello, la
Direccin Corporativa de Control Interno y el Comit de Auditora se encargarn de garantizar que no
se interponga ninguna restriccin o limitacin injustificada en la funcin de Auditora Interna. A su vez,
se encargarn de garantizar que la funcin de Auditora Interna tenga suficientes recursos de
presupuesto y personal para cumplir con la misma.
Pgina 44 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Esquema de evaluacin
de la auditora
Retroalimentacin
Indicadores de Gestin Conjunta
Gestin de la Apoyo de la
auditora Gerencia
Pgina 45 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Pgina 46 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Pgina 47 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Pgina 48 de 48