Manual auditoría interna Carvajal

MANUAL DE AUDITORA INTERNA
ORGANIZACIN CARVAJAL
Abril de 2015
Elabor Revis Aprob
Claudia Perdomo Andrs Carvajal

Equipo EY Oficial de cumplimiento Director Corporativo de control
interno
Fecha:
GRUPO CARVAJAL
Cdigo formato:
MANUAL DE AUDITORA INTERNA Versin: N1
TABLA DE CONTENIDO
PARTE I ............................................................................................................................................................................................. 4
DISPOSICIONES GENERALES .................................................................................................................................................... 4
1. Objetivo del Manual............................................................................................................................................................ 5
2. Alcance del Manual ............................................................................................................................................................ 5
3. Glosario ................................................................................................................................................................................. 5
4. Marco Conceptual ............................................................................................................................................................... 7
1.1 ESQUEMA DE PRINCIPIOS Y POLTICAS ................................................................................................................................ 7
1.2 MARCOS DE REFERENCIA ................................................................................................................................................... 7
5. Acuerdo de Niveles de Servicio .................................................................................................................................... 13
PARTE II .......................................................................................................................................................................................... 15
FUNCIN DE AUDITORA INTERNA ........................................................................................................................................ 15
1. Funcin de Auditora Interna ......................................................................................................................................... 16
1.3 MISIN ............................................................................................................................................................................... 16
1.4 VISIN ................................................................................................................................................................................ 16
1.5 FOCO ESTRATGICO ......................................................................................................................................................... 16
1.6 NATURALEZA E INDEPENDENCIA ....................................................................................................................................... 17
1.7 OBJETIVOS ......................................................................................................................................................................... 18
1.8 ESTRATEGIA....................................................................................................................................................................... 18
1.9 AUTORIDAD ........................................................................................................................................................................ 19
1.10 ALCANCE ........................................................................................................................................................................ 20
1.11 RESPONSABILIDAD......................................................................................................................................................... 21
2. Infraestructura de la Funcin de Auditora Interna .................................................................................................. 22
1.12 ESTRUCTURA ORGANIZACIONAL DE LA FUNCIN.......................................................................................................... 22
1.13 TECNOLOGA HABILITANTE ............................................................................................................................................ 22
1.14 MEDICIN DE LA FUNCIN DE AUDITORA INTERNA ...................................................................................................... 22
PARTE III ......................................................................................................................................................................................... 23
METODOLOGA DE AUDITORA INTERNA............................................................................................................................. 23
1. Metodologa de Auditora Interna ................................................................................................................................. 28
1.1 PLANEACIN GENERAL DE AUDITORA ............................................................................................................................... 28
1.15 PLANEACIN PROCESO AUDITOR .................................................................................................................................. 31
1.16 EJECUCIN PROCESO AUDITOR .................................................................................................................................... 32
1.17 COMUNICACIN DE LOS RESULTADOS .......................................................................................................................... 36
1.18 SEGUIMIENTO A PLANES DE ACCIN ............................................................................................................................ 38
1.19 AUDITORA DE TI............................................................................................................................................................ 40
2. Actividades Recurrentes de Auditora ........................................................................................................................ 41
3. Auditoras o Proyectos Especiales .............................................................................................................................. 42
PARTE IV ......................................................................................................................................................................................... 43
Pgina 2 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
REFERENCIA TCNICA............................................................................................................................................................... 43
1. Archivo y custodia de papeles de trabajo e informes ............................................................................................. 44
2. Copias de respaldo de Papeles de Trabajo................................................................................................................ 44
3. Aseguramiento de calidad de la funcin de auditora............................................................................................. 44
1.20 INDICADORES DE GESTIN ............................................................................................................................................ 46
1.21 RETROALIMENTACIN CONJUNTA.................................................................................................................................. 46
1.22 PROTOCOLOS DE EJECUCIN DE AUDITORAS. ............................................................................................................. 47
Pgina 3 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE I
DISPOSICIONES GENERALES
Pgina 4 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1. Objetivo del Manual
Proporcionar un marco de referencia para los auditores internos de la Organizacin Carvajal,

considerando las directrices y protocolos para ejercer la labor de auditora con resultados orientados a
fortalecer el control interno del Grupo.
2. Alcance del Manual

El alcance del Manual de Auditora Interna incluye los lineamientos especficos para la funcin y el
desarrollo de Auditora Interna en la Organizacin Carvajal, incluyendo su interaccin con las diferentes
direcciones y funciones de las compaas y entes externos.
3. Glosario
Auditora Interna: Es una actividad independiente y objetiva de aseguramiento y consulta, diseada
para agregar valor y mejorar las operaciones de la organizacin. La actividad de auditora interna
ayuda a la organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado
para evaluar y mejorar la eficacia de los procesos de gestin, control y gobierno. 1
Control interno: Sistema integrado por el esquema de la organizacin y el conjunto de planes,

mtodos, principios, normas, procedimientos y mecanismos de verificacin y evaluacin adoptados
por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, as
como la administracin de la informacin y los recursos, se realicen de acuerdo con las normas
constitucionales y legales vigentes dentro de las polticas trazadas por la direccin y en atencin a
las metas u objetivos previstos. (Ley 87 de 1993, artculo 1)
Comit de Auditora: Es un rgano de soporte y supervisin, que apoya las funciones realizadas
por la Junta Directiva en materia de control interno.
Riesgo: Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los
objetivos. El riesgo se mide en trminos de impacto y probabilidad.
Aseguramiento: Examen objetivo de evidencias con el propsito de proveer una evaluacin

independiente de los procesos de gestin de riesgos, control y gobernanza de una organizacin.
Conflicto de inters: existe conflicto de inters cuando: a) Existen intereses contrapuestos entre
un Administrador, asesor o cualquier empleado de la Sociedad y los intereses de la Organizacin
Carvajal, que pueden llevar aquel a adoptar decisiones o a ejecutar actos que van en beneficio
propio o de terceros y en detrimento de los intereses de la Sociedad o b) cuando exista la
circunstancia que pueda restarle independencia, equidad u objetividad a la actuacin de un
Administrador , asesor o de cualquier empleado de la Organizacin Carvajal y ello pueda ir en
detrimento de los Intereses de la Sociedad.
1
Definicin del Instituto de Auditores Internos IIA
Pgina 5 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Los trabajadores deben evitar que relaciones personales externas o consideraciones especiales,
interfieran con el desarrollo de su trabajo.
Control: Cualquier medida que tome la Junta Directiva, Presidencia, Gerencia y otras partes para
gestionar los riesgos y aumentar la probabilidad para alcanzar los objetivos y metas establecidos.
La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar
una seguridad razonable de que se alcanzarn los objetivos y metas. 2
Cumplimiento: Conformidad y adhesin a las polticas, planes, procedimientos, leyes,

regulaciones, contratos y otros requerimientos.
Gestin de riesgos: es el proceso llevado acabo por una organizacin para identificar, evaluar,
manejar y controlar acontecimientos o situaciones potenciales que puedan afectar el logro de los
objetivos de institucionales.
Monitoreo: Proceso que asegura la continua operatividad del control interno, implica la asignacin
oportuna y adecuada para el diseo y operacin de los controles.
Oportunidad de mejora: Resultado de las evaluaciones llevadas a cabo, frente a los criterios de
auditora utilizados.
Planes de accin: Son actividades que priorizan iniciativas para el cumplimiento de los objetivos y
metas de la organizacin y definen los actores encargados de su ejecucin.
Plan general de auditora: Documento que consiste en una lista de los procedimientos a seguir
durante el trabajo, diseado para cumplir con el plan de auditora.
Gobierno corporativo: La combinacin de procesos y estructuras implantados por el Consejo de

Administracin para informar, dirigir, gestionar y vigilar las actividades de la organizacin con el fin
de lograr sus objetivos.
Muestra: Conjunto de elementos que se desea evaluar o verificar de acuerdo con algunas
caractersticas de inters, los resultados de una investigacin muestral estarn siempre sujetos a
cierto grado de incertidumbre, puesto que slo parte de la poblacin habr sido medida, y porque
existirn errores de medicin.
FCI: Facilitador de Control Interno
2
Definicin del Instituto de Auditores Internos IIA
Pgina 6 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
4. Marco Conceptual
Este captulo describe los elementos del marco conceptual para el desarrollo de la Auditora Interna en
la Organizacin Carvajal.
1.1 Esquema de principios y polticas

Para la Organizacin Carvajal las relaciones con sus trabajadores, sus contratistas, sus clientes y
dems grupos de inters parten de la base de que las actuaciones mutuas deben distinguirse por los
principios ticos y el buen manejo societario. Estas premisas fundamentales de conducta, se
establecen y consolidan conceptualmente en la poltica empresarial, en el Libro de principios y
polticas de la Organizacin Carvajal y Nuestro Actuar tico, los cuales son la carta de navegacin,
la base de toda decisin y accin como accionistas, empleados, contratistas y proveedores.
1.2 Marcos de Referencia

La Organizacin Carvajal ha enfocado su Sistema de Control Interno basado en los marcos
conceptuales de control, COSO, ISO 9001, ISO 14001 y COBIT, desarrollados bajo el enfoque de las
prcticas lderes.
La Organizacin Carvajal cuenta con un Sistema Integrado de Gestin que involucra los siguientes
marcos conceptuales de control, desarrollados bajo el enfoque de las prcticas lderes.
Normas Internacionales de Auditora Interna - The IIA

Modelo COSO (Committee of Sponsoring organizations)
Modelo Control Objetives for Information and Related Technology (COBIT)
COSO: Este marco de referencia corresponde al reporte emitido por el Comit de Organizaciones
Patrocinadoras, el cul fue una iniciativa del sector en la dcada de los aos ochenta (80) para abordar
el problema del reporte fraudulento en los estados contables. El proyecto inicial fue el informe de la
Comisin Treadway emitido en 1987 y conocido como Control Interno Marco de Trabajo Integrado
y el cual ha sufrido dos actualizaciones, la primera en 2002 conocido como COSO- ERM y la versin
actual conocida como COSO-2013.
El modelo plantea que el Sistema de Control Interno (SCI) consiste en cinco componentes
interrelacionados, los cuales son inherentes a la forma en la que la gerencia maneja la empresa. Los
componentes sirven como criterio para determinar si el sistema es eficiente. A continuacin se explican
cada uno de los componentes:
Pgina 7 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Pgina 8 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
A. COSO Descripcin de sus Componentes
Grfico 1: COSO 2013 Componentes
1. Ambiente de Control
Est dado por los elementos de la cultura organizacional que fomentan en todos los integrantes de
la entidad principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los
dems elementos del Sistema de Control Interno, dado que la eficacia del mismo depende de que
las entidades cuenten con personal competente e inculquen en toda la organizacin un sentido de
integridad y concientizacin sobre el control
Componente Principios
Se demuestra compromiso con la integridad y los valores ticos.

La Junta Directiva demuestra su independencia de la Administracin y ejerce
funciones de supervisin.
La Administracin, con supervisin de la Junta, establece la estructura, lneas de
Ambiente de reporte, autoridad y las responsabilidades.
control
La Organizacin demuestra compromiso para atraer, desarrollar, y retener
personas competentes.
La Organizacin establece y refuerza la responsabilidad y rendicin de cuentas.
(accountability)
2. Evaluacin de riesgos
Este componente se orienta a preservar la eficacia, eficiencia y efectividad de la gestin y capacidad

operativa de las compaas, as como salvaguardar los recursos que administren, para lo cual, se
debe contar con un sistema de administracin de riesgos que permita la minimizacin de los costos
y daos causados por stos, con base en el anlisis del contexto estratgico, as como la
determinacin de mtodos para el tratamiento y monitoreo de sus riesgos, con el propsito de
prevenir o evitar la materializacin de eventos que puedan afectar el normal desarrollo de los
procesos y el cumplimiento de los objetivos empresariales.
Pgina 9 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Se especifican los objetivos para facilitar la identificacin de los riesgos.

Evaluacin La Organizacin identifica y evala los riesgos.
de Riesgos La Organizacin gestiona el riesgo de fraude.
Se identifican y evalan cambios importantes que podran impactar el sistema de
control interno.
3. Actividades de control
Se refiere a las polticas y los procedimientos que deben seguirse para lograr que las instrucciones
de la administracin con relacin a sus riesgos y controles se cumplan. Las actividades de control
se distribuyen a lo largo y a lo ancho de la organizacin, en todos los niveles y funciones.
Se seleccionan y desarrollan actividades de control.

Actividades Se seleccionan y desarrolla controles general de TI
de control Se implementan las actividades de control a travs de polticas y
procedimientos
4. Informacin y comunicacin
Los sistemas de informacin y comunicacin son necesarios en todos los niveles de la entidad para
identificar, evaluar y dar una respuesta al riesgo. La Organizacin Carvajal debe identificar, capturar
y comunicar la informacin pertinente en tiempo y forma que permita a los miembros de la entidad
cumplir con sus responsabilidades. As mismo, la informacin relevante puede ser obtenida de
fuentes internas y externas, y debe ser comunicada y fluir por la entidad en todos los sentidos
(ascendente, descendente, paralelo).
De igual forma, debe existir una comunicacin adecuada con partes externas a la entidad como son:
la ciudadana, los proveedores y entes de control.
Se genera informacin relevante para respaldar el funcionamiento de los otros

componentes de Control Interno
Informacin y La Organizacin comparte internamente la informacin, incluyendo los
comunicacin objetivos y responsabilidades para el control interno, necesaria para respaldar
los otros componente de Control interno
La Organizacin comunica externamente aspectos que afecten el
funcionamiento de los otros componentes de Control Interno.
Pgina 10 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
5. Monitoreo
Es el proceso que se lleva a cabo para verificar la calidad de desempeo del control interno a travs
del tiempo. Se realiza por medio de la supervisin continua que realizan los jefes o lderes de cada
rea o proceso como parte habitual de su responsabilidad frente al control interno (vicepresidentes,
gerentes, directores, etc. dentro del mbito de la competencia de cada uno de ellos), as como de
las evaluaciones peridicas puntuales que realicen la auditora interna u rgano equivalente, el
presidente o mximo responsable de la organizacin y otras revisiones dirigidas.
Peridicamente se lleva a cabo evaluaciones independientes para evaluar los

Monitoreo componentes de Control interno
Se evala y comunican las deficiencias
B. Marco de Control COBIT (Control Objetives for Information and Related Technology):
Es un marco de referencia ampliamente aceptado en el mundo para el gobierno y la gestin de la

informacin y la tecnologa para el logro de las metas de TI y las metas de negocio.
Los objetivos de control resultantes de este marco han sido desarrollados para su aplicacin en los recursos
de TI en toda la Entidad, manteniendo independencia respecto a las diferentes plataformas de TI existentes
en el mercado.
El objetivo principal de COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el
control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las organizaciones
comerciales, gubernamentales y profesionales en todo el mundo.
COBIT proporciona una gua en:
Arquitectura Empresarial.
Gestin de activos y servicios.
Modelos emergentes de organizacin y externalizacin/internalizacin.
Innovacin y tecnologas emergentes.
Los beneficios de este marco de control se pueden resumir en tres grandes aspectos:
Ayuda a la Administracin de una entidad a lograr un balance entre los riesgos y las inversiones
realizadas en tecnologa de informacin.
Permite a los usuarios de los servicios de tecnologa de informacin obtener una garanta en cuanto
a la seguridad y controles de estos servicios, proporcionados internamente o por terceras partes.
Ayuda a los Auditores de Sistemas de Informacin a dar soporte a las opiniones mostradas a la
Administracin sobre los controles internos.
A continuacin se presentan algunas de las caractersticas de este marco de control:
Pgina 11 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Est orientado a la entidad.

Est alineado con estndares y regulaciones.
Se basa en una revisin crtica y analtica de las tareas y actividades en TI
Est alineado y complementa otros estndares de control y auditora.
COBIT est basado en cinco principios y 7 catalizadores/ habilitadores conforme con las reas
responsables de: evaluar, planear, construir, entregar y supervisar los recursos de TI.
A continuacin las generalidades de cada uno de los 5 principios del modelo:
Grfico 2: Marco de Referencia COBIT
1. Satisfacer las partes interesadas
Las empresas tienen muchas partes interesadas, la gobernabilidad se trata de:
La negociacin.
Decidir entre los diferentes intereses de valor de las partes interesadas.
Considerar todas las partes interesadas en la toma de decisiones relativas a la evaluacin
de riesgos, recursos y la obtencin de beneficios.
2. Abarcar la empresa de extremo a extremo
Pgina 12 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Este principio hace referencia a la integracin de la gobernabilidad de las TI de la empresa dentro

de la gobernabilidad empresarial cubriendo todas las funciones y procesos necesarios para
administrar la informacin de la empresa y tecnologas relacionadas donde quiera que se procese
la informacin.
3. Aplicar un marco de referencia nico e integrado
COBIT permite alinearse con los marcos de referencia y normas relevantes ms recientes y
proporciona una arquitectura simple para estructurar materiales de orientacin y elaborar un conjunto
de productos coherentes.
4. Hacer posible un enfoque holstico
COBIT define un conjunto de catalizadores para apoyar la implementacin de un sistema integral de

gestin y gobierno de la tecnologa de informacin, dichos catalizadores son:
1. Principios, polticas y Marcos de Referencia

2. Procesos
3. Estructuras Organizacionales
4. Cultura, tica y Comportamiento
5. Informacin
6. Servicios, Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
5. Separar el gobierno de la gestin
El Gobierno asegura que las necesidades, condiciones y opciones de las partes interesadas:
Sean evaluadas para determinar un equilibrio, en acuerdo con los objetivos que desee
lograr la empresa.
Ajusten la direccin a travs de la priorizacin y toma de decisiones.
Supervisen el rendimiento, cumplimiento y progreso frente a la direccin y los objetivos
acordados.
La Gerencia planifica, desarrolla, ejecuta y supervisa las actividades alineadas con la direccin
establecida por el rgano de gobierno, para alcanzar los objetivos de la empresa.
5. Acuerdo de Niveles de Servicio
Pgina 13 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Los acuerdos de servicio hacen referencia a aquellas condiciones en las que la Direccin de la
Organizacin Carvajal a travs de los responsables de las diferentes compaas, reas y/o procesos,
se comprometen a cumplir con el propsito de lograr el mayor desempeo de los procesos de auditora
interna que se adelantan al interior de cada una de las compaas del Grupo.
A continuacin se detallan los acuerdos de niveles de servicio para la ejecucin de la funcin de

Auditora Interna:
Grfico 3: Acuerdos de Niveles de Servicio

Grfico 3: Acuerdos de Niveles de Servicio
General Los protocolos de ejecucin de las auditoras debern ser aplicados de
manera general y uniforme en todas las Compaas.
En caso de presentarse situaciones de atraso en entrega de

informacin, cancelacin de reuniones y/o cancelacin de auditoras
Aprobacin y programadas u otros casos de fuerza mayor, se analizarn los
cambios al plan de impactos en tiempo y costos y se formalizarn los controles de cambio
en el plan de auditora.
auditora El plan anual de auditora y sus cambios sern presentados para
aprobacin del Director Corporativo de Control Interno y luego al
Comit de Auditora.
Los asuntos relacionados con la ejecucin de las auditoras, sern

resueltos en primera instancia con el dueo del proceso y los jefes del
Conducto regular de rea. En segunda instancia con la direccin y/o la gerencia
correspondiente.
asuntos especficos En caso de requerirse se acudir a la Direccin Corporativa de control
interno, y como ltima instancia al Comit de Auditora en conjunto con
las partes involucradas.
El informe ser emitido a las reas y rganos definidos para cada una
de las compaas, luego de las validaciones de las oportunidades de
mejora identificadas y del acuerdo de planes de accin.
En caso de que los dueos de proceso no respondan en los tiempos
establecidos para la validacin o no planteen los planes de accin
Emisin de correspondientes, el informe ser enviado con los hallazgos
informes y identificados a las reas y supervisores pertinentes.
estructura La estructura del informe detallado que ser emitido contiene:
oportunidades de mejora identificadas, recomendaciones y los planes
de accin propuestos por el responsable definido en cada compaa.
La clasificacin de las oportunidades de mejora se har de acuerdo
con los criterios acordados con la organizacin.
Las auditoras especiales se solicitarn a EY a travs del Presidente

del Comit de Auditora o la Alta direccin o el lder del proyecto de la
Solicitudes organizacin informando al Comit de Auditora.
especficas Los protocolos de comunicacin especficos para estas auditoras
sern previamente validadas con el Director Corporativo de Control
Interno y el Presidente del Comit de Auditora
Pgina 14 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE II
FUNCIN DE AUDITORA INTERNA
Pgina 15 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1. Funcin de Auditora Interna

La Auditora Interna como parte integral de los componentes de monitoreo de COSO 2013 y COBIT,
establece los parmetros para el desarrollo de su funcin. La Organizacin Carvajal busca que la funcin
de Auditora Interna tenga las siguientes caractersticas:
Aseguramiento confiable
Cubriendo el espectro de gobierno, gestin de riesgos y control interno
Capaz de ofrecer una evaluacin confiable de la Gestin de Riesgos y Controles de la entidad
(EGRC) en tiempo real
Altamente efectiva
Rpida respuesta
Rapidez y flexible
Fcil escalabilidad y mejora
Costo Efectiva
Orientacin al mejoramiento
Facilitador de la gestin del riesgo y control a travs de la empresa
Rpido diagnstico de problemas
Intercambio de buenas prcticas
1.3 Misin
Auditora Interna proporciona servicios de aseguramiento y asesora independientes y objetivos,
concebidos para agregar valor y mejorar las operaciones de la Organizacin Carvajal con base en un
equipo humano de alto desempeo, cumpliendo parmetros de calidad y adoptando los estndares y
Normas Internacionales de Auditora.
Ayuda a cumplir los objetivos empresariales aportando un enfoque sistemtico y disciplinado para
evaluar y mejorar la eficiencia de los procesos de Gobierno, Gestin de Riesgos y Control; con el fin
de aumentar la confianza en nuestros accionistas, clientes, entes de control, comunidad y dems
Grupos de Inters.
1.4 Visin
Ser una funcin de Auditora Interna que aplique los estndares Internacionales de Auditora, que
contribuya al logro de los objetivos estratgicos de la Organizacin Carvajal, al mejoramiento continuo
de los procesos y al mantenimiento efectivo del Sistema de Control Interno.
1.5 Foco Estratgico

Ser un rea de apoyo que permita ofrecer servicios de asesora y consulta a partir de evaluaciones
independientes donde se identifican riesgos y se prueban controles para la definicin de planes de
accin por parte de la entidad, mediante el uso e incorporacin de prcticas internacionales
reconocidas.
Pgina 16 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Las principales actividades que se desarrollaran en tal sentido son:
A. Fortalecimiento y sostenibilidad de la cultura de autocontrol, autorregulacin y

autogestin
Aplicacin de mejores prcticas

Capacitacin y sensibilizacin continua
Comunicacin y retroalimentacin de los trabajos desarrollados
Monitoreo y actualizacin constante de riesgos de acuerdo con programa de trabajo definido
B. Asesora y Aseguramiento
Atencin de consultas y orientacin, desde la perspectiva de riesgo y control, en procesos de

alto impacto a nivel estratgico y operativo.
Identificacin y seguimiento de las oportunidades de mejora, sobre los riesgos de alto
impacto, en los procesos de la entidad.
Asesora en el anlisis de los planes de accin para cubrir las oportunidades de mejora
1.6 Naturaleza e Independencia
La Funcin de Auditora Interna est diseada para evaluar, de forma independiente, el control interno
de la entidad como base para prestar un servicio constructivo y de proteccin a la administracin,
visualizndose as como un proceso de apoyo a la Alta Direccin, cuyo carcter idneo, independiente
y objetivo le proporciona a la entidad una informacin razonable de que se est llevando un adecuado
control interno, midiendo y valorizando la eficacia y eficiencia de todos los controles establecidos por
la administracin, en aras del cumplimiento de los objetivos de negocio.
Este carcter objetivo e independiente se logra si los funcionarios que participan en la Funcin de
Auditora Interna se abstienen de participar en decisiones, actividades, operaciones y otras labores
que corresponden a la Administracin.
La Funcin de Auditora Interna tiene una visin facilitadora y pone a disposicin de la entidad el
conocimiento, especializacin y experiencia del equipo, para apoyar proyectos que complementen los
procedimientos y sistemas de las diferentes reas. Sin embargo, es importante tener en cuenta que
el personal de auditora interna que preste este tipo de servicios, no podr realizar funciones de
aseguramiento (evaluacin) sobre los procesos involucrados en esta consultora. As mismo, estas
labores deben ser detalladas con especificidad y ser puestas a consideracin del Director Corporativo
de Control Interno y el Comit de Auditora de la compaa correspondiente.
El equipo de Auditora Interna es objetivo e imparcial en el ejercicio de su trabajo. Sigue los

lineamientos definidos para tal fin en el Manual de Auditora Interna. Cualquier posible conflicto de
inters o independencia deber ser comunicado al Director Corporativo de Control Interno y en
segunda instancia al Comit de Auditora, quien lo evaluar y tomar las acciones pertinentes.
Pgina 17 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.7 Objetivos
Los objetivos especficos de la Funcin de Auditora Interna son:
Monitorear y ayudar a fortalecer el Sistema de Control Interno.

Evaluar los procesos, polticas y procedimientos de la entidad enfocndose en sus riesgos y
controles.
Apoyar metodolgicamente en la identificacin y evaluacin de los riesgos potenciales que
afecten la operacin de la entidad.
Asesorar al Grupo Carvajal en el fortalecimiento de la cultura de autocontrol, autorregulacin
y autogestin.
Ejecutar actividades de monitoreo del control interno, como por ejemplo la ejecucin de
auditoras al sistema o la evaluacin de los componentes de manera independiente.
Verificar la implementacin de acciones que permitan prevenir y detectar fraudes.
Revisar la suficiencia de los controles establecidos para procurar el cumplimiento de polticas,
planes, procesos y objetivos del negocio.
Hacer seguimiento a los planes de accin para verificar que se han tomado acciones de
remediacin y de esta forma verificar el grado de exposicin de la entidad a riesgos
identificados.
Propender por la aplicacin metodolgica de las prcticas lderes en materia de auditora
interna.
1.8 Estrategia
La estrategia de la Funcin de Auditora Interna indica cmo el rea desarrolla el alcance planteado.
La estrategia de esta funcin est basada en el entendimiento de los procesos de la entidad, la
relacin con los riesgos del negocio, los controles establecidos para su mitigacin y a partir de estos
riesgos determinar y priorizar los procesos asociados, para as concentrarse en los procesos de
mayor impacto para la entidad.
Sumado a la priorizacin de procesos, la estrategia de la Funcin de Auditora Interna se

complementa con la evaluacin de los componentes descritos en el marco de control COSO y COBIT.
La estrategia de la funcin de auditora Interna corresponde a la alineacin del trabajo de auditora

con la estrategia y los objetivos de la Organizacin Carvajal y los riesgos crticos a fin de lograr una
funcin de auditora ptima, logrando focalizar los esfuerzos en los puntos ms crticos y que mayor
valor agregado generen a la organizacin. En esencia la estrategia de alinear el trabajo de la auditora
con los riesgos y objetivos de la organizacin ayuda a:
1. Maximizar la cobertura de la Auditora en los procesos impactados por los riesgos a los que
est expuesta la entidad.
2. Desarrollar actividades de Auditora determinadas con base en las necesidades de la Alta

Direccin, experiencia previa de la entidad y las disposiciones regulatorias.
Pgina 18 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.9 Autoridad
La Funcin de Auditora Interna es parte integral del Gobierno Corporativo y por la cual puede
conocer, evaluar e identificar oportunidades de mejora en cada uno de los procesos y reas de las
compaas. Los funcionarios y/o directivos de las compaas deben brindar la informacin y las
explicaciones necesarias para la ejecucin de la Funcin de Auditora Interna, teniendo en cuenta
que apunta a promover controles efectivos a un costo razonable. Para lograr esto, est autorizada en
el curso de sus actividades para:
Tener acceso irrestricto a todos los niveles, recurso humano, sistemas, instalaciones, registros
e informacin financiera de la Organizacin Carvajal.
Acceder a la informacin, propiedades, registros, funciones y personal que requiera para el
cumplimiento de sus responsabilidades, dando un uso apropiado, confidencial y prudente de
esta informacin.
Auditar o evaluar cualquier Unidad de negocio, operacin, funcin o actividad de la
Organizacin Carvajal.
Tener acceso y comunicacin libre y directa con la Presidencia/ Gerencia General y el Comit
de Auditora de Junta Directiva.
Auditora interna podr solicitar la participacin en calidad de observador, con la debida
antelacin a reuniones de la Direccin cuando sea necesario para el adecuado desempeo del
proceso de Auditora Interna.
Asignar recursos dentro del presupuesto aprobado, establecer frecuencias de revisin,
determinar las reas a revisar, establecer, modificar y ampliar los alcances de sus reuniones y
aplicar las tcnicas necesarias para cumplir con sus objetivos.
Solicitar y obtener la colaboracin necesaria del personal de las reas donde se desarrollarn
las actividades de asesora y aseguramiento, las cuales deben asignar una persona contacto
durante la ejecucin de los trabajos.
Recibir copias de cualquier informe expedido por los auditores o consultores externos y efectuar
seguimiento al cumplimiento de los planes.
Definir lineamientos y procedimientos de aseguramiento y asesora.
Recomendar las mejores prcticas o herramientas para gestionar y apoyar los procesos de
Auditora Interna.
Disear, proponer e incentivar los planes de desarrollo de su personal de acuerdo con las
competencias requeridas por las prcticas internacionales, fortaleciendo la gestin del
conocimiento al interior del rea, las prcticas de autoformacin, rotacin y entrenamiento.
Los miembros de la Funcin de Auditora Interna, no estn autorizados para:
Desarrollar o adelantar tareas operativas para otras reas de la entidad.

Ejecutar o aprobar transacciones contables externas a la Funcin de Auditora Interna.
Dirigir las actividades de otros miembros de las compaas.
Realizar revisiones de procesos o actividades que han sido ejecutadas previamente.
Auditar un proceso en donde el auditor presente conflicto de independencia que afecte su
objetividad.
Pgina 19 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.10 Alcance
El alcance del trabajo de la funcin de Auditora Interna consiste en determinar si los procesos de
Administracin de Riesgos, Controles y Gobierno Corporativo representados por la administracin, han
sido adecuadamente diseados y funcionan correctamente. Estos procesos deben controlar que:
Los riesgos estn apropiadamente identificados y administrados.

Existe una interaccin adecuada entre los diferentes grupos de gobierno.
Las acciones de los empleados cumplen con las polticas, estndares, procedimientos, leyes
y regulaciones aplicables a la Organizacin Carvajal.
Los programas, planes y objetivos de la Organizacin Carvajal son desarrollados y
alcanzados.
Los aspectos legislativos y regulatorios que impactan a las compaas son reconocidos y
administrados apropiadamente
La calidad y el mejoramiento continuo es fomentado en el proceso de control, autocontrol,
autorregulacin y autogestin de la entidad.
Pgina 20 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.11 Responsabilidad
Preparar un plan anual de auditora basado en la metodologa, con un enfoque de procesos y
riesgos teniendo en cuenta las necesidades puntuales de la Alta Direccin y del Comit de
Auditora. Este plan provee informacin sobre la evaluacin y validacin de riesgos y el orden
actual de prioridad de los proyectos de auditora y cmo estos deben ser desarrollados.
Mantener al equipo de Auditora Interna con los conocimientos, habilidades y competencias

suficientes para alcanzar los objetivos y desarrollar efectivamente su funcin.
Preparar reportes peridicos al Comit de Auditora y la Alta Direccin resumiendo los

resultados de sus evaluaciones, revisiones y actividades.
Incluir en los programas de auditoria pruebas encaminadas a prevenir y detectar el fraude.
Participar en Comits.
Fomentar la cultura de Autocontrol, autorregulacin y autogestin.
Evaluar el Sistema de Control Interno.
Proporcionar una lista de medicin de objetivos y resultados importantes de actividades de

auditora al Comit de Auditora.
Considerar el alcance del trabajo de los auditores externos y las normas, para proporcionar
ptima cubertura de la auditora a un costo razonable.
Informar al Comit de Auditora de las nuevas tendencias y prcticas de auditora.
Proporcionar una evaluacin anual de la gestin de riesgos y los procesos de control de la

compaa.
Reportar asuntos importantes de control, incluyendo oportunidades de mejora y planes de

accin.
Reportar peridicamente los avances y resultados del plan del Control Interno y la suficiencia
de los recursos del rea.
Coordinar y supervisar otras funciones de control y monitoreo.
Pgina 21 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
2. Infraestructura de la Funcin de Auditora Interna

1.12 Estructura Organizacional de la funcin
La Funcin de Auditora Interna de la Organizacin Carvajal responde administrativamente a la

Presidencia, Gerencia General y funcionalmente ante el Comit de Auditora de Junta Directiva.
1.13 Tecnologa Habilitante
La Organizacin Carvajal cuenta con herramientas que soportan el desarrollo del proceso de
Auditora Interna asociadas a cada una de las etapas de su metodologa.
Grfico 4: Tecnologa que soporta el proceso de Auditora
Documentacin Documentacin Planes de Accin

de Polticas de Procesos
Intranet/Carpetas Base de datos

Compartidas
1.14 Medicin de la Funcin de Auditora Interna
A travs de mediciones permanentes de su desempeo y reportes peridicos la Funcin de Auditora

Interna, busca establecer el grado de cumplimiento del plan de auditora definido para la vigencia. Las
mediciones se relacionan con la percepcin que tienen tanto a la Direccin Corporativa de Control
Interno, como el Comit de Auditora frente al desempeo la funcin de Auditora.
La Auditora deber tener una conversacin abierta tanto con la Direccin Corporativa de Control
Interno, como con el Comit de Auditora de Junta Directiva para confirmar si se est cumpliendo con
sus expectativas e identificar posibles puntos de mejora. El anlisis de estos elementos, le permite a
la funcin de auditora tomar medidas de mejoramiento. Estas mediciones debern efectuarse por la
al menos una vez al ao y presentarlas a la Direccin Corporativa de Control Interno y al Comit junto
con las acciones de mejoramiento adoptadas.
Pgina 22 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE III
METODOLOGA DE AUDITORA INTERNA
Pgina 23 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1. Metodologa de Auditora Interna

La metodologa de auditora incluye la planeacin general de auditora y el desarrollo detallado y
ejecucin del plan, el cual se realiza en 4 etapas que son la planeacin, ejecucin, reporte y monitoreo
las cuales se explican ms adelante:
1.1 Planeacin general de auditora
Grfico 5: Metodologa General de Auditora Interna
El plan general de auditora se realiza de acuerdo con la identificacin de los procesos prioritarios de
las compaas de la Organizacin Carvajal.
Se deben definir las prioridades de acuerdo con los resultados de estos anlisis.
El punto de partida es el modelo de negocio el cual se enfrenta a un universo de riesgos los cuales son
identificados, analizados y valorados para as definir medidas de tratamiento por medio de un sistema
de control, autocontrol, autorregulacin y autogestin enmarcado bajo el gobierno corporativo de la
Organizacin Carvajal.
Pgina 28 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
El equipo auditor como parte de sus funciones, identifica las expectativas de la Alta Direccin con
relacin a la auditora y establece las variables para la definicin del plan general de auditora. La
Organizacin Carvajal contempla los siguientes elementos:
Plan estratgico de las compaas: los lineamientos estratgicos son una fuente valiosa para la
planeacin general de la auditora. La auditora interna debe informarse y entender los objetivos que
persiguen las diferentes compaas y las estrategias a seguir en un periodo de tiempo determinado,
conocer la misin, visin y los objetivos estratgicos, para alinear la estrategia de auditora con la
estrategia de la Organizacin Carvajal.
Evaluacin y anlisis de riesgos corporativos: La Organizacin Carvajal identifica los riesgos

corporativos de cada una de las compaas del grupo. Para su evaluacin y anlisis la alta Direccin
y la Direccin de Control Interno debe establecer los criterios cualitativos y cuantitativos, con el fin de
evaluar los riesgos y obtener el mapa de riesgos inherentes.
Una vez se desarrolla el mapa de riesgos inherentes y se identifican los controles que mitigan cada
uno de los riesgos, se determina el perfil de riesgo de la entidad (mapa de riesgos residual), lo que
permite priorizar los procesos para ser contrastados frente a los recursos de auditora disponibles y
requeridos y as establecer el Plan General de Auditora y definir las medidas de mitigacin.
Durante la ejecucin del plan de auditora, es necesario definir el alcance de las pruebas de controles
y en los casos en que no sea posible evaluar todos los controles con el objeto de optimizar los recursos,
es necesario definir los criterios con los cuales sern seleccionados los controles a evaluar.
Los criterios a considerar son:
- La seleccin de controles que mitiguen riesgos calificados como Muy Altos y Altos.
- La seleccin de controles que mitiguen ms de un riesgo.
- La seleccin de otros controles, que a criterio del auditor o dueo de proceso deben ser
considerados en el proceso de auditora.
Requerimientos de grupos de inters: esto se refiere al anlisis e inclusin dentro de la priorizacin

de procesos para la definicin del plan de aquellas expectativas o aspectos relevantes considerados
por la administracin y las partes interesadas. Incluye recibir e incorporar aquellos elementos
esenciales determinados por la alta direccin, la Direccin Corporativa de Control Interno, el Comit
de Auditora, los responsables de los procesos y otras partes interesadas como parte de los proyectos
de auditoras.
Anlisis de los mapas de procesos: El equipo auditor entiende los elementos claves de la
organizacin como su estructura organizacional y su mapa de procesos, ya que estos son los
susceptibles de evaluacin. Los mapas de procesos permiten identificar los puntos crticos y que sern
tomados en cuenta para la priorizacin de los procesos auditables en el Plan General de Auditora y
tambin sern considerados en la etapa de ejecucin para las pruebas a controles crticos para la
mitigacin de riesgos.
Anlisis estados financieros y presupuesto: es el anlisis que se hace sobre el presupuesto

asignado a cada proceso definido por compaa en s mismo para ser incluido en el Plan General de
Pgina 29 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Auditora. Los elementos a considerar incluyen el anlisis de cuentas sensitivas, transacciones

rutinarias y no rutinarias, volmenes de las operaciones, representatividad individual frente al balance
general o estado de resultados.
Informes suministrados por auditora y entes de control externos: Para la definicin del plan
general de auditora y la priorizacin de procesos se tiene en cuenta los resultados de los informes
emitidos por otros entes de control, as como informes previos emitidos directamente por la Gerencia
de auditora interna. Estos elementos constituyen una referencia histrica cercana y son fundamentales
en la definicin de enfoques y prioridades de trabajo.
El anlisis de las anteriores variables y sus diferentes interrelaciones permiten formular el Plan General
de Auditora el cual incluye:
o Auditoras por proceso

o Actividades recurrentes
o Proyectos especiales
o Actividades de seguimiento
o Fechas para su ejecucin
o Programacin de recursos.
Finalmente el plan general de auditora debe ser anualmente sometido a la aprobacin del Comit de
Auditora y socializado con la Presidencia/Gerencia General de la compaa y la Direccin de Control
Interno, con el propsito de lograr su adhesin y su colaboracin para el logro de los objetivos
planteados.
Pgina 30 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Metodologa detallada para el desarrollo del proceso auditor:
Grfico 6: Desarrollo del Proceso Auditor
1.15 Planeacin proceso auditor

Con base en las expectativas desarrolladas y el anlisis de los riesgos del negocio identificados se
efecta el programa de auditora.
Las actividades a desarrollar en esta etapa son:
Actividades
Reunin de planeacin equipo auditor
Realizar entendimiento del proceso
Reunin de planeacin equipo auditor: Tiene como finalidad revisar con el equipo auditor el
objetivo de la auditora, alcance, cronograma y requerimientos iniciales de informacin.
Pgina 31 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Realizar entendimiento del proceso a auditar: Esta actividad busca obtener un conocimiento del
proceso a auditar considerando los objetivos de la actividad a revisar para identificar los riesgos de
mayor criticidad e identificar los controles clave que gestionan los riesgos.
Grfico 7: Entendimiento del proceso
Para esto el equipo auditor realiza un recorrido para confirmar que:
- Tiene un entendimiento correcto del proceso o actividad a auditar

- Confirmar que los procedimientos se estn aplicando como han sido concebidos
- Evaluar el grado de conocimiento de las actividades por parte de los ejecutores
- Confirmar el uso de la tecnologa habilitante
- Evaluar el flujo de las transacciones y operaciones
- Confirmar el entendimiento de los controles
- Confirmar que los controles estn en operacin o no
- Identificar riesgos no cubiertos
- Que el proceso o actividad junto con los controles identificados, estn documentados de
manera correcta y completa.
Esta parte debe quedar documentada ya que ser la base para la determinacin de las pruebas de
auditora a ser ejecutadas.
1.16 Ejecucin proceso auditor

Actividades
Comunicar el inicio de la auditora
Presentacin de apertura
Desarrollo de la auditora
Pgina 32 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Comunicar el inicio de la auditora: Se realiza a travs de una carta de notificacin, con el fin de
comunicar a las reas a auditar la fecha de inicio, duracin aproximada de la auditora, objetivos,
alcance de la revisin, requerimiento de informacin inicial y equipo de trabajo.
Reunin de apertura de auditora: Todas las auditoras deben contar con una reunin de inicio
previamente a la ejecucin de la auditora, en la cual deben participar el dueo del proceso o su
delegado, durante sta reunin auditora interna debe realizar una presentacin de los siguientes
aspectos:
Objetivos y alcance de la auditora

Metodologa
Plan de trabajo
Protocolos de comunicacin a seguir.
Discusin de expectativas y aclaracin de inquietudes
A partir de la reunin, el auditor podr realizar requerimientos de informacin adicionales a los

manifestados en la carta de notificacin y se deben establecer las fechas para las reuniones con
los dueos de los procesos a evaluar.
Desarrollo de la Auditora
Programa de Auditora (plan de trabajo): Es un documento elaborado por los Auditores

Internos encargados de ejecutar la revisin, el programa determina el objetivo y alcance
especfico de la auditora, as como una lista de los procedimientos a seguir durante la
evaluacin de un proceso. Se construye con base en los riesgos y los controles identificados
en el entendimiento del proceso, el propsito y enfoque de la auditora.
Grfico 8: Programa de Auditora
Pgina 33 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Los propsitos del programa de auditora incluyen:
o Proporcionar a los miembros del equipo, un plan sistemtico del trabajo de cada
componente, rea o rubro a examinarse.
o Responsabilizar a los miembros del equipo por el cumplimiento eficiente del trabajo a
ellos encomendado.
o Efectuar una adecuada distribucin del trabajo entre los componentes del equipo de
auditora y una permanente coordinacin de labores entre los mismos.
o Servir como un registro cronolgico de las actividades de auditora, evitando olvidarse
de aplicar procedimientos necesarios.
o Facilitar la revisin del trabajo al Coordinador y al Gerente del proyecto Auditora de EY
o Constituir el registro del trabajo desarrollado y la evidencia del mismo.
o Sirve como un historial del trabajo efectuado y como una gua para futuros trabajos.
Este programa debe ser aprobado por el Gerente del proyecto Auditora de EY con
anterioridad a su ejecucin y cualquier ajuste tambin debe ser sometido a aprobacin de
esta misma instancia.
El contenido que debe considerarse al desarrollar los programas de auditora es:
o Nombre del proceso/rea/actividad a evaluar.

o Determinacin de objetivos de auditora.
o Riesgo asociado.
o Listado de controles a evaluar y para cada uno de ellos se debe detallar:
- Quien lo efecta
- Frecuencia
- Objetivo
o Descripcin de la prueba de auditora (Algunas pruebas pueden disearse para evaluar
ms de un control a la vez).
o Auditor responsable
o Resultado
En la preparacin de los programas de auditora se debe tener en cuenta:
o Las normas de auditora

o Los tipos de prueba
o Las tcnicas de prueba
o Los mtodos de muestreo
o Las experiencias anteriores
o Los levantamientos iniciales
o Las experiencias de terceros
o Los informes de auditora anteriores de entes internos o externos
Flexibilidad y revisin del programa
El programa de auditora debe considerarse como un documento sujeto a cambios, puesto

que ciertos procedimientos planificados al ser aplicados pueden resultar ineficientes e
Pgina 34 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
innecesarios, debido a diferentes circunstancias, por lo que el programa debe permitir

modificaciones, mejoras y ajustes a juicio del auditor.
En el desarrollo de la auditora, las modificaciones que se deben realizar a los procedimientos

del programa sern analizadas y discutidas entre el equipo. La modificacin o eliminacin
de procedimientos puede ser justificada en el caso de:
a. Eliminacin o disminucin de algunas operaciones y actividades.

b. Mejoras en los sistemas financieros, administrativos o en el control interno.
c. Pocos errores e irregularidades.
Pruebas de recorrido: Tcnica que permite validar el entendimiento de los procesos,

confirmar que los controles identificados han sido puestos en operacin y validar el diseo de
los controles.
o La prueba debe abarcar el proceso completo desde el inicio, registro, procesamiento y
reporte de transacciones individuales.
o Permite detectar los controles existentes o controles documentados no ejecutados.
o Provee informacin respecto de controles relevantes que no estn documentados y
posibles riesgos para los cuales no se tengan controles documentados
o Efectuar indagaciones corroborativas a fin de detectar posibles excepciones en la
ejecucin del control.
o Evaluar si la calidad de la evidencia obtenida fue suficiente para determinar la eficacia del
diseo de los controles y si los controles han sido ejecutados.
o Brinda un entendimiento detallado de las actividades del proceso
Ejecucin del Programa de Auditora
Esta actividad se refiere a la ejecucin de las pruebas incluidas en los respectivos programas
para evaluar la eficacia operativa de los controles de acuerdo con los resultados de las
pruebas realizadas.
Con la ejecucin del plan de pruebas se busca asegurar que el programa de trabajo definido
sea realizado con el enfoque y la calidad establecida en la fase de planeacin.
Actividades
Solicitar poblaciones e informacin general necesaria para la auditora
Ejecucin y documentacin de pruebas
Analizar resultados
Efectuar reunin de seguimiento "Como vamos
Pgina 35 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
La documentacin de las pruebas de controles debe contener como mnimo:

Descripcin de la prueba
Criterio de muestreo
Tamao de la muestra
Fuente de la documentacin base
Referencia del control a probar
Resultados/Hallazgos/Conclusiones
Solicitar poblaciones e informacin general necesaria para la auditora: El equipo

auditor identifica la informacin necesaria de cada proceso para la ejecucin de las pruebas
de auditora y efectuar las solicitudes de informacin a travs de e-mail u otro medio
escrito a los responsables del proceso a evaluar, recordando los tiempos definidos en los
acuerdos de servicio para solicitud y suministro de informacin y evidencias.
Ejecucin y documentacin de pruebas: Se deben realizar todas las pruebas definidas

en el programa de auditora, con el fin de obtener evidencia vlida, suficiente y competente
para poder concluir sobre los objetivos planteados.
Los procedimientos se realizan con el objetivo de identificar:
- Diferencias imprevistas
- Ausencia de las diferencias imprevistas
- Errores potenciales
- Fraude o actos ilegales potenciales
- Otras transacciones o acontecimientos inusuales o no recurrentes.
1.17 Comunicacin de los Resultados
Con el resultado de la aplicacin de las pruebas de auditora y con la evidencia respectiva, el equipo
auditor genera un acta de cierre del proceso auditado para comunicar a los responsables de los
procesos, las oportunidades de mejora y recomendaciones para minimizar el impacto de los riesgos
que afectan el cumplimiento de los objetivos del negocio.
Actividades
Elaborar acta de cierre
Presentar a dueo de proceso, jefe
responsable y FCI
Definir planes de accin
Generacin de Informes
Presentacin de resultados de auditoras
al Grupo primario de Presidencia
Presentacin de resultados al Comit de
Auditora
Pgina 36 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Elaborar acta de cierre: El auditor debe elaborar un acta con las oportunidades y notas de mejora
identificadas durante la ejecucin de la auditora.
Presentar al dueo de proceso, jefe responsable y FCI: La presentacin del acta de cierre al dueo
del proceso, jefe y facilitador de control interno tiene la bondad de permitir a las dos partes tener
aclaraciones frente a las pruebas realizadas, la documentacin suministrada o la faltante y la
interpretacin de los hechos y circunstancias ocurridas. Una vez las oportunidades de mejora son
conciliadas, se procede a la definicin de los planes de accin, responsables y fechas para cada una
de las oportunidades por parte del dueo del proceso.
Definir planes de accin: Los planes de accin son responsabilidad del dueo del proceso y deben
ser formulados durante el cierre de la auditora, el auditor interno podr realizar recomendaciones
manteniendo su independencia, por lo cual en ningn caso debe tomar decisiones frente a su
definicin. Para la definicin de los planes de accin se debe tener cuenta los siguientes pasos para
su anlisis:
Grfico 9: Definicin de planes de accin
Generacin de Informe: Una vez surtidas las reuniones de discusin se generan los informes finales
y las comunicaciones formales a las partes interesadas de acuerdo con los protocolos de
comunicacin definidos. Estos deben incluir, dependiendo de la instancia:
- El alcance del trabajo realizado

- Las oportunidades de mejora y riesgos identificados
Pgina 37 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
- Las situaciones irregulares detectadas

- Las recomendaciones desarrolladas
- Los planes de accin propuestos
De acuerdo con las oportunidades de mejora observadas en cada evaluacin, los informes de
auditora deben ser:
Decir lo que tiene que decir. Ser exacto (puntual) en cada frase y en el informe completo. Su
Precisos
redaccin debe ser sencilla, clara, ordenada, coherente y en orden de importancia.
La redaccin debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto.
Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir
Concisos lo que se tiene que decir sobre la condicin (situacin detectada); as mismo, se debe incluir
el criterio de auditora, la causa y el efecto, aspectos que muestren claramente el impacto que
tiene la situacin detectada.
Todos los hallazgos deben reflejar una situacin real, manejada con criterios tcnicos,
Objetivos
analticos e imparciales.
Las afirmaciones, conceptos y opiniones deben estar respaldadas con evidencia vlida,
Soportados
suficiente, pertinente y competente.
Deben cumplir los trminos de elaboracin, consolidacin, entrega, comunicacin y
publicidad. Es importante que la elaboracin y entrega del informe sea oportuna, de tal
Oportunos
manera que la administracin pueda implementar los correctivos del caso en procura de su
mejoramiento continuo.
Encuesta de Satisfaccin
Una vez el acta de cierre se encuentre firmada por el dueo del proceso, el auditor es responsable de
solicitar la firma de la encuesta de satisfaccin. Informacin que servir de insumo para alimentar los
indicadores del proyecto.
Presentacin de resultados de auditoras al Grupo primario de Presidencia: Esta reunin tiene

como objetivo informar los resultados de las auditoras a los niveles superiores de cada una de las
compaas de la Organizacin Carvajal previo a la presentacin de resultados al Comit de Auditora.
Presentacin Comit de Auditora: Esta actividad tiene como finalidad presentar los resultados de
las auditoras realizadas.
1.18 Seguimiento a Planes de Accin
El seguimiento al cumplimiento de los planes de accin hace parte de la contribucin al mejoramiento

del sistema de control interno, por lo cual, debe realizarse peridicamente con el apoyo de los
Facilitadores de Control Interno con el fin de recolectar las evidencias y analizar la viabilidad de cierre
de los mismos.
Pgina 38 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Grfico 10: Pasos para la implementacin de planes de accin
Para el seguimiento a los planes de accin se deben tener en cuenta las siguientes consideraciones:
La definicin de los planes de accin para mitigar las oportunidades o notas de mejora
identificadas en los resultados de auditoras, sern responsabilidad de los colaboradores del
Grupo Carvajal. El alcance no incluye nuestra participacin en el diseo detallado o
implementacin de planes de accin resultantes de la auditora.
Identificar la causa es un aspecto clave para definir las acciones. El plan debe ser suficiente
para resolver el problema, es decir para atacar la causa y mitigar el riesgo asociado.
Los planes de accin pueden requerir del apoyo de varias reas y procesos. Definir los
responsables y alcance de cada una de las reas que intervienen es fundamental para el xito,
as como el seguimiento a su cumplimiento.
Las reas que se involucren en el desarrollo del plan de accin deben cumplir con sus
compromisos para lograr la implementacin de los planes de accin.
El dueo de proceso ser el responsable del desarrollo del plan de accin y reportar el estado
independiente de que existan otras reas o procesos involucrados.
El tiempo de implementacin estimado de los planes de accin supone una participacin activa
y disponibilidad del personal involucrado; por lo anterior, es importante validar y socializar las
fechas definidas para su desarrollo.
Pgina 39 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Cada compaa en cabeza de la Alta Direccin ser responsable de generar los mecanismos
y el ambiente para facilitar el desarrollo de los planes de accin.
Cuando se identifique un plan de accin que implique el desarrollo de un proyecto a largo plazo,
se deben implementar controles compensatorios que mitiguen el riesgo.
La Organizacin Carvajal debe definir una herramienta para la administracin y seguimiento de

los planes de accin.
Una vez se finalice el proceso auditor, la auditora interna debe realizar el cargue de los planes
de accin en la herramienta definida por Carvajal, a excepcin de los planes de accin que an
se encuentran en proceso de ejecucin como parte de la auditora anterior, para lo cual, los
Facilitadores de Control Interno deben realizar el cargue.
Cualquier cambio o reprogramacin en la fecha de los planes de accin, debe ser informada al
Comit de Auditora para su aprobacin.
El Facilitador de Control interno es el nico responsable de generar los cambios de fechas en

la herramienta de seguimiento a planes de accin.
El Facilitador de Control Interno debe generar reportes mensuales, en los cuales identifica los
planes de accin cerrados y vencidos informando a auditora interna y dueos de proceso.
Para los planes de accin vencidos, auditora Interna realizar un resumen al Comit de
Auditora, con el propsito de que la Alta Direccin genere las respectivas explicaciones y se
tomen las medidas que permitan su implementacin.
Semestralmente auditora interna verificar la efectividad de los planes de accin cerrados y

emitir un informe con los resultados.
1.19 Auditora de TI
El desarrollo del trabajo de auditora implica la ejecucin de pruebas relacionadas con las tecnologas
de informacin. El marco de referencia COBIT (Control Objetives for Information and Related
Technology) se ha convertido en Modelo de referencia y prctica lder asociada para el desarrollo del
trabajo de auditora de TI, como se describe en el literal B de la parte I de este manual.
Con base en el marco anteriormente mencionado las principales tareas desarrollados por la Auditora
de Sistemas estn relacionadas con:
Identificacin de los sistemas de informacin que soportan los procesos de negocio de las
compaas de la Organizacin Carvajal.
Evaluacin de los controles de TI de los sistemas de informacin que soportan los procesos de
negocio de las compaas de la Organizacin Carvajal.
Pgina 40 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Evaluacin de controles generales de TI :
Administracin de cambios:
o Solicitud de cambios
o Prueba de Cambios
Aprobacin de cambios
o Segregacin de funciones
o Monitoreo
Acceso lgico:
o Configuracin de seguridad del sistema
o Establecimiento de contraseas
o Permisos de usuarios privilegiados
o Utilitarios y recursos clave del sistema
o Autorizacin de accesos
o Seguridad fsica
o Segregacin de funciones
o Monitoreo
Operaciones de TI:
o Back Ups
o Procesos programados
o Manejo de incidentes.
2. Actividades Recurrentes de Auditora
Son aquellas actividades que requieren un proceso de monitoreo continuo, por cuanto las mismas tienen
una mayor sensibilidad a la materializacin del riesgo.
La Organizacin Carvajal debe determinar las actividades recurrentes de auditora y su frecuencia,

teniendo en cuenta las necesidades de la Alta Direccin, la Direccin Corporativa de Control Interno,
la experiencia previa de la empresa, los riesgos de fraude identificados y las disposiciones regulatorias.
Estas actividades hacen parte integral y deben estar claramente detalladas en el Plan General de
Auditora.
Algunas de las actividades recurrentes de Auditora que deben ser consideradas son
Atencin de requerimiento de las Entidades de vigilancia y control

Monitoreo a planes de accin derivados de las auditoras
Pgina 41 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
3. Auditoras o Proyectos Especiales

Los proyectos o auditoras especiales son actividades adicionales a las establecidas en el Plan Anual
de Auditora aprobado por el Comit de Auditora.
Estas actividades obedecen a inquietudes o necesidades de la Alta Direccin, la Direccin Corporativa

de Control Interno o Comit de Auditora, en donde se solicita a la Gerencia del proyecto de Auditora
su atencin, as como la revisin o seguimiento a procesos (nuevos o existentes), subprocesos,
actividades o controles de la empresa con el objetivo de asegurar el cumplimiento de objetivos, normas,
polticas y procedimientos establecidos.
Tambin obedecen a la atencin de casos de tica y cumplimiento recibidos por los distintos canales
establecidos por la Organizacin Carvajal o solicitados por la Administracin.
Los proyectos o auditoras especiales deben surtir los siguientes pasos para su aprobacin
Solicitud
Es posible que una vez aprobado el Plan General de Auditora, surjan necesidades adicionales que
requieran la participacin del equipo de auditora. Estas necesidades pueden ser manifestadas por el
Comit de Auditora de Junta Directiva, la Alta Direccin o la Direccin Corporativa de Control Interno.
Estas solicitudes se realizan al Gerente del proyecto Auditora de EY a travs de comunicacin formal
(carta o correo electrnico) informando el objetivo y las expectativas.
Evaluacin y Aprobacin
El Gerente del proyecto de Auditora en conjunto con el Director Corporativo de Control Interno debe
analizar los recursos necesarios para atender el requerimiento y tomar decisiones frente al plan de
auditora en curso.
Si la solicitud no puede ser atendida por falta de recursos, se debe presentar dicha solicitud ante el
Comit de Auditora de Junta Directiva, para realizar un anlisis costo/beneficio y tomar las decisiones
necesarias.
El resultado de esta evaluacin (aprobacin o rechazo) debe constar en acta, de acuerdo con lo definido
en los protocolos de comunicacin.
Pgina 42 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
PARTE IV
REFERENCIA TCNICA
Pgina 43 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Esta seccin del Manual de Auditora Interna enuncia aspectos que se deben tener en cuenta en el desarrollo
del proceso auditor.
1. Archivo y custodia de papeles de trabajo e informes
Los papeles de trabajo adelantados por la Funcin de Auditora Interna son propiedad de la
Organizacin Carvajal. Como tal deben ser protegidos y archivados cuidadosamente en la ruta
dispuesta ya que gran parte de la informacin obtenida con carcter confidencial se registra en los
papeles de trabajo, por lo tanto estos son de naturaleza confidencial. Es importante identificar este
tipo de documentos con un comentario que haga alusin a su debido cuidado, por ejemplo, el
contenido de este documento no debe ser reproducido total o parcialmente por ningn medio, ni
distribuido a personas externas a la Organizacin Carvajal sin el consentimiento previo y por escrito
de la Organizacin Carvajal.
Los papeles de trabajo podrn ser revisados por terceros (auditores gubernamentales, entes
regulatorios, auditores externos, dueos de proceso) en las instalaciones de la Organizacin Carvajal,
previa autorizacin del Auditor Interno.
2. Copias de respaldo de Papeles de Trabajo

Cada miembro del equipo de trabajo de la Auditora Interna, es responsable de mantener copias de
respaldo de la informacin electrnica, durante la ejecucin de los programas de auditora asignados
a travs de la herramienta determinada para tal fin, atendiendo los protocolos de confidencialidad y
acceso a dicha informacin.
Una vez cerrado cada uno de los proyectos de auditora durante el ao fiscal, se debe proceder a
archivar en la carpeta virtual designada por la Organizacin Carvajal para la Funcin de Auditora
Interna.
3. Aseguramiento de calidad de la funcin de auditora
El equipo de Auditora Interna debe garantizar la calidad del servicio provisto mediante el correcto
cumplimiento de sus funciones y roles asignados para alcanzar los objetivos definidos. Para ello, la
Direccin Corporativa de Control Interno y el Comit de Auditora se encargarn de garantizar que no
se interponga ninguna restriccin o limitacin injustificada en la funcin de Auditora Interna. A su vez,
se encargarn de garantizar que la funcin de Auditora Interna tenga suficientes recursos de
presupuesto y personal para cumplir con la misma.
La Direccin Corporativa de Control Interno y el Comit de Auditora, debern realizar la evaluacin de

las responsabilidades del equipo de Auditora Interna segn se logren los objetivos definidos para la
Auditora Interna mediante la gestin de sta.
Pgina 44 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
La evaluacin de la auditora se compone de dos elementos:

Indicadores de gestin de la auditora interna cuyo objetivo es la medicin de las actividades
definidas y acordadas en el plan de auditora.
Retroalimentacin conjunta cuyo objeto es evaluar el compromiso en el desarrollo de la auditora
tanto por parte de EY como por parte de la Organizacin en bsqueda del mejoramiento continuo
de las actividades de auditora.
Grfico 11: Esquema de evaluacin de la auditora
Esquema de evaluacin
de la auditora
Retroalimentacin
Indicadores de Gestin Conjunta
Gestin de la Apoyo de la
auditora Gerencia
Pgina 45 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.20 Indicadores de gestin
1.21 Retroalimentacin conjunta
Pgina 46 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
1.22 Protocolos de ejecucin de auditoras.
Grfico 12: Esquema de Roles y Responsabilidades
Pgina 47 de 48
Fecha:
GRUPO CARVAJAL
Cdigo formato:
Grfico 13: Protocolos de Ejecucin de Auditoras
Pgina 48 de 48

Manual auditoría interna Carvajal

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual auditoría interna Carvajal

Caricato da

Copyright:

Formati disponibili

MANUAL DE AUDITORA INTERNA

Elabor Revis Aprob

Claudia Perdomo Andrs Carvajal

MANUAL DE AUDITORA INTERNA Versin: N1

MANUAL DE AUDITORA INTERNA Versin: N1

MANUAL DE AUDITORA INTERNA Versin: N1

MANUAL DE AUDITORA INTERNA Versin: N1

1. Objetivo del Manual

Proporcionar un marco de referencia para los auditores internos de la Organizacin Carvajal,

2. Alcance del Manual

Control interno: Sistema integrado por el esquema de la organizacin y el conjunto de planes,

Aseguramiento: Examen objetivo de evidencias con el propsito de proveer una evaluacin

MANUAL DE AUDITORA INTERNA Versin: N1

Cumplimiento: Conformidad y adhesin a las polticas, planes, procedimientos, leyes,

Gobierno corporativo: La combinacin de procesos y estructuras implantados por el Consejo de

FCI: Facilitador de Control Interno

MANUAL DE AUDITORA INTERNA Versin: N1

1.1 Esquema de principios y polticas

1.2 Marcos de Referencia

Normas Internacionales de Auditora Interna - The IIA

MANUAL DE AUDITORA INTERNA Versin: N1

MANUAL DE AUDITORA INTERNA Versin: N1

A. COSO Descripcin de sus Componentes

Grfico 1: COSO 2013 Componentes

Se demuestra compromiso con la integridad y los valores ticos.

Este componente se orienta a preservar la eficacia, eficiencia y efectividad de la gestin y capacidad

MANUAL DE AUDITORA INTERNA Versin: N1

Se especifican los objetivos para facilitar la identificacin de los riesgos.

Se seleccionan y desarrollan actividades de control.

Se genera informacin relevante para respaldar el funcionamiento de los otros

MANUAL DE AUDITORA INTERNA Versin: N1

Peridicamente se lleva a cabo evaluaciones independientes para evaluar los

Es un marco de referencia ampliamente aceptado en el mundo para el gobierno y la gestin de la

COBIT proporciona una gua en:

MANUAL DE AUDITORA INTERNA Versin: N1

Est orientado a la entidad.

A continuacin las generalidades de cada uno de los 5 principios del modelo:

Grfico 2: Marco de Referencia COBIT

1. Satisfacer las partes interesadas

Las empresas tienen muchas partes interesadas, la gobernabilidad se trata de:

2. Abarcar la empresa de extremo a extremo

MANUAL DE AUDITORA INTERNA Versin: N1

Este principio hace referencia a la integracin de la gobernabilidad de las TI de la empresa dentro

3. Aplicar un marco de referencia nico e integrado

4. Hacer posible un enfoque holstico

COBIT define un conjunto de catalizadores para apoyar la implementacin de un sistema integral de

1. Principios, polticas y Marcos de Referencia

5. Separar el gobierno de la gestin

5. Acuerdo de Niveles de Servicio

MANUAL DE AUDITORA INTERNA Versin: N1

A continuacin se detallan los acuerdos de niveles de servicio para la ejecucin de la funcin de

Grfico 3: Acuerdos de Niveles de Servicio

En caso de presentarse situaciones de atraso en entrega de

Los asuntos relacionados con la ejecucin de las auditoras, sern

Las auditoras especiales se solicitarn a EY a travs del Presidente

MANUAL DE AUDITORA INTERNA Versin: N1

MANUAL DE AUDITORA INTERNA Versin: N1

1. Funcin de Auditora Interna

1.5 Foco Estratgico

MANUAL DE AUDITORA INTERNA Versin: N1

Las principales actividades que se desarrollaran en tal sentido son:

A. Fortalecimiento y sostenibilidad de la cultura de autocontrol, autorregulacin y

Aplicacin de mejores prcticas