Requisitos Proyectos APS 2018-2

GUÍA PARA LA LECTURA
ÍTEMS DE LA MATRIZ COMPARATIVA

Descripción Requisito Descripción original del requisito
Ajustes a la Descripción Descripción de los requisitos después del refinamiento
Criterios de Aceptación Criterios de aceptación originales
Ajustes a los Criterios de
Criterios de aceptación después del refinamiento
Aceptación
Página 1
Nombre Ajustes a la
Descripción Requisito
requisito Descripción
La gestión de Auditorías requiere la definición

La gestión de Auditorías requiere la
previa de ciertos parámetros de los que
configuración previa de ciertos
1.1 REQ001 – depende la codificación de los tipos de
parámetros necesarios para la
Parametrización auditoría, la asignación de tareas a auditores y
realización de cada una de las
la selección de criterios y requisitos para las
auditorías.
auditorías de Calidad.
1.2 REQ002 – El plan anual de auditoría es el documento

Cargar Plan aprobado por la Gerencia para determinar las
Integral Anual de auditorías que se realizarán. Este agrupa las
Auditorías auditorías de Calidad y de Control Interno.
La realización de una auditoría, ya sea de

1.3 REQ003 –
Calidad o de Control Interno, consta de 4
Garantizar el flujo
fases: la programación, la planeación, la
de trabajo de la
ejecución y el cierre. Estas son estrictamente
Auditoría
secuenciales.
Subir al sistema todas las auditorías listadas y aprobadas
1.2 REQ004 - por la gerencia. Para Control Interno obedece al plan
Programar
anual de auditoría interna aprobado por la Gerencia y
Auditorías
el Comité de auditoría.
1.11 REQ005 – Corresponde a la fase de Programación y

Programar consiste en programar en detalle de todas las
Auditoría de auditorías de control interno listadas y
Control Interno aprobadas por la gerencia.
Una semana antes de llegar la fecha de

1.3 REQ006 - ejecución de la auditoría, se requiere que el
Notificar al sistema envíe un recordatorio mediante correo
Auditado electrónico, tanto al auditado como a los
auditores.
La Planeación corresponde a la segunda fase de la

1.12 REQ007 - auditoría, después de la Programación. Está compuesta por
tres (4) actividades secuenciales, que en su orden son: el
Planear Auditoría entendimiento del proceso, la elaboración del plan de
de Control Interno trabajo, la elaboración de los papeles de trabajo y la
elaboración del testeo de controles.
Corresponde a la primera actividad
de la fase de planeación que
desarrolla el auditor antes de
ejecutar la auditoría, en donde se
realiza un análisis documental del
Corresponde a una de las actividades de
1.4 REQ008 - proceso y el subproceso que se va a
Planeación que desarrolla el auditor antes de
Entendimiento del auditar.
ejecutar la auditoría, en donde se realiza un
Proceso (Auditoría
análisis documental del proceso y el
Control Interno) Es importante que, por ser esta la
subproceso que se va a auditar.
primera actividad de la fase de
planeación, sólo se pueda visualizar
después de haber terminado
completamente la fase de
programación.
1.14 REQ009 - Corresponde a la segunda actividad de la fase

Elaborar Plan de de Planeación que desarrolla el auditor antes
Trabajo (Control de ejecutar la auditoría, en donde se realiza la
Interno) preparación de los temas que se deben auditar.
Corresponde a la tercera actividad
1.6 REQ010 -
Aprobado el Plan de Trabajo por el Director de de la fase Planeación que desarrolla
Elaborar Papeles
Control Interno, el Auditor procede a elaborar el auditor antes de ejecutar la
de Trabajo
los Papeles de trabajo en donde se detallan las auditoría, en donde se detallan las
(Auditoría Control
pruebas que se realizarán en la auditoría. pruebas que se realizarán en la
Interno)
auditoría.
Corresponde a la cuarta actividad de la fase

Planeación que desarrolla el auditor antes de
ejecutar la auditoría, en donde se eligen los
controles de los riesgos asociados al proceso o
subproceso auditado que serán evaluados.
1.16 REQ011 -
Elaborar Testeo de
Este corresponde al formato solicitado por el
Controles (Control
Sistema de Gestión de Riesgos, y consiste en
Interno)
una matriz que permite conocer el estado de
los controles operativos asociados a los
subprocesos auditados (Testeo).Anexo 3.Es
posible que una auditoría no haga esta
actividad.
1.17 REQ012 -
Registrar Corresponde a la actividad de la fase de
Observaciones - Ejecución que desarrolla el auditor, en donde
Diligenciar se registran las observaciones encontradas en
Papeles de trabajo la ejecución de la Auditoría.
(Control Interno)
Corresponde a la actividad complementaria de

1.18 REQ013 -
la fase de Ejecución que desarrolla el auditor,
Registrar
en donde, si se incluyó en la Planeación, se
Observaciones -
realiza una evaluación a los controles de los
Diligenciar Testeo
riesgos asociados al
de Controles
proceso/subproceso/procedimiento al que se le
(Control Interno)
está realizando la Auditoría.
El Cierre corresponde a la cuarta y última fase
de la auditoría, después de la Ejecución. Está
1.19 REQ014 -
compuesta por tres (3) actividades
Cerrar Auditoría
secuenciales, que en su orden son: la
de Control Interno
generación del informe, la socialización del
informe y la elaboración del acta de cierre.
1.9 REQ015 - Actividad por medio de la cual el auditor

Generar Informe genera el informe de auditoría que deberá ser
de Auditoría socializado con el auditado.
Corresponde a la primera actividad de la fase de Cierre que

desarrolla el auditor, por medio de la cual el auditor genera
1.20 REQ016 - el informe de auditoría que deberá ser socializado con el o
Generar Informe los auditados.
de Auditoría
(Control Interno) Es importante que, por ser esta la primera actividad de la
fase de cierre, sólo se pueda visualizar después de haber
terminado completamente la fase de ejecución.
Corresponde a la segunda actividad

de la fase de Cierre de la auditoría
1.10 REQ017 -
Actividad por medio de la cual el auditor de Control Interno, por medio de la
Socializar
registra los resultados de la Socialización de la cual el auditor registra los
Resultado de la
Auditoría con los funcionarios auditados. resultados de la Socialización de la
Auditoría
Auditoría con los funcionarios
auditados.
Corresponde a la tercera y última

actividad de la fase de Cierre, por
medio de la cual se elaborará el
Esta actividad debe realizarse una vez sea acta de cierre de la auditoría. Esta
1.11 REQ018 - aprobado el Plan de Acción por medio del cual actividad debe habilitarse para su
Elaborar Acta de se tratarán las observaciones u oportunidades realización una vez sean aprobados
Cierre (Control de mejora encontradas en la auditoría. Esta los planes de acción por medio de
Interno) actividad se desarrolla en el módulo Planes de los cuales se tratarán las
Acción del Sistema. observaciones encontradas en la
auditoría, actividad que se
desarrolla en el módulo de Planes
de Acción.
1.12 REQ019 - Se requiere proporcionar opciones para
Consultas y consultas y generación de reportes, teniendo
Reportes en cuenta los permisos o accesos que se
Auditorías configuren para los usuarios.
1.24 REQ020 –
Visualizar Se requiere poder visualizar las auditorías que
Auditorías según hayan sido programadas para cada subproceso
el Mapa de en el mapa de procesos de manera interactiva.
Procesos
1.26 REQ021 –
Diligenciar Se requiere poder diligenciar en el sistema la
Encuesta de encuesta de satisfacción de los funcionarios
Satisfacción auditados con el proceso de la auditoría.
(Control Interno)
Criterios de Aceptación
Se requiere parametrización a nivel de:Criterios y Requisitos de Auditoría:Base documental para la

realización de las auditorías de Calidad, corresponde a todos los Criterios y sus correspondiente Requisitos
que de acuerdo con la norma, pueden ser auditados en cada uno de los subprocesos de la Empresa. Debe
ser posible configurar también los tipos de criterio, por ejemplo: Criterios de Legislación y Control o
Criterios de Normas Certificables.Es importante tener en cuenta que no se podrán eliminar criterios si
tienen requisitos asociados y activos.Auditores:auditores internos y externos. Se deben incluir todos los
datos personales, profesionales, de experiencia y nivel de auditor (Auditor Líder o Auxiliar) el cuál debe
también ser parametrizable.Categorías:creación, edición y eliminación de categorías de auditorías que se
trabajan en la Empresa tanto para Calidad como para Control Interno.Máscaras de
Identificación:Codificación que se debe asignar a los tipos de auditorías de acuerdo con las categorías que
se establezcan.
Se debe ingresar el plan de auditorías anual que ha sido aprobado por la Gerencia. Para ello, para cada
auditoría se asigna manualmente el código identificador de la auditoría, el nombre, se elige el tipo de
auditoría (Calidad - SIGC o Control Interno – CI), el tipo de equipo auditor (Auditoría externa o interna), la
fecha de inicio, la fecha de finalización y la periodicidad de la auditoría.
Estas auditorías se deben poder modificar o eliminar. También se debe poder incluir nuevas auditorías al
plan.
Se debe poder hacer seguimiento a estas en una mirada, saber cuáles están programadas y cuáles aún
están pendientes. Para las que están en curso de debe poder revisar el porcentaje de avance que se tiene.
Este avance debe calcularse por el número de actividades realizadas sobre las programadas por cada fase.
Es importante poder cargar los documentos originales en formato .pdf firmados por el Gerente.
Se debe poder visualizar, a manera de calendario informativo, las fechas de inicio para las auditorías
programadas para el mes actual. También es importante poder visualizar si una auditoría ya ha sido
programada o aún está pendiente por su programación en el área correspondiente, ya sea Calidad o
Control Interno, esto con fines de facilitar el seguimiento.
El sistema debe garantizar que se siga el adecuado flujo de trabajo de la auditoría, por lo que no puede
pasarse a una fase sin haber terminado completamente la anterior.Es importante que el flujo de trabajo
sea fácilmente visualizable en la aplicación.
Se debe ingresar como mínimo la siguiente información: identificador, nombre, categoría, grupo responsable, objetivos, alcance,
descripción, criterio de auditoría, fecha de realización (inicio y fin), grupo auditor, área, proceso, subproceso y procedimiento (si
aplica) a auditar y su correspondiente responsable, ámbito (rango de tiempo sobre el cual se realizará la auditoría).Al programar una
auditoría, el sistema deberá validar que no exista otra auditoría programada para la misma área en el mismo tiempo; en caso de
presentarse esta situación, el sistema deberá solicitar al usuario programar la auditoría para otra fecha.Se requiere la visualización de
la programación de las auditorías a manera de cronograma en el que se puedan consultar las fechas que fueron programadas vs las
fechas en las que realmente se realizó cada auditoría y su porcentaje de avance.De igual manera, se requiere permitir realizar cambios
sobre las fechas programadas en caso de que así se requiera. Las modificaciones que se realicen se deben informar mediante correo
electrónico a todos los interesados y deberán validarse de manera tal que no se crucen con alguna otra auditoría previamente
programada.Finalizada la programación de las auditorías, el sistema deberá enviar un correo electrónico a todas las personas
interesadas (auditores y auditados), permitiendo al usuario que ejecuta la socialización, el ingreso de observaciones o aspectos a tener
en cuenta.
Se debe ingresar la siguiente información: identificador de la auditoría, nombre, tipo de auditoría (Control
Interno), categoría, responsable de la auditoría, fecha de realización (inicio y fin), objetivos, alcance,
descripción, área, proceso, subproceso y procedimiento a auditar (si aplica) y su correspondiente
responsable, personas auditadas y grupo auditor.
El grupo auditor debe ser conformado por las personas que ejercerán cada uno de los posibles roles dentro
de la auditoría. Estos roles son: Auditor líder, experto técnico, acompañante y auditor en capacitación. A
cada persona se le debe asignar el rol que ejercerá.
Para las auditorías externas, se deben poder asignar los auditores de uno o varios de los grupos de
auditores externos que deben haber sido configurados previamente.
Finalizada la programación de la auditoría, el sistema deberá permitir guardar la información y enviarla
para autorización por parte de la Dirección de Control Interno, quien podrá autorizarla o devolverla para
ajustes. Si se devuelve para ajustes, la Dirección de Control Interno deberá poder ingresar las
observaciones respectivas, las cuales deberán poder verse cuando se vaya a ajustar la programación. Una
vez realizados los ajustes se envía de nuevo a autorizar, y así hasta que esté autorizado. Cuando la
programación es autorizada, el sistema envía automáticamente una notificación y un correo electrónico a
todas las personas interesadas (auditores y auditados).
Se requiere la visualización de la programación de todas las auditorías de control interno que se

encuentran en el plan anual de auditorías, de tal manera que se pueda observar fácilmente si una
auditoría ya ha sido programada o aún está pendiente por su programación, si ya fue autorizada dicha
programación, o si está pendiente por autorizar, y si ya está en curso, poder ver su porcentaje de avance,
que se calcula por el número de actividades realizadas sobre las programadas por cada fase.
También se debe poder visualizar, a manera de calendario informativo, las fechas de inicio para las
auditorías programadas para el mes actual.
De igual manera, se requiere permitir realizar cambios sobre las fechas programadas en caso de que así
se requiera, acción que sólo podrá realizar la Dirección de Control Interno a solicitud del auditor. Las
modificaciones que se realicen se deben informar mediante correo electrónico a todos los interesados y
deberán validarse de manera tal que no se crucen con alguna otra auditoría programada previamente.
El recordatorio automático enviado por el sistema deberá contener la información general de la auditoría a
realizar. Para las auditorías de Control Interno, encaso de no iniciarse el proceso de auditoría, debe
enviarse un mensaje a la Dirección de Control Interno informando que no se ha dado inicio a la auditoria.
El sistema debe garantizar que se siga el adecuado flujo del proceso, por lo que no puede pasarse a una actividad sin haber terminado
completamente la anterior.
Se requiere además la visualización de las auditorías de control interno que están programadas, de tal manera que se pueda hacer
seguimiento fácilmente a cada una de las actividades que conforman la fase de planeación. Se debe visualizar si ya se cumplió con la
primera actividad o está pendiente. Si ya se cumplió, debe mostrar la siguiente actividad y decir si ya se cumplió o está pendiente;
debe mostrar también si alguna actividad está pendiente por autorización (en las que aplique) y si ya fue autorizado, evidenciando de
esta manera el flujo del proceso. También es importante poder ver desde allí la información de cada actividad, una vez esta ha sido
finalizada.
Se requiere que el Entendimiento del Proceso lo realice el Auditor directamente sobre el sistema, de
manera tal que pueda consignar la siguiente información y como resultado generar un documento:
Proceso
Dueño del Proceso
Participantes en el Proceso
Entrevistados y fecha de entrevista
Objetivo del Proceso
Factores Críticos de Éxito
Indicadores Clave de Desempeño
Inicio del Proceso
Fin del Proceso
Principales Actividades
Entradas/Proveedor
Salidas/Cliente
Sistemas de Información que habilitan el proceso
Riesgos del Proceso
Controles Clave Relacionados con los Riesgos del Proceso
Normas que regulan el proceso
Otra Información Relevante del Proceso
Persona que Prepara y Persona que RevisaEsta actividad solo aplica para auditorías de Control Interno.
Se debe mostrar la información básica de la auditoría: código de identificación, fecha de inicio, fecha de
finalización, la versión del plan de trabajo, proceso, dueño del proceso, principales actividades del proceso,
sistemas de información que habilitan el proceso, objetivos y alcance de la auditoría.
El auditor ingresa uno a uno los procedimientos de verificación (Pruebas) que aplicará en la auditoría. Por
cada procedimiento se indica la referencia o código de la prueba, la persona que lo preparó, la fecha inicial
y final estipulada para la prueba y la duración de esta, que deberá poderse programar en horas y días.
Finalizado el ingreso de los procedimientos, el sistema deberá permitir guardar el plan y enviarlo para
autorización por parte de la Dirección de Control Interno, quien podrá autorizarlo o devolverlo para
ajustes. Si se devuelve para ajustes, la Dirección de Control Interno deberá poder ingresar las
observaciones respectivas, las cuales deberán poder verse cuando se vaya a ajustar el plan de trabajo.
Una vez realizados los ajustes se envía de nuevo a autorizar, y así hasta que esté autorizado.
Deberán poderse agregar o eliminar procedimientos de verificación hasta que el plan sea autorizado.
Después de este momento sólo podrá consultarse.
Es necesario que el sistema controle el versionamiento de los Planes de Trabajo que se realicen. Las
versiones obedecen al número de veces que ha sido modificado el plan debido a que fue devuelto para
ajustes. La última versión será la que sea autorizada.
La elaboración de los Papeles de Trabajo debe ser directamente sobre el sistema y de forma coherente con
la definición del Plan de Trabajo. Se debe detallar prueba por prueba indicando como mínimo la siguiente
información: Número o Referencia de la Prueba, Objetivo, Procedimiento (pasos que detallan como se
realizará la prueba), y Tipo de Muestra.En los Papeles de Trabajo se incluye el formato solicitado por el
Sistema de Gestión de Riesgos para conocer el estado de los controles operativos asociados a los
procedimientos auditados (Testeo).Anexo 3.Esta actividad solo aplica para auditorías de Control Interno.
El sistema debe traer los riesgos asociados al proceso/subproceso objeto de la auditoría, y los controles
que previamente se han definido para cada uno de esos riesgos. De estos controles se deben poder elegir
aquellos que serán evaluados, y de estos últimos interesa conocer sus respectivos códigos y descripciones.
Debe ser posible agregar y quitar controles a la lista de controles que se evaluarán en la auditoría.
Una vez terminada la lista de controles, esta debe poder guardarse e imprimirse.
El sistema debe cargar todos los papeles de trabajo elaborados en la fase de Planeación. De ellos interesa
la referencia y el nombre del procedimiento. También interesa poder visualizar fácilmente si el papel de
trabajo ya ha sido diligenciado o está pendiente, así como poder evidenciar cuáles de los papeles
elaborados faltan por registro.
El auditor debe poder elegir el procedimiento de verificación o prueba para el cual registrará las
observaciones. Al elegirlo, el sistema debe cargar toda la información que se ingresó en la actividad de
elaboración de papeles de trabajo en la fase de planeación. El auditor debe poder ingresar un resultado a
manera de una observación general acerca de la prueba ejecutada.
El auditor también debe poder ingresar las observaciones encontradas en la ejecución de la auditoría, para
ellos, por cada observación, debe ingresar el responsable de la observación, la descripción de la
observación, la descripción de las evidencias sobre la observación, y si es del caso, se debe poder adjuntar
la evidencia.
Se debe poder ingresar más de una observación en cada papel de trabajo.
Se debe poder guardar el papel de trabajo con todas las observaciones asociadas. También debe poder
imprimirse. Es importante que el papel de trabajo pueda editarse en su punto de resultados, así como
deben poderse eliminar o agregar observaciones.
Se requiere la visualización de las auditorías de control interno que están planeadas, de tal manera que se
pueda observar fácilmente si ya se diligenciaron todos los papeles de trabajo o si todavía están pendientes
por registrar, así como poder ver la información registrada en cada uno de ellos.
Las observaciones que se registren en los papeles de trabajo se deben poder gestionar posteriormente en
el módulo de Planes de Acción.
Esta fase termina cuando se han diligenciado todos los papeles de trabajo que se elaboraron en la fase de
planeación.
El sistema debe cargar todos los controles que fueron elegidos para evaluar en la fase de Planeación. De
ellos interesa código del control y del riesgo asociado, y la descripción del control y del riesgo asociado.
También interesa poder visualizar fácilmente si el testeo de controles ya ha sido realizado para cada
control o si está pendiente, así como poder evidenciar cuáles controles faltan por evaluación.
El auditor debe poder elegir un control, y al elegirlo, el sistema debe cargar toda la información que se
ingresó de este en la fase de planeación. El auditor debe poder ingresar el detalle de la prueba ejecutada,
la evidencia del control, indicar si cumple o no con el objetivo, y una conclusión final de la evaluación del
control.
En caso de ser necesario, debe poder ingresarse una propuesta de nuevo control, para lo cual se deberá
ingresar el nombre del nuevo control, el responsable de elaborarlo y la fecha en la que deberá estar listo.
Se debe poder guardar toda la información del control. Así como debe poder visualizarse e imprimirse, a
manera de matriz, la información de todos los controles. También deben poder ser modificados.
Se requiere poder visualizar si hay un testeo de controles planeado, y si es así, se debe poder ver si ya fue
diligenciado o está pendiente, así como poder ver la información registrada para este.
Las conclusiones que se registren para cada control en el testeo de controles, se deben poder gestionar
posteriormente en el módulo de Gestión de Riesgos.
El sistema debe garantizar que se siga el adecuado flujo del proceso, por lo que no puede pasarse a una actividad sin haber terminado
completamente la anterior.
Se requiere además la visualización de las auditorías de control interno que fueron ejecutadas, de tal manera que se pueda hacer
seguimiento fácilmente a cada una de las actividades que conforman la fase de cierre. Se debe visualizar si ya se cumplió con la
primera actividad o está pendiente. Si ya se cumplió, debe mostrar la siguiente actividad y decir si ya se cumplió o está pendiente;
debe mostrar también si alguna actividad está pendiente por autorización (en las que aplique) y si ya fue autorizado, evidenciando de
esta manera el flujo del proceso. También es importante poder ver desde allí la información de cada actividad, una vez esta ha sido
finalizada.
El sistema debe permitir al auditor generar un reporte o informe que contenga: información básica de la
auditoría, hallazgos, ocurrencias y calificación registrada.Los informes de Auditorías de Control Interno
deben pasar por aprobación del Director antes de proceder a realizar la socialización con los responsables
del área auditada; en caso de no aprobar el informe, se solicita al auditor realizar los ajustes pertinentes y
pasar nuevamente el informe para aprobación.
El sistema debe permitir al auditor generar un informe que contenga la fecha en que se genera el informe, la información de la
auditoría que se ingresó en la fase de programación y en la fase de planeación, específicamente en la actividad de entendimiento del
proceso, la información de cada uno de los papeles de trabajo, y cada uno con sus correspondientes observaciones, y la matriz
generada en el testeo de controles si este fue incluido. Este informe también debe tener la posibilidad de ingresar algunas
observaciones generales antes de finalizarlo.
Una vez terminado, el informe debe ser guardado y enviado a aprobación por parte de la Dirección de Control Interno; en caso de no
ser aprobado el informe, se solicita al auditor realizar los ajustes pertinentes y pasar nuevamente el informe para aprobación. Si se
devuelve para ajustes, la Dirección de Control Interno deberá poder ingresar las observaciones respectivas, las cuales deberán poder
verse cuando se vaya a ajustar el informe.
Este informe debe poderse imprimir para ser firmado por los auditores que participaron de la auditoría.
Se requiere que el sistema proporcione la visualización del Informe de Auditoría a manera de formulario,
en el que se puedan registrar punto a punto el resultado de la socialización y en donde se permita
adicionar evidencias o realizar aclaraciones sobre cada hallazgo u observación relacionada. Se requiere
también registrar la fecha y hora de la socialización.Finalizada esta actividad, se trasladan las ocurrencias
al módulo de Acciones para realizar los Planes de Acción, para desde allí gestionar las actividades
(acciones) que sean necesarias con los líderes de los procesos o funcionarios auditados.
El Acta de Cierre debe especificar la siguiente información:

Fecha de Cierre (Automática)
Participantes (Directivo del Proceso, Líder del Subproceso, Auditores)
Compromisos (Anexos que hacen parte integral del cierre de la auditoría, ejemplo: Informe de Auditoría y
Plan de Acción Detallado)
Observaciones
FirmasEsta actividad solo aplica para auditorías de Control Interno.
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos filtros de como
parámetros de información se registren. Las consultas primordiales son:
Consultar Auditoría
Consultar Hallazgos, Observaciones u Oportunidades de Mejora
Consultar Tareas PendientesReportes:El sistema debe permitir generar reportes sobre toda la información
registrada y de acuerdo a las consultas que se realicen. Los reportes indispensables son:
Informe de Avance de Auditorías: comprende la información contenida en el Plan de Anual de Auditorías
mas la de la fecha en la que se comenzó la ejecución de la auditoría y el porcentaje de avance.
Cronograma de Auditorías: reporte en donde se relaciona por cada auditoría la fecha inicial programada, la
fecha modificada (cuándo surge aplazamiento) y las fechas de ejecución. El Cronograma de Auditoria tiene
como objetivo realizar un control sobre el tiempo programado para el Plan Anual.
Mapa de Procesos: Auditorías programadas por subprocesos. Es un reporte gráfico en el cuál se permita
ver el mapa de procesos y sobre cada subproceso las auditorías programada, de manera tal que si el
usuario quiere entrar al detalle de la auditoría (ejecutada o no), pueda hacerlo haciendo clic sobre el
subproceso.
Reporte de Auditoría (Por criterio auditado): Se especifica toda la información general de la auditoría, la
información general del criterio seleccionado para el reporte, Hallazgos, Niveles de Conformidad y
Evidencias registradas.
Reporte Final de Auditoría: Especifica toda la información registrada para la auditoría: Información
General, Criterios de Auditoría, Atributos, Planificación, Preparación, Ejecución, Finalización, Ámbito, Área,
Entrevistado, Auditor, Programación y Resultado (Calificación).Se requiere que los reportes sean
proporcionados también a manera de gráficos, desde los cuáles los usuarios puedan seleccionar los filtros
y por medio de la búsqueda graficar los resultados.
Se debe ver el mapa de procesos con sus respectivos subprocesos, y con cada uno de ellos las respectivas
auditorías programadas, ya sean de Calidad o de Control Interno, de manera tal que si el usuario desea
ver el detalle de la auditoría programada o en curso, pueda hacerlo haciendo click sobre el subproceso y
se despliegue la información básica de la auditoría: código de identificación, nombre, fecha de inicio y
finalización, estado actual (fase y actividad en la cual se encuentra) y porcentaje de avance.
El mapa debe ser navegable, es decir, se puede entrar en el detalle y volver a salir al mapa.
Se debe ingresar con el id de la auditoría y diligenciar el formulario de la encuesta. La encuesta debe

guardarse para su posterior consulta.
Ajustes a los Criterios de Aceptación
1. Tipos de Auditoría:Las auditorías se dividen en dos grupos: las del Sistema Integrado de
Gestión y Calidad (SIGC) y las de Control Interno (CI). A su vez cada grupo tiene unos tipos
de auditorías que deben poder configurarse. De ellos se necesita registrar el identificador del
tipo de auditoría, el nombre del tipo y la descripción del mismo.2. Grupo Auditor:Si las
auditorías son externas, estas son ejecutadas por entidades externas. Estas deben registrarse
en el sistema como Grupos Auditores, de las que interesa conocer la entidad que presta el
servicio, se le debe dar un nombre al grupo auditor y debe ingresarse una descripción de este
grupo. Este grupo deberá conformarse por auditores externos que deben haber sido
registrados previamente en el sistema de información.3. Tipos de equipo auditor:El equipo
auditor puede ser interno o externo. Si es interno, este se debe poder conformar por
auditores internos que deben estar registrados como tales previamente en el sistema de
información. Si es externo, debe poderse elegir el grupo auditor y de este grupo, se deben
poder elegir los auditores que deben haber sido registrados previamente en el sistema de
información.4. Auditores:De todos los auditores, tanto internos como externos, se deben
incluir en el sistema todos los datos personales, profesionales, de experiencia y el nivel del
auditor. Se debe indicar cuando es externo.5. Nivel de los auditores:Se deben poder
ingresar los diferentes niveles que pueden tener los auditores.6. Periodicidad de las
auditorías:Se debe poder configurar las diferentes unidades de tiempo en las que se puede
expresar la periodicidad de las auditorías.7. Unidades de tiempo:Se debe poder configurar
las unidades de tiempo en las que se puede medir la duración de las diferentes actividades
propias de la auditoría.8. Categoría de las auditorías:Se deben poder ingresar las
diferentes categorías de las auditorías. De estas se debe poder ingresar el nombre, si es de
Control Interno o del Sistema Integrado de Gestión y Calidad y de qué parte es (1° parte, 2°
parte en proveedor, 2° parte en cliente o de 3° parte). A esta también van asociadas las
escalas de calificación de la auditoría, pues dependiendo de esta es la escala que se utilice.9.
Criterios y Requisitos de Auditoría:Son la base documental para la realización de las
auditorías de Calidad, y corresponde a todos los diferentes Criterios o Normas que se pueden
evaluar, y sus correspondientes Requisitos o numerales de la norma que, de acuerdo con
estas, pueden ser auditados en cada uno de los subprocesos de la Empresa. De cada criterio
es importante registrar el nombre y una descripción general de este. De cada requisito es
importante registrar el numeral que le corresponde de la norma, el nombre del requisito y el
detalle del numeral a manera de descripción.Es importante tener en cuenta que no se podrán
eliminar criterios si tienen requisitos asociados y activos.10. Tipos de Hallazgo:Se deben
poder ingresar los tipos de hallazgos que pueden tenerse en las auditorías de calidad, tales
como fortalezas, conformidades, observaciones y no conformidades.
Se requiere que el Entendimiento del Proceso sea realizado por el auditor directamente sobre
el sistema, de manera tal que pueda consignar la siguiente información manualmente y como
resultado debe generar un documento que contenga:Proceso
Dueño del Proceso
Participantes en el Proceso
Entrevistados y fecha de entrevista (Puede ser cualquier usuario del sistema.)
Objetivo del Proceso
Factores Críticos de Éxito
Indicadores Clave de Desempeño
Inicio del Proceso
Fin del Proceso
Principales Actividades
Entradas/Proveedor
Salidas/Cliente
Sistemas de Información que habilitan el proceso
Riesgos del Proceso
Controles Clave Relacionados con los Riesgos del Proceso
Normas que regulan el proceso
Otra Información Relevante del Proceso
Persona que Prepara y Persona que RevisaEste entendimiento del proceso debe poder
guardarse o imprimirse.
También es importante poder adjuntar el acta de apertura que se realiza con esta actividad, y
el flujograma del proceso o subproceso a auditar.
La elaboración de los Papeles de Trabajo debe ser directamente sobre el sistema y de forma
coherente con la definición del Plan de Trabajo.
Se debe mostrar el identificador de la auditoría asociada al procedimiento para el cual se

elaborará el papel de trabajo.
El papel de trabajo consta de la información correspondiente al procedimiento de verificación

o prueba, y se debe detallar: Número o referencia de la prueba, nombre de la prueba,
objetivo de la prueba, tipo de muestra, el auditor que elabora la prueba y la fecha de
elaboración, quien revisa la prueba y la fecha de revisión, y el procedimiento de la prueba, es
decir, el paso a paso de lo que se realizará.
Al terminar el papel de trabajo este debe poder guardarse e imprimirse.
Se debe elaborar un papel de trabajo por cada procedimiento de verificación o prueba.
Finalizada la elaboración de los papeles de trabajo, el sistema deberá permitir enviarlos para
autorización por parte de la Dirección de Control Interno, quien podrá autorizarlos o
devolverlos para ajustes. Si se devuelven para ajustes, la Dirección de Control Interno deberá
poder ingresar las observaciones respectivas, las cuales deberán poder verse cuando se
vayan a ajustar los papeles trabajo. Una vez realizados los ajustes se envían de nuevo a
autorizar, y así hasta que esté autorizado.
Es importante anotar que los papeles de trabajo son documentos que hacen parte del sistema
de gestión documental, por lo cual al imprimirse debe hacerse de acuerdo a los parámetros
que estipula el Sistema de Gestión de la Calidad.
Se requiere que el sistema cargue el informe de auditoría de control interno y permita
ingresar el resultado de la socialización, además que permita adicionar evidencias o realizar
aclaraciones sobre cada observación relacionada. Se requiere también registrar la fecha y
hora de la socialización.
Finalizada esta actividad, se deben poder tomar las observaciones desde los módulos de
Planes de Acción y Gestión de Riesgos, para desde allí gestionar las actividades (acciones)
que sean necesarias con los líderes de los procesos o funcionarios auditados.
El acta de cierre debe incluir la siguiente información:
Fecha de Cierre, que debe calcularse automáticamente.

Participantes (Directivo del Proceso, Líder del Subproceso, Auditores), que se debe cargar
desde la información de la programación.
Compromisos (Anexos que hacen parte integral del cierre de la auditoría, ejemplo: Informe
de Auditoría y Plan de Acción Detallado)
Observaciones
Firmas
Se debe poder agregar observaciones al final del acta.
Esta acta debe poder guardarse e imprimirse con la opción para colocar las firmas de quienes
corresponda.
Es importante anotar que el acta de cierre es un documento que hace parte del sistema de
gestión documental, por lo cual al imprimirse debe hacerse de acuerdo a los parámetros que
estipula el Sistema de Gestión de la Calidad.
Debe poder enviarse un correo electrónico a los auditados solicitando que diligencien la
encuesta de calificación de la auditoría. Allí se envía el enlace a la encuesta, más no se
diligencia la encuesta en este módulo.
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos filtros de
como parámetros de información se registren. Las consultas primordiales son:
Consultar Hallazgos u Observaciones
Consultar Encuestas de SatisfacciónReportes:El sistema debe permitir generar reportes
sobre toda la información registrada y de acuerdo a las consultas que se realicen. Los
reportes indispensables son:Informe de Avance de Auditorías:Comprende la información
contenida en el Plan de Anual de Auditorías más la de la fecha en la que se comenzó la
ejecución de la auditoría y el porcentaje de avance.Cronograma de Auditorías:Reporte en
donde se relaciona por cada auditoría la fecha inicial programada, la fecha modificada
(cuándo surge aplazamiento) y las fechas de ejecución. El Cronograma de Auditoria tiene
como objetivo realizar un control sobre el tiempo programado para el Plan Anual.Reporte de
auditoría de Calidad por criterio auditado:Se especifica toda la información general de la
auditoría, la información general del criterio seleccionado para el reporte, hallazgos, niveles
de conformidad y evidencias registradas.
Se requiere que los reportes sean proporcionados también a manera de gráficos, desde los
cuales los usuarios puedan seleccionar los filtros y por medio de la búsqueda graficar los
resultados.
Nombre requisito Descripción Requisito
La gestión de Auditorías requiere la definición

previa de ciertos parámetros de los que
depende la codificación de los tipos de
1.1 REQ001 – Parametrización
auditoría, la asignación de tareas a auditores y
la selección de criterios y requisitos para las
auditorías de Calidad.
El plan anual de auditoría es el documento
1.2 REQ002 – Cargar Plan aprobado por la Gerencia para determinar las
Integral Anual de Auditorías auditorías que se realizarán. Este agrupa las
auditorías de Calidad y de Control Interno.
La realización de una auditoría, ya sea de

Calidad o de Control Interno, consta de 4
1.3 REQ003 – Garantizar el flujo
fases: la programación, la planeación, la
de trabajo de la Auditoría
ejecución y el cierre. Estas son estrictamente
secuenciales.
Subir al sistema todas las auditorías listadas y aprobadas

1.2 REQ004 - Programar por la gerencia. Para Control Interno obedece al plan
Auditorías anual de auditoría interna aprobado por la Gerencia y
el Comité de auditoría.
Corresponde a la fase de Programación y
1.4 REQ005 - Programar consiste en programar en detalle de todas las
Auditoría de Calidad auditorías de calidad listadas y aprobadas por
la gerencia.
Una semana antes de llegar la fecha de

ejecución de la auditoría, se requiere que el
1.3 REQ006 - Notificar al
sistema envíe un recordatorio mediante correo
Auditado
electrónico, tanto al auditado como a los
auditores.
Corresponde a una de las actividades de

1.5 REQ007 - Elaborar Plan de Planeación que desarrolla el auditor antes de
Trabajo ejecutar la auditoría, en donde se realiza la
preparación de los temas que se deben auditar.
Corresponde a la actividad de la fase de
1.5 REQ008 - Elaborar Plan de Planeación que desarrolla el auditor antes de
Trabajo (Calidad) ejecutar la auditoría, en donde se realiza la
preparación de los temas que se deben auditar.
Corresponde al registro de los hallazgos u

1.7 REQ009 - Registrar
observaciones encontradas en la ejecución de
Hallazgos u Observaciones
la Auditoría.
Corresponde a la actividad de la fase de
1.6 REQ010 - Registrar Ejecución que desarrolla el auditor, en donde
Hallazgos (Calidad) se registran los hallazgos encontrados en la
ejecución de la Auditoría.
El Cierre corresponde a la cuarta y última fase

de la auditoría, después de la Ejecución. Está
1.7 REQ011 - Cerrar Auditoría compuesta por tres (3) actividades
de Calidad secuenciales, que en su orden son: la
calificación de la auditoría, la generación del
informe y el cargue del acta de cierre.
1.8 REQ012 - Calificar Auditoría Actividad por medio de la cual el auditor califica
(Auditoría Calidad) la auditoría de Calidad realizada.
Actividad por medio de la cual el auditor genera
1.9 REQ013 - Generar Informe
el informe de auditoría que deberá ser
de Auditoría
socializado con el auditado.
Corresponde a la segunda actividad de la fase

de Cierre que desarrolla el auditor, por medio
1.9 REQ014 -Generar Informe
de la cual el auditor genera el informe de
de Auditoría (Calidad)
auditoría que deberá ser socializado con el o los
auditados.
Actividad por medio de la cual el auditor

1.10 REQ015 - Socializar
registra los resultados de la Socialización de la
Resultado de la Auditoría
Auditoría con los funcionarios auditados.
Corresponde a la tercera y última actividad de

1.10 REQ016 - Cargar Acta de
la fase de Cierre, por medio de la cual se
Cierre (Calidad)
cargará el acta de cierre de la auditoría.
Se requiere proporcionar opciones para
1.12 REQ017 - Consultas y consultas y generación de reportes, teniendo
Reportes Auditorías en cuenta los permisos o accesos que se
configuren para los usuarios.
1.24 REQ018 – Visualizar Se requiere poder visualizar las auditorías que
Auditorías según el Mapa de hayan sido programadas para cada subproceso
Procesos en el mapa de procesos de manera interactiva.
Ajustes a la Descripción
La gestión de Auditorías requiere la configuración

previa de ciertos parámetros necesarios para la
realización de cada una de las auditorías.
Corresponde a la primera actividad de la fase de cierre
que desarrolla el auditor, por medio de la cual el
auditor califica la auditoría realizada.
Es importante que, por ser esta la primera actividad de

la fase de cierre, sólo se pueda visualizar después de
haber terminado completamente la fase de ejecución.
Corresponde a la segunda actividad de la fase de Cierre
de la auditoría de Control Interno, por medio de la cual
el auditor registra los resultados de la Socialización de
la Auditoría con los funcionarios auditados.
Criterios de Aceptación
Se requiere parametrización a nivel de:Criterios y Requisitos de

Auditoría:Base documental para la realización de las auditorías de
Calidad, corresponde a todos los Criterios y sus correspondiente Requisitos
que de acuerdo con la norma, pueden ser auditados en cada uno de los
subprocesos de la Empresa. Debe ser posible configurar también los tipos
de criterio, por ejemplo: Criterios de Legislación y Control o Criterios de
Normas Certificables.Es importante tener en cuenta que no se podrán
eliminar criterios si tienen requisitos asociados y
activos.Auditores:auditores internos y externos. Se deben incluir todos los
datos personales, profesionales, de experiencia y nivel de auditor (Auditor
Líder o Auxiliar) el cuál debe también ser
parametrizable.Categorías:creación, edición y eliminación de categorías de
auditorías que se trabajan en la Empresa tanto para Calidad como para
Control Interno.Máscaras de Identificación:Codificación que se debe
asignar a los tipos de auditorías de acuerdo con las categorías que se
establezcan.
Se debe ingresar el plan de auditorías anual que ha sido aprobado por la
Gerencia. Para ello, para cada auditoría se asigna manualmente el código
identificador de la auditoría, el nombre, se elige el tipo de auditoría
(Calidad - SIGC o Control Interno – CI), el tipo de equipo auditor (Auditoría
externa o interna), la fecha de inicio, la fecha de finalización y la
periodicidad de la auditoría.
Estas auditorías se deben poder modificar o eliminar. También se debe

poder incluir nuevas auditorías al plan.
Se debe poder hacer seguimiento a estas en una mirada, saber cuáles

están programadas y cuáles aún están pendientes. Para las que están en
curso de debe poder revisar el porcentaje de avance que se tiene. Este
avance debe calcularse por el número de actividades realizadas sobre las
programadas por cada fase.
Es importante poder cargar los documentos originales en formato .pdf

firmados por el Gerente.
Se debe poder visualizar, a manera de calendario informativo, las fechas

de inicio para las auditorías programadas para el mes actual. También es
importante poder visualizar si una auditoría ya ha sido programada o aún
está pendiente por su programación en el área correspondiente, ya sea
Calidad o Control Interno, esto con fines de facilitar el seguimiento.
El sistema debe garantizar que se siga el adecuado flujo de trabajo de la

auditoría, por lo que no puede pasarse a una fase sin haber terminado
completamente la anterior.Es importante que el flujo de trabajo sea
fácilmente visualizable en la aplicación.
Se debe ingresar como mínimo la siguiente información: identificador, nombre, categoría,

grupo responsable, objetivos, alcance, descripción, criterio de auditoría, fecha de realización
(inicio y fin), grupo auditor, área, proceso, subproceso y procedimiento (si aplica) a auditar y su
correspondiente responsable, ámbito (rango de tiempo sobre el cual se realizará la
auditoría).Al programar una auditoría, el sistema deberá validar que no exista otra auditoría
programada para la misma área en el mismo tiempo; en caso de presentarse esta situación, el
sistema deberá solicitar al usuario programar la auditoría para otra fecha.Se requiere la
visualización de la programación de las auditorías a manera de cronograma en el que se
puedan consultar las fechas que fueron programadas vs las fechas en las que realmente se
realizó cada auditoría y su porcentaje de avance.De igual manera, se requiere permitir realizar
cambios sobre las fechas programadas en caso de que así se requiera. Las modificaciones que
se realicen se deben informar mediante correo electrónico a todos los interesados y deberán
validarse de manera tal que no se crucen con alguna otra auditoría previamente
programada.Finalizada la programación de las auditorías, el sistema deberá enviar un correo
electrónico a todas las personas interesadas (auditores y auditados), permitiendo al usuario
que ejecuta la socialización, el ingreso de observaciones o aspectos a tener en cuenta.
subproceso y procedimiento a auditar (si aplica) y su correspondiente
responsable, personas auditadas y grupo auditor. Además se deben
programar las fechas de inicio y finalización de las fases de planificación,
ejecución y cierre.
El grupo auditor debe ser conformado por las personas que ejercerán cada
uno de los posibles roles dentro de la auditoría. Estos roles son: Auditor
líder, experto técnico, acompañante y auditor en capacitación. A cada
persona se le debe asignar el rol que ejercerá.
Para las auditorías externas, se deben poder asignar los auditores de uno o
varios de los grupos de auditores externos que deben haber sido
configurados previamente.
Al programar una auditoría, el sistema deberá validar que no exista otra

auditoría programada para la misma área en el mismo tiempo; en caso de
presentarse esta situación, el sistema deberá solicitar al usuario programar
la auditoría para otra fecha.
El sistema debe permitir cargar el plan de auditoría de los auditores

externos a manera de archivo adjunto a la programación.
Finalizada la programación de la auditoría, el sistema deberá permitir

guardar la información y enviar automáticamente una notificación y un
correo electrónico a todas las personas interesadas (auditores y
auditados).
Se requiere la visualización de la programación de todas las auditorías de

calidad que se encuentran en el plan anual de auditorías, de tal manera
que se pueda observar fácilmente si una auditoría ya ha sido programada o
aún está pendiente por su programación, y si ya está en curso, poder ver
su porcentaje de avance, que se calcula por el número de actividades
realizadas sobre las programadas por cada fase.
También se debe poder visualizar, a manera de calendario informativo, las

fechas de inicio para las auditorías programadas para el mes actual.
De igual manera, se requiere permitir realizar cambios sobre las fechas

El recordatorio automático enviado por el sistema deberá contener la
información general de la auditoría a realizar. Para las auditorías de Control
Interno, encaso de no iniciarse el proceso de auditoría, debe enviarse un
mensaje a la Dirección de Control Interno informando que no se ha dado
inicio a la auditoria.
Auditoría de Calidad:el auditor selecciona los criterios y requisitos de

auditoría que sugiere la norma, de acuerdo con el objetivo y alcance
determinados. Posteriormente, el auditor programa las actividades que
realizará en la ejecución de la auditoría, las planea una a una indicando las
fechas estimadas de realización y las personas a quienes entrevistará
(estos últimos deben ser también usuarios del sistema).Auditoría de
Control Interno:el auditor lista uno a uno los procedimientos de revisión
(Pruebas) que aplicará para la auditoría. Por cada procedimiento se indica
la persona que lo preparó, el tiempo que se necesita para ejecutar la
auditoría, adicionando a esto la referencia o código de la prueba. El
sistema debe generar un documento con esta información.Finalizada esta
actividad, se debe generar automáticamente una tarea para que el Director
de Control Interno apruebe el Plan de Trabajo diseñado por el auditor para
el desarrollo de la auditoría. Si el plan de trabajo es aprobado, se procede
a la elaboración de los Papeles de Trabajo, de lo contrario se sugieren
ajustes que debe realizar el auditor para nuevamente pasar el Plan de
Trabajo a revisión para aprobación. Es necesario que el sistema controle el
versionamiento de los Planes de Trabajo que se realicen.
Se debe mostrar la información básica de la auditoría: código de
identificación, fecha de inicio, fecha de finalización, proceso, dueño del
proceso, objetivos y alcance de la auditoría. El auditor debe poder
seleccionar los criterios a tener en cuenta y los requisitos o numerales de
la norma que se evaluarán por cada criterio, de acuerdo con el objetivo y
alcance determinados.
Luego el auditor debe poder programar la actividad que realizará en la

ejecución de la auditoría para los requisitos seleccionados.
Una vez se han programado todas las actividades para los diferentes
criterios, este plan se debe poder guardar. Posteriormente podrán
eliminarse o agregarse actividades.
Se requiere la visualización de las auditorías de calidad que están

programadas, de tal manera que se pueda observar fácilmente si ya se
realizó el plan de trabajo o si todavía está pendiente por realizar, así como
poder ver la información del plan que ya haya sido elaborado.
Auditorías de Calidad:El auditor ingresa en el sistema los hallazgos u

observaciones encontrados en la ejecución de la auditoría por cada criterio
y requisito evaluado, indicando el nivel de conformidad para cada uno de
ellos y especificando cuál fue la evidencia para declarar el hallazgo; la
evidencia se adjunta si es necesario. Finalmente, para los hallazgos no
conformes y las observaciones se registra la ocurrencia que posteriormente
será tratada en el módulo de Acciones.Auditorías de Control Interno:El
auditor ingresa en el sistema las observaciones u oportunidades de mejora
encontradas en la ejecución de la auditoría, diligenciando sobre los Papeles
de Trabajo la validación que se realizó a cada una de las pruebas
diseñadas y anexando las evidencias respectivas.Las observaciones u
oportunidades de mejora que se encuentren sobre procedimientos y que
necesiten ser mejoradas o corregidas, se gestionan posteriormente en los
Planes de Acción, mientras que los resultados encontrados en el testeo de
controles se debe llevar a la Administración de Riesgos para que desde allí
se les dé tratamiento.
El sistema debe cargar los criterios y requisitos que fueron agregados en la
fase de Planeación mediante el Plan de Trabajo. El auditor debe poder
elegir el requisito para el cual registrará los hallazgos, y el sistema deberá
cargar la descripción de este. Se debe poder ingresar una observación
general acerca del requisito en evaluación.
Para cada hallazgo se debe poder registrar el tipo de hallazgo, el

responsable del hallazgo, la descripción del hallazgo, la descripción de las
evidencias que permiten declarar el hallazgo, y si es del caso, se debe
poder adjuntar la evidencia.
Los hallazgos están clasificados como fortaleza, conformidad, no

conformidad y observación.
Se debe poder asociar más de un hallazgo por cada requisito.
Los hallazgos se deben poder guardar asociados al requisito.
Esta fase termina cuando se han ingresado los hallazgos para la totalidad
de requisitos que se planeó auditar.
Finalizada esta actividad, se deben poder tomar los hallazgos de tipo no

conformidad y observación desde el módulo de Planes de Acción, para
desde allí gestionar las actividades (acciones) que sean necesarias con los
líderes de los procesos o funcionarios auditados.
Se requiere la visualización de las auditorías de calidad que están

planeadas, de tal manera que se pueda observar fácilmente si ya se
registraron todos los hallazgos de todos los criterios o si todavía están
pendientes por registrar, así como poder ver la información de los
hallazgos ya registrados.
El sistema debe garantizar que se siga el adecuado flujo del proceso, por lo
que no puede pasarse a una actividad sin haber terminado completamente
la anterior.
Se requiere además la visualización de las auditorías de calidad que fueron

ejecutadas, de tal manera que se pueda hacer seguimiento fácilmente a
cada una de las actividades que conforman la fase de cierre. Se debe
visualizar si ya se cumplió con la primera actividad o está pendiente. Si ya
se cumplió, debe mostrar la siguiente actividad y decir si ya se cumplió o
está pendiente, evidenciando de esta manera el flujo del proceso. También
es importante poder ver desde allí la información de cada actividad, una
vez esta ha sido finalizada.
El auditor realiza la calificación de la auditoría registrando la cantidad de

puntos positivos y la cantidad de puntos negativos (No Conformidades -
NC). Automáticamente el sistema califica la auditoría de acuerdo con los
siguientes criterios:
Buena: Máximo 10 NC
Regular: Entre 11 y 20 NC
Deficiente: Más de 20 NC
La calificación de la auditoría solo se puede realizar si se han ingresado

hallazgos u observaciones para todos los criterios evaluados.
Esta actividad solo aplica para auditorías de Calidad.

El sistema debe permitir al auditor generar un reporte o informe que
contenga: información básica de la auditoría, hallazgos, ocurrencias y
calificación registrada.Los informes de Auditorías de Control Interno deben
pasar por aprobación del Director antes de proceder a realizar la
socialización con los responsables del área auditada; en caso de no
aprobar el informe, se solicita al auditor realizar los ajustes pertinentes y
pasar nuevamente el informe para aprobación.
El sistema debe permitir al auditor generar un informe que contenga la fecha en la que se
genera el informe, la información de la auditoría que se ingresó en la fase de programación, los
requisitos evaluados clasificados en los diferentes criterios, y cada uno con sus
correspondientes hallazgos, también deberá mostrar la calificación asignada. El informe debe
tener la posibilidad de ingresar algunas observaciones generales antes de finalizarlo.
Este informe debe poderse imprimir para ser firmado por los auditores que participaron de la
auditoría.
Se requiere que el sistema proporcione la visualización del Informe de

Auditoría a manera de formulario, en el que se puedan registrar punto a
punto el resultado de la socialización y en donde se permita adicionar
evidencias o realizar aclaraciones sobre cada hallazgo u observación
relacionada. Se requiere también registrar la fecha y hora de la
socialización.Finalizada esta actividad, se trasladan las ocurrencias al
módulo de Acciones para realizar los Planes de Acción, para desde allí
gestionar las actividades (acciones) que sean necesarias con los líderes de
los procesos o funcionarios auditados.
Debe poder cargarse el acta de cierre de la auditoría en formato .pdf y una

vez esté completamente firmada por quienes corresponda. Esta acta no
deberá ser modificada una vez ha sido cargada al sistema.
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta
tantos filtros de como parámetros de información se registren. Las
consultas primordiales son:
Consultar Hallazgos, Observaciones u Oportunidades de Mejora
Consultar Tareas PendientesReportes:El sistema debe permitir generar
reportes sobre toda la información registrada y de acuerdo a las consultas
que se realicen. Los reportes indispensables son:
Informe de Avance de Auditorías: comprende la información contenida en
el Plan de Anual de Auditorías mas la de la fecha en la que se comenzó la
ejecución de la auditoría y el porcentaje de avance.
Cronograma de Auditorías: reporte en donde se relaciona por cada
auditoría la fecha inicial programada, la fecha modificada (cuándo surge
aplazamiento) y las fechas de ejecución. El Cronograma de Auditoria tiene
como objetivo realizar un control sobre el tiempo programado para el Plan
Anual.
Mapa de Procesos: Auditorías programadas por subprocesos. Es un reporte
gráfico en el cuál se permita ver el mapa de procesos y sobre cada
subproceso las auditorías programada, de manera tal que si el usuario
quiere entrar al detalle de la auditoría (ejecutada o no), pueda hacerlo
haciendo clic sobre el subproceso.
Reporte de Auditoría (Por criterio auditado): Se especifica toda la
información general de la auditoría, la información general del criterio
seleccionado para el reporte, Hallazgos, Niveles de Conformidad y
Evidencias registradas.
Reporte Final de Auditoría: Especifica toda la información registrada para la
auditoría: Información General, Criterios de Auditoría, Atributos,
Planificación, Preparación, Ejecución, Finalización, Ámbito, Área,
Entrevistado, Auditor, Programación y Resultado (Calificación).Se requiere
que los reportes sean proporcionados también a manera de gráficos, desde
los cuáles los usuarios puedan seleccionar los filtros y por medio de la
búsqueda graficar los resultados.
Se debe ver el mapa de procesos con sus respectivos subprocesos, y con
cada uno de ellos las respectivas auditorías programadas, ya sean de
Calidad o de Control Interno, de manera tal que si el usuario desea ver el
detalle de la auditoría programada o en curso, pueda hacerlo haciendo click
sobre el subproceso y se despliegue la información básica de la auditoría:
código de identificación, nombre, fecha de inicio y finalización, estado
actual (fase y actividad en la cual se encuentra) y porcentaje de avance.
El mapa debe ser navegable, es decir, se puede entrar en el detalle y

volver a salir al mapa.
Ajustes a los Criterios de Aceptación
Integrado de Gestión y Calidad (SIGC) y las de Control Interno (CI). A su vez
cada grupo tiene unos tipos de auditorías que deben poder configurarse. De ellos
se necesita registrar el identificador del tipo de auditoría, el nombre del tipo y la
descripción del mismo.2. Grupo Auditor:Si las auditorías son externas, estas
son ejecutadas por entidades externas. Estas deben registrarse en el sistema
como Grupos Auditores, de las que interesa conocer la entidad que presta el
servicio, se le debe dar un nombre al grupo auditor y debe ingresarse una
descripción de este grupo. Este grupo deberá conformarse por auditores externos
que deben haber sido registrados previamente en el sistema de información.3.
Tipos de equipo auditor:El equipo auditor puede ser interno o externo. Si es
interno, este se debe poder conformar por auditores internos que deben estar
registrados como tales previamente en el sistema de información. Si es externo,
debe poderse elegir el grupo auditor y de este grupo, se deben poder elegir los
auditores que deben haber sido registrados previamente en el sistema de
información.4. Auditores:De todos los auditores, tanto internos como externos,
se deben incluir en el sistema todos los datos personales, profesionales, de
experiencia y el nivel del auditor. Se debe indicar cuando es externo.5. Nivel de
los auditores:Se deben poder ingresar los diferentes niveles que pueden tener
los auditores.6. Periodicidad de las auditorías:Se debe poder configurar las
diferentes unidades de tiempo en las que se puede expresar la periodicidad de
las auditorías.7. Unidades de tiempo:Se debe poder configurar las unidades de
tiempo en las que se puede medir la duración de las diferentes actividades
propias de la auditoría.8. Categoría de las auditorías:Se deben poder ingresar
las diferentes categorías de las auditorías. De estas se debe poder ingresar el
nombre, si es de Control Interno o del Sistema Integrado de Gestión y Calidad y
de qué parte es (1° parte, 2° parte en proveedor, 2° parte en cliente o de 3°
parte). A esta también van asociadas las escalas de calificación de la auditoría,
pues dependiendo de esta es la escala que se utilice.9. Criterios y Requisitos
de Auditoría:Son la base documental para la realización de las auditorías de
Calidad, y corresponde a todos los diferentes Criterios o Normas que se pueden
evaluar, y sus correspondientes Requisitos o numerales de la norma que, de
acuerdo con estas, pueden ser auditados en cada uno de los subprocesos de la
Empresa. De cada criterio es importante registrar el nombre y una descripción
general de este. De cada requisito es importante registrar el numeral que le
corresponde de la norma, el nombre del requisito y el detalle del numeral a
manera de descripción.Es importante tener en cuenta que no se podrán eliminar
criterios si tienen requisitos asociados y activos.10. Tipos de Hallazgo:Se deben
poder ingresar los tipos de hallazgos que pueden tenerse en las auditorías de
calidad, tales como fortalezas, conformidades, observaciones y no
El sistema debe poder calcular el número de hallazgos de tipo No Conformidad
(NC) encontrados en la totalidad de los requisitos auditados. Posteriormente
deberá asignar automáticamente una calificación a la auditoría de acuerdo a una
escala de valoración, la cual debe poder ser configurada con el fin de poder
agregar rangos y/o cambiar sus valores y que depende de la categoría de la
auditoría. La escala actual es la siguiente:
Buena: Máximo 10 NC
Regular: Entre 11 y 20 NC
Deficiente: Más de 20 NC
Adicional a esto el sistema debe permitir el registro de observaciones para los

factores positivos encontrados durante la auditoría, factores por mejorar,
recomendaciones y conclusión.
Esta calificación debe poder ser guardada y no puede ser modificada

posteriormente.
Se requiere que el sistema cargue el informe de auditoría de control interno y
permita ingresar el resultado de la socialización, además que permita adicionar
evidencias o realizar aclaraciones sobre cada observación relacionada. Se
requiere también registrar la fecha y hora de la socialización.
Finalizada esta actividad, se deben poder tomar las observaciones desde los
módulos de Planes de Acción y Gestión de Riesgos, para desde allí gestionar las
actividades (acciones) que sean necesarias con los líderes de los procesos o
funcionarios auditados.
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos
filtros de como parámetros de información se registren. Las consultas
primordiales son:
Consultar Hallazgos u Observaciones
Consultar Encuestas de SatisfacciónReportes:El sistema debe permitir generar
reportes sobre toda la información registrada y de acuerdo a las consultas que se
realicen. Los reportes indispensables son:Informe de Avance de
Auditorías:Comprende la información contenida en el Plan de Anual de
Auditorías más la de la fecha en la que se comenzó la ejecución de la auditoría y
el porcentaje de avance.Cronograma de Auditorías:Reporte en donde se
relaciona por cada auditoría la fecha inicial programada, la fecha modificada
(cuándo surge aplazamiento) y las fechas de ejecución. El Cronograma de
Auditoria tiene como objetivo realizar un control sobre el tiempo programado
para el Plan Anual.Reporte de auditoría de Calidad por criterio auditado:Se
especifica toda la información general de la auditoría, la información general del
criterio seleccionado para el reporte, hallazgos, niveles de conformidad y
evidencias registradas.
Se requiere que los reportes sean proporcionados también a manera de gráficos,

desde los cuales los usuarios puedan seleccionar los filtros y por medio de la
búsqueda graficar los resultados.
Gr.C - Riesgos
Descripción Inicial del

Nombre Requisito Ajustes Descripción fi
Requisito
La Administración de Riesgos requiere la

definición previa de ciertos parámetros de Para la configuración de los parámet
REQ001 - Parametrización los que depende la categorización de requieren las opciones de crear, mo
riesgos, los tipos de impactos, y las y eliminar.
condiciones de valoración y análisis.
Parametrizar las categorías en las que

deben ser agrupados los riesgos.
REQ002 - CONFIGURAR CATEGORÍAS Actualmente existen: Ambiental,
Financiero, Fraude, Información, Legal,
Laborar y Tecnología.
Página 33
Gr.C - Riesgos
Parametrizar los tipos de impacto a los

que puede apuntar cada riesgo.
Actualmente existen: Reputacional,
Ambiental, Económico y Personas. Para
cada tipo de impacto se debe medir un
nivel el cuál corresponde a una escala de
1 a 5 (1-Insignificante, 2-Menor, 3-
REQ003 - CONFIGURAR TIPO DE Moderado, 4-Mayor, 5-Catastrófico) con
IMPACTO definiciones propias para cada impacto,
los niveles también requieren la
parametrización. Ejemplo:Tipo de
impacto: Reputacional
Niveles: 1- Por área; 2 - Interna; 3 -
Corporativa; 4 - Departamental; 5 –
Nacional.
Parametrizar los niveles de probabilidad

REQ004 - CONFIGURAR con su respectiva descripción.
PROBABILIDAD Actualmente se manejan de la "A" a la
"E", siendo A el más alto y E el más bajo.
Parametrizar los valores utilizados para

calificar el riesgo de acuerdo con los
impactos y probabilidades que se
indiquen. Actualmente existen: Bajo,
REQ005 - CONFIGURAR VALORACIÓN Moderado, Alto y Extremo. En este punto
DEL RIESGO también es importante tener en cuenta
que a todos los riegos se les hace
seguimiento, pero los calificados como
"Altos" y "Extremos" tienen prioridad en la
elaboración de los planes de tratamiento.
Parametrizar las calificaciones del control

REQ006 – CONFIGURAR
que se podrán seleccionar para configurar N/A
CALIFICACIÓN DEL CONTROL
el control.
Parametrizar los tipos de control que se

REQ007 – CONFIGURAR CLASE DE
podrán seleccionar para configurar el N/A
CONTROL
control.
Página 34
Gr.C - Riesgos
Parametrización del tratamiento que se le
REQ008 - CONFIGURAR POLÍTICA DE
debe dar a cada riesgo de acuerdo a su N/A
RIESGOS
valoración.
Opciones de tratamiento que se pueden
REQ009 - CONFIGURAR OPCIONES DE
seleccionar para nuevos controles o N/A
TRATAMIENTO Y NUEVO CONTROLES
controles en rediseño.
Parametrización de la frecuencia de
REQ010 – CONFIGURAR FRECUENCIA ejecución que se podrá seleccionar para el N/A
registro de nuevos controles.
Parametrización de los estados que se
REQ011 – CONFIGURAR ESTADO
podrán seleccionar para el monitoreo de N/A
PLANES DE TRATAMIENTO
los planes de tratamiento.
Parametrización de los estados que se

REQ012 – CONFIGURAR ESTADO DE
podrán seleccionar para el control de los N/A
LA INICIATIVA
riesgos estratégicos.
REQ013 – DESCRIBIR RIESGOS Identificación y registro en el sistema de

N/A
ESTRATÉGICOS los riesgos estratégicos a tratar.
Página 35
Gr.C - Riesgos
Identificación y registro en el sistema del Se especifica que son los riesgos

REQ014 - DESCRIBIR RIESGOS
riesgo a tratar. subproceso a ser tratados.
Identificación y registro del análisi

Identificación y registro del análisis de causa realizado a cada riesgo regist
REQ015 - Identificar las Causas
causa realizado a cada riesgo registrado. tanto para riesgos estratégicos co
riesgos por subproceso.
REQ016 - Calificar el Riesgo Calificación del nivel del riesgo sin tener
Inherente en cuenta el efecto de los controles.
Página 36
Gr.C - Riesgos
Identificación y registro de las estrategias

REQ017 – IDENTIFICAR
asociadas a cada una de las causas N/A
ESTRATEGIAS
registradas para los riesgos estratégicos.
Identificación y registro de los controles

REQ018 - Identificar Controles asociados a cada una de las causas N/A
registradas para los riesgos.
Calificación del nivel del riesgo teniendo

REQ019 - Calificar el Riesgo Residual N/A
en cuenta el efecto de los controles.
Página 37
Gr.C - Riesgos
Actividad por medio de la cual las áreas

REQ020 - Reportar Eventos de toda la empresa pueden reportar la N/A
materialización de un riesgo identificado.
Las Auditorías realizadas por Control

Interno sugieren dentro de su
procedimiento la realización del Testeo de
Controles. Esta actividad consiste en traer
REQ021 - Recepción de Resultado de
al módulo "Administración de Riesgos" el N/A
Testeo de Controles
resultado desfavorable que se registre en
el módulo "Auditorías" al realizar el Testeo
de Controles, para entonces gestionar el
rediseño del control.
El rediseño de iniciativas estratégicas de

la organización es una actividad que se
REQ022 – REDISEÑAR ESTRATEGIAS ejecuta para desarrollar nuevas N/A
estrategias o corregir estrategias
existentes.
Página 38
Gr.C - Riesgos
REQ023 - Rediseñar Controles El diseño de controles es una actividad

(Planes de Tratamiento y Nuevos que se ejecuta para desarrollar nuevos N/A
Controles) controles o corregir controles existentes.
El diseño de controles es una actividad

REQ024 – Diseñar Planes de
que se ejecuta para desarrollar nuevos N/A
tratamiento
controles o corregir controles existentes.
Página 39
Gr.C - Riesgos
Actividad por medio de la cual el Sistema

de Gestión de Riesgos revisa y reporta el
REQ025 - Monitoreo de Controles N/A
estado de los controles asociados para
cada uno de los riesgos.
Se requiere crear, consultar, modificar y

REQ026 – IDENTIFICAR LOS
eliminar los objetivos estratégicos de la N/A
OBJETIVOS ESTRATÉGICOS
organización.
Página 40
Gr.C - Riesgos
Se requiere proporcionar opciones para

consultas y generación de reportes,
REQ027 - Consultas y Reportes
teniendo en cuenta los permisos o N/A
Administración de Riesgos
accesos que se configuren para los
usuarios.
Página 41
Gr.C - Riesgos
Ajustes Descripción final Criterios de Aceptación Iniciales
Se requiere parametrización a nivel de:Categorías:Parametrización de las

categorías en las que deben ser agrupados los riesgos. Actualmente existen:
Ambiental, Financiero, Fraude, Información, Legal, Laborar y Tecnología.Tipo de
Impacto:Parametrización de los tipos de impacto a los que puede apuntar cada riesgo.
Para cada tipo de impacto se debe medir un nivel el cuál corresponde a una escala de
1 a 5 con definiciones propias para cada impacto. Ejemplo:
Tipo de impacto: Reputacional.
Niveles: 1- Por área; 2 - Interna; 3 - Corporativa; 4 - Departamental; 5 -
Nacional.Probabilidad:Parametrización de los niveles de probabilidad. Actualmente se
manejan de la "A" a la "E", siendo A el más alto y E el más bajo.Valoración del
Riesgo:Parametrización de los valores utilizados para calificar el riesgo de acuerdo
ara la configuración de los parámetros se con los impactos y probabilidades que se indiquen. Actualmente existen: Bajo,
Moderado, Alto y Extremo. En este punto también es importante tener en cuenta que a
equieren las opciones de crear, modificar
todos los riegos se les hace seguimiento pero solo a los calificados como "Altos" y
y eliminar. "Extremos" se les exige que contengan planes de tratamiento.Política de
Riesgos:Parametrización del tratamiento que se le debe dar a cada riesgo de acuerdo
a su valoración.Control:Parametrización de las características que se podrán
seleccionar para cada detallar los controles:
Documentado: SI/NO
Manual o Automatizado
Clase de Control: Preventivo, Correctivo, Detectivo, NA
Calificación: Fuerte, Por mejorar, Insatisfactorio, NA
Requiere Rediseño: SI/NO
Disminuye: Impacto o ProbabilidadOpciones de Tratamiento Nuevos
Controles:Opciones de tratamiento que se pueden seleccionar para nuevos controles
o controles en rediseño.
Las categorías deben contar con la siguiente información:

Nombre/Categoría
Descripción
Página 42
Gr.C - Riesgos
Para la parametrización del tipo de impacto se requiere la siguiente

información:
Tipo de impacto
Nivel (Escala)
Descripción del nivel
Atributos para cada impacto según el nivel
Descripción de los atributos para cada impacto
Para la parametrización de la probabilidad se requiere la siguiente

información:Identificación
Nombre
Descripción
Para la parametrización de la valoración del riesgo se requiere la siguiente

información:Impacto
Descripción
Se requiere la siguiente información:

N/A Calificación
Descripción

N/A Tipo
Descripción
Página 43
Gr.C - Riesgos
N/A Se requiere la siguiente información:Política

N/A
Opciones

N/A
Frecuencia

N/A Estado
Descripción

N/A Iniciativa
Descripción
Proporcionar como mínimo la siguiente información:

Identificador del riesgo estratégico
Objetivo estratégico
Evento ¿Que puede suceder?
Causas ¿Por qué puede suceder?
Tipo de Impacto (1 o más)
N/A
Probabilidad X Impacto
Valoración del riesgo bruto
Valoración Inherente
Iniciativa estratégica
Valoración residual
Política
Página 44
Gr.C - Riesgos
Proporcionar como mínimo la siguiente información:¿Qué puede suceder?

Área
Proceso
Se especifica que son los riesgos por Subproceso
subproceso a ser tratados. Procedimiento
El sistema deberá permitir editar o eliminar los riesgos registrados; para esto es
necesario verificar si el riesgo a eliminar tiene controles asociados, de ser así primero
deberán ser eliminados los controles.
Identificación y registro del análisis de

Por cada riesgo registrado se debe registrar el campo "¿Por qué puede
causa realizado a cada riesgo registrado,
suceder el riesgo?. Tener en cuenta que un riesgo puede relacionar una o
tanto para riesgos estratégicos como
varias causas.
riesgos por subproceso.
El Riesgo Inherente se debe calificar de acuerdo con la siguiente

metodología: Se identifica el Tipo de Impacto, el Nivel de Impacto (Escala
de 1 a 5) y la Probabilidad (Categorías A, B, C, D y E). De acuerdo con el
Mapa de Calor definido para la Empresa (Combinaciones entre Probabilidad
y Nivel de Impacto de acuerdo al Tipo), se califica el riesgo
automáticamente (Ejemplo: Alto, Medio, Bajo...) Los riesgos más
importantes se tratan de acuerdo con la Política aprobada por la empresa y
bajo esta calificación. El Mapa de Calor se debe visualizar a manera de
gráfica y sobre él todos los riesgos calificados. Además debe ser
configurable de acuerdo con las necesidades de la Empresa.
Página 45
Gr.C - Riesgos
Se debe proporcionar como mínimo la siguiente información:

Área responsable
Identificación de la estrategia
N/A Iniciativa
Estado
% avance iniciativas
Tener en cuenta que una iniciativa puede relacionar una o varias causas.
Los controles se ingresan de forma manual para cada una de las causas. Se
debe proporcionar como mínimo la siguiente información:Frecuencia de
ejecución
Responsable de ejecución
Documentado: SI/NO
N/A Manual o Automatizado
Clase de Control: Preventivo, Correctivo, Detectivo, NA
Calificación: Fuerte, Por mejorar, Insatisfactorio, NA
Disminuye: Impacto o ProbabilidadPor cada causa se pueden relacionar uno o más
controles.
Esta calificación debe hacerse de forma manual ya que es el resultado de un

análisis el cuál puede ser subjetivo desde la perspectiva que se mire.
Consiste en calificar nuevamente el riesgo utilizando la metodología
N/A
detallada anteriormente (REQ004 - Calificar el Riesgo Inherente), pero esta
vez teniendo en cuenta el efecto del control asociado sobre el impacto o la
probabilidad según se indique en la identificación del control.
Página 46
Gr.C - Riesgos
Para realizar esta actividad se debe proporcionar como mínimo la siguiente

información:Riesgo
Causa Asociada
Evento
Fecha del Evento
Descripción de la Situación a Reportar
N/A
Impacto Materializado
Cuenta contable en la que se realizó el registro y Valor (En el caso de que se haya
generado pérdida económica).
Tan pronto se registre la materialización de un riesgo, el sistema deberá abrir la tarea

para que se realice nuevamente la calificación residual.
Toda calificación desfavorable que se registre para el testeo de controles

N/A realizado en las audio rías de Control Interno, deberá implicar un rediseño
de controles en la Administración del Riesgo.

Identificador del riesgo estratégico
Evento ¿Qué puede suceder?
Clase de la causa
Área responsable
Iniciativa
Acción a seguir
N/A
El rediseño de la estrategia propuesta o la nueva estrategia diseñada,
deberá pasar primero por una aprobación por parte del Sistema de Gestión
del Riesgo, desde donde se indicará si se aprueba la implementación o si
existe alguna inconsistencia que requiera devolver el paso y rediseñar
nuevamente.
Después de que la estrategia ya termina su paso por el tratamiento (es

implementado) pasa a ser una estrategia de monitoreo permanente.
Página 47
Gr.C - Riesgos
Se debe proporcionar como mínimo la siguiente información:ID (Automático)

Riesgo Asociado
Opción de Tratamiento
Causa Asociada
Descripción
Responsable de Ejecución
N/A Frecuencia de Ejecución
Tiempo de Implementación (Tiempo que se estima para el desarrollo o implementación
del control)El rediseño de control propuesto o el nuevo control diseñado, deberá pasar primero
por una aprobación por parte del Sistema de Gestión del Riesgo, desde donde se indicará si se
aprueba la implementación o si existe alguna inconsistencia que requiera devolver el paso y
rediseñar nuevamente.Después de que el control ya termina su paso por el tratamiento (es
implementado) pasa a ser un control de monitoreo permanente.
Se debe proporcionar como mínimo la siguiente información:Identificador del

riesgoEvento/Riesgo
opción de tratamiento
Acción a realizar
N/A Responsable
Presupuesto
Duración
Seguimiento
Tiempo de implementación
Página 48
Gr.C - Riesgos
El monitoreo de controles debe programarse automáticamente para ser

ejecutado cada tres (3) meses.
Pueden presentarse los siguientes escenarios:Que el control esté en Planes de
Tratamiento y Nuevos Controles: se debe realizar una validación con el área implicada
sobre avance en la implementación de las actividades propuestas. Si se encuentra que
el control ya ha finalizado su implementación, debe pasar a hacer parte del registro de
N/A controles de funcionamiento diario o monitoreo permanente.
Que el control esté cancelado: debe registrarse una justificación del porqué el control
ya no aplica. Indicada la justificación, el Sistema de Gestión del Riesgo deberá
proceder a eliminar el control para que no genere alertas de monitoreo.El no
cumplimiento de esta actividad, debe generar alertas que mantengan informado al Sistema de
Gestión del Riesgo sobre la necesidad de cumplir con el monitoreo trimestral.

N/A Lineamiento
Objetivo
Página 49
Gr.C - Riesgos
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos filtros
como parámetros de información se registren. Las consultas primordiales son:
Consultar Riesgos de acuerdo con el área, proceso, subproceso o calificación
registrada.
Consultar Controles de acuerdo con el riesgo, la causa, área, proceso, subproceso,
efecto (si ataca al impacto o a la probabilidad), y calificación registrada.
Consultar Planes de Tratamiento o Nuevos Controles de acuerdo con el área, proceso,
subproceso, responsable de ejecución, y estado (en proceso, finalizado,
cancelado).Reportes:El sistema debe permitir generar reportes sobre toda la
información registrada y de acuerdo a las consultas que se realicen. Los reportes
indispensables son:Riesgos Inherentes (Información General)
N/A Riesgos Residuales (Información General)
Controles por Área y en General (Información General)
Estado de los Controles por Área y en General
Calificación de los Controles por Área y en General
Mapa residual de riesgos por subproceso (sobre el mapa de calor y de acuerdo con la
calificación residual de los riesgos).
Mapa inherente de riesgos por subproceso (sobre el mapa de calor y de acuerdo con la
calificación inherente de los riesgos).
Resumen gráfico de riesgos por subprocesos (Gráficos de barras o circulares que permitan
visualizar el número de riesgos y controles de acuerdo con su calificación. El reporte debe
clasificar los resultados de acuerdo con la calificación a reportar y debe incluir la opción de
visualizar el porcentaje de participación de las calificaciones obtenidas, sobre el 100% de
posibilidades en el subproceso).
Página 50
Gr.C - Riesgos
Ajustes a Criterios de
Aceptación finales
N/A
N/A
Página 51
Gr.C - Riesgos
N/A
N/A
N/A
N/A
N/A
Página 52
Gr.C - Riesgos
N/A
N/A
N/A
N/A
N/A
N/A
Página 53
Gr.C - Riesgos
Proporcionar como mínimo la siguiente

información:Área
Proceso
Subproceso
Procedimiento
Objetivo del Subproceso
Objetivo estratégico asociado
Identificador del riesgo
Evento ¿Qué puede suceder?
Tipo de Impacto (1 o más)
Categoría
ProbabilidadXImpacto
Valoración del riesgo bruto
Valoración Inherente
Controles asociados
Valoración residual
PolíticaEl sistema debe permitir únicamente al
administrador las opciones de editar y eliminar
los riesgos registrados; para esto es necesario
verificar si el riesgo a eliminar tiene controles
asociados, de ser así primero deberán ser
eliminados los controles.
Para los riesgos estratégicos se debe

registrar además la clase de la causa, que
son:
Externa
Interna
N/A
Página 54
Gr.C - Riesgos
N/A
Los controles se ingresan de forma

manual para cada una de las causas. Se
debe proporcionar como mínimo la
siguiente información:Identificador del
controles
Descripción del control
Frecuencia de ejecución
Responsable de ejecución
Documentado: SI/NO
Manual o Automatizado
Clase de Control: Preventivo, Correctivo,
Detectivo, NA
Calificación: Fuerte, Por mejorar, Insatisfactorio,
NA
Estrategia a seguir
Disminuye: Impacto o ProbabilidadPor cada causa
se pueden relacionar uno o más controles.
N/A
Página 55
Gr.C - Riesgos
N/A
N/A
N/A
Página 56
Gr.C - Riesgos
N/A
N/A
Página 57
El monitoreo de controles debe Gr.C - Riesgos
programarse automáticamente para ser
ejecutado cada tres (3) meses.
Pueden presentarse los siguientes
escenarios:Que el control esté en Planes de
Tratamiento y Nuevos Controles: se debe
realizar una validación con el área implicada
sobre avance en la implementación de las
actividades propuestas. Si se encuentra que el
control ya ha finalizado su implementación,
debe pasar a hacer parte del registro de
controles de funcionamiento diario o monitoreo
permanente.Que el control esté cancelado:
debe registrarse una justificación del porqué el
control ya no aplica. Indicada la justificación, el
Sistema de Gestión del Riesgo deberá proceder
a eliminar el control para que no genere alertas
de monitoreo.Se debe proporcionar como
mínimo la siguiente información:Plan de
tratamiento y nuevos controles:Riesgo asociado
(Identificador)
Tipo:
Plan de tratamiento
Nuevo control
Actividad
Responsable
Fecha Inicio
Fecha de Finalización
Porcentaje de avance
Fecha de revisión del PlanSeguimientoEstado
Justificación
Acciones acordadas
Actividad
Fecha
ObservacionesEl no cumplimiento de esta
actividad, debe generar alertas que mantengan
informado al Sistema de Gestión del Riesgo
sobre la necesidad de cumplir con el monitoreo
trimestral.
N/A
Página 58
Gr.C - Riesgos
N/A
Página 59
Gr.E - Planes de Acción
NOMBRE
DESCRIPCION REQUISITO
REQUISITO
Página 60
La gestión de Planes de Acción requiere la
definición previa de ciertos parámetros de los que
REQ001-
depende la clasificación y codificación de acciones,
PARAMETRIZACION
entre otras características importantes tanto para
Calidad como para Control Interno.
La gestión de Planes de Acción requiere la

definición previa de ciertos parámetros de los que
REQ001-
depende la clasificación y codificación de acciones,
PARAMETRIZACION
entre otras características importantes tanto para
Calidad como para Control Interno.
Página 61
Página 62
Corresponde a la creación de de un hallazgo,

observación, oportunidad de mejora o hecho, que
REQ002- Registrar
debe ser tratado por medio de un plan de acción.
Ocurrencia, Observación u
Las ocurrencias, observaciones u oportunidades de
Oportunidad de Mejora
mejora se crean automática o manualmente
dependiendo de su origen.
Corresponde al registro de las causas asociadas a

las ocurrencias tanto de creación automática como
manual, pero dependiendo de su origen. Esta
REQ003 - Análisis de Causa
actividad es realizada por el Líder o Responsable
del Subproceso para el cual se registra la
ocurrencia.
Página 63
Registro de las acciones que se llevarán a cabo

REQ004 - Elaborar Plan de como plan de mitigación, tratamiento o solución
Acción para las ocurrencias, observaciones u
oportunidades de mejora registradas.
Corresponde a la opción mediante la cual el

responsable de ejecución del Plan de Acción,
REQ005 - Ejecutar Acciones registra el cumplimiento según lo indique la
parametrización o codificación de la ocurrencia,
observación u oportunidad de mejora.
Página 64
Actividad por medio de la cual el auditor o emisor

REQ006 - Evaluar Eficacia de la ocurrencia (según corresponda), evalúa la
eficacia de la acción ejecutada al 100%.
Actividad por medio de la cual las diferentes áreas

REQ007 - Registrar Reto de
de la Empresa reportan situaciones de producto no
Calidad
conforme.
Opción para eliminar definitivamente una

ocurrencia, observación u oportunidad de mejora,
REQ008 - Eliminar/Cancelar
o para cancelarla y evitar sus alertas de
cumplimiento.
Página 65
Actividad por medio de la cual se registran en el

sistema los seguimientos realizados sobre las
REQ009 - Registrar Seguimi
acciones activas en cada una de las áreas de la
Empresa.
El sistema debe permitir hacer consulta sobre toda

la información registrada (Debe incluir tantos
REQ010 - Consultas y Reportfiltros de consulta como criterios de información se
registren) y de acuerdo con los permisos
establecidos para cada uno de los usuarios.
Página 66
AJUSTES AL
REQUISITO
Página 67
N/A
N/A
Página 68
Página 69
N/A
El sistema no debe guardar un

historial de las causas registradas
por el usuario.
Página 70
N/A
N/A
Página 71
N/A
N/A
N/A
Página 72
N/A
El sistema debe permitir hacer

consulta sobre toda la información
registrada (Debe incluir tantos
filtros de consulta como criterios de
información se registren y sus
gráficos respectivos) y de acuerdo
con los permisos establecidos para
cada uno de los usuarios.
Página 73
CRITERIOS DE ACEPTACIÓN
Se requiere parametrización a nivel de:Clasificación de Acciones:Opciones para seleccionar por medio de qué se va a
tratar la ocurrencia, ejemplo: Acción Preventiva y/o Correctiva, Acción de Mejora, Corrección, Retos de Calidad (Producto no
Conforme). Desde esta opción se configura el comportamiento de cada uno de los métodos definidos, por ejemplo, si se quiere
hacer plan de acción junto con el análisis de causa o por separado, si aplica aprobación de identificación o de análisis o de
verificación de eficacia, entre otros. Para los Retos de Calidad se especifican las disposiciones que se utilizarán, ejemplo:
Aceptar, Derogar, Suspender, etc.
Máscaras de Identificación (Código):Código alfanumérico en el cuál las primeras letras

representan el área de origen de la Ocurrencia, seguido por el año en el que se registra en el
sistema; ejemplo: "CI2014" = Ocurrencia, Observación u Oportunidad de Mejora registrada por
Control Interno (CI) en el año 2014. "TI2014" = Ocurrencia, Observación u Oportunidad de Mejora
registrada por Tecnologías de la Información (TI) en el año 2014. "GC204" = Ocurrencia registrada
por el Sistema de Gestión y Calidad (GC) en el año 2014. Por cada tipo de Ocurrencia deberá
configurarse si aplica ejecución en avances porcentuales o no.
Criticidad:Opciones de criticidad para la identificación de la ocurrencia. Ejemplo: Baja, Media, Alta.
Página 74
Tipo de Causa:Opciones de tipos de causa para la identificación de la ocurrencia, en este caso se

utiliza la clasificación de las 8 emes (Manejo, Mano de Obra, Maquinaria, Materiales, entre otras).
Grupo de Control:Grupos de funcionarios dispuestos por área, para los cuáles se definirá
posteriormente el flujo de proceso de acuerdo a cada método creado en la clasificación.
Página 75
Flujo del Proceso:Definición de los responsables de cada una de las actividades desde la identificación de la ocurrencia
hasta la aprobación de la eficacia (si aplica). Estos flujos se configuran por cada subproceso y para cada método. Dentro de esta
parametrización se deben configurar los tiempos establecidos para que las personas cumplan con el desarrollo de las
actividades en el sistema, de aquí dependerá la generación de las alertas.
Semáforo de Cumplimiento:Parametrización de los posibles valores con los que se puede calificar el cumplimiento de
las acciones. Esta calificación dependerá del porcentaje de avance vs la fecha de vencimiento del compromiso. Actualmente se
tienen tres opciones: 0% (Rojo), 1% a 99% (Amarilla) y 100% (Verde).
Página 76
Ocurrencias, Observaciones u Oportunidades de Mejora de creación automática:corresponde a

los hallazgos u observaciones registrados en las auditorías tanto de Calidad como de Control Interno, para los cuales se indica la
necesidad de realizar tratamiento por medio de plan de acción a nivel de corrección, prevención o mejoramiento.Ocurrencias,
Observaciones u Oportunidades de Mejora de creación manual:corresponde a las iniciativas de mejoramiento que los usuarios
de cualquier área pueden registrar para ser tratadas por medio de un plan de acción. Esta opción también corresponde al
ingreso de la medición de los indicadores que los usuarios de cualquier área requieran tratar mediante planes de acción
(Análisis de Indicadores) Para este último caso, la ocurrencia corresponde al "Hecho".Cada ocurrencia, observación u
oportunidad de mejora bien sea de creación automática o manual, constará como mínimo con la siguiente información:
Tipo (Aplica solo para Calidad)
Código (Alfanumérico en el cuál la primeras dos letras representan el origen de la Ocurrencia, seguido por el año en el que se
registra en el sistema Ejemplo: "CI2014")
Clasificación (Opciones para seleccionar por medio de qué se va a tratar la ocurrencia, ejemplo: Acción Preventiva y/o
Correctiva, Acción de Mejora, Retos de Calidad)
Título
Descripción
Área
Proceso (No aplica paraocurrencias relacionadas con Análisis de Indicadores)
Subproceso (No aplica para ocurrencias relacionadas con Análisis de Indicadores)
Procedimiento (No aplica para ocurrencias relacionadas con Análisis de Indicadores)
Por cada ocurrencia registrada, se debe proporcionar como mínimo la siguiente información para el
Análisis de Causa:
Causa
Descripción
Tipo (Causa Raíz, Causa Potencial. Solo aplica para Calidad)Esta actividad solo aplica para
Ocurrencias con tratamiento por medio de Acción Correctiva y/o Acción Preventiva, y para
Ocurrencias relacionadas con Análisis de Indicadores, todas registradas bajo la Dirección de
Planeación.
Página 77
Se debe proporcionar como mínimo la siguiente información:Dirección de Planeación:Acción

Responsable
Fecha (Inicio y Fin)Dirección de Control Interno:Estrategia
Meta
Táctica (Acción)
Indicadores Asociados
Fecha (Inicio y Fin)
Responsable del Área
Responsable del SeguimientoFinalizada esta actividad, el auditor o emisor de la Ocurrencia,
Observación y Oportunidad de Mejora (según corresponda) revisa el Plan de Acción y Análisis de
Causa (Si aplica), y aprueba o rechaza el resultado. En el caso de rechazar el Plan de Acción y/o
Análisis de Causa, se deben especificar los ajustes que se consideren necesarios o las inconsistencias
detectadas y solicitar al Líder o Responsable del Subproceso implicado la realización de estas
modificaciones ajustes.Los Planes de Acción de Control Interno, deben además ser aprobados por el
Director de Control Interno y finalmente por el Directivo del Área implicada; si alguna de estas
aprobaciones no resulta positiva, se deben realizar los ajustes que se consideren necesarios, las
veces que sean necesarias. Cuándo el Plan de Acción esté finalmente aprobado por todos los
implicados en el proceso, y si las acciones aquí propuestas se encuentran mitigando ocurrencias
detectadas en una auditoría, se debe regresar al proceso de auditorías para dar luz verde a la
realización del Acta de Cierre de Auditoría
El responsable de la ejecución de la acción registra por cada acción, los avances que se tienen hasta
lograr el cierre o cumplimiento total (100%). El sistema debe proporcionar la visualización de todos
los avances que se registren contando como mínimo con la siguiente información:
Porcentaje de Ejecución (Si aplica según el código de la ocurrencia)
Descripción del Avance
Evidencias Adjuntas (si aplica).
Página 78
Si la evaluación de eficacia arroja un resultado negativo, se debe generar una tarea para que el Líder
o Responsable del Subproceso diseñe nuevamente un Plan de Acción teniendo en cuenta las
observaciones que le entregue la evaluación de eficacia realizada. El Plan de Acción que no resultó
eficaz se conserva como historial dentro del mismo registro de la Ocurrencia.Esta actividad solo
aplica para acciones correctivas y/o preventivas y para las acciones generadas por análisis de
indicadores, todas registradas bajo la Dirección de Planeación.
Para realizar esta actividad es necesario indicar la Criticidad (Alto, Medio, Bajo) y registrar los
atributos con los que cuenta el producto, ejemplo: lote, serie, Orden de Compra, Nombre del
Proveedor, entre otros.Por cada Reto de Calidad registrado debe indicarse el tratamiento que se le
dará al producto no conforme, para esto es necesario indicar: Disposición (Devolver, Reclasificar,
Reparar, etc.), Fecha (Inicio y Fin) y Responsable. Esta disposición registrada deberá cumplirse tal
cual lo indica el requerimiento REQ006 - Ejecutar Acciones.
Solo el administrador del sistema podrá eliminar o cancelar ocurrencias, observaciones u

oportunidades de mejora. La opción Eliminar da de baja definitivamente el registro del sistema; la
opción Cancelar solicita al usuario la justificación del porqué se quiere cancelar el registro del sistema
y lo conservará en estado "Cancelado" sin que genere alertas de cumplimiento.
Página 79
En el caso de las acciones que tienen su origen desde Control Interno, el sistema debe permitir el
registro del seguimiento indicando como mínimo:
Fecha del seguimiento
Resultado encontrado (Descripción + % de avance)
Evidencias Importantes (Adjuntarlas si es necesario)Ingresada esta información se califica el estado
de la acción de manera automática y de acuerdo a los siguientes criterios:
Verde (Finalizado- 100%; Peso = 3)
Amarillo (En Ejecución - De 1% a 99%; Peso = 2)
Rojo (Vencida - 0%; Peso = 1)Esta semaforización deberá agruparse por subprocesos calculando el
promedio ponderado de las acciones de acuerdo con el peso que represente su estado, de manera tal
que si un subproceso tiene 2 acciones en verte, 1 acción en amarillo y 2 acciones en rojo, su
semaforización se calcularía de la siguiente manera:3 (Acción en verde) + 3 (Acción en verde) + 2
(Acción en amarillo) + 1 (Acción en rojo) + 1 (Acción en rojo) = 10 (Sumatoria del peso de las
acciones del subproceso) / 5 (Total de acciones en el subproceso) = 2 (Subproceso en Amarillo).
La semaforización debe visualizarse como reporte gráfico sobre el mapa de procesos de la Empresa
mientras que la información de los seguimientos realizados deberá visualizarse a manera de matriz,
ojalá en integración con Excel.En el caso de las acciones que se ejecutan como tratamiento a
ocurrencias registradas bajo la Dirección de Planeación, estas ya traen su avance porcentual de
acuerdo con la ejecución que va registrando cada usuario responsable de la acción en el sistema. En
este caso, el sistema califica el estado de la acción desde el primer momento en que se registra un
avance en la ejecución, y el seguimiento solo consistirá en revisar el estado de las acciones y concluir
textualmente (si se quiere). Se deben aplicar las mismas reglas de calificación de estados
(semaforización) detalladas anteriormente para las acciones de Control Interno.
Las principales consultas con las que se debe contar a nivel de Planes de Acción son:Acciones por
Tipo de Auditoría: Número de acciones abiertas y cerradas por cada tipo de auditoría
realizada.Acciones por Área:Número de acciones abiertas y cerradas por área.Acciones por
Subprocesos:Número de acciones abiertas y cerradas por subprocesos.Acciones por Estados:Filtro
de acciones de acuerdo con los posibles estados "Finalizado", "En ejecución" y "Vencida".
Página 80
AJUSTES A LOS CRITERIOS
Se requiere parametrización a nivel de:Clasificación de Acciones:Opciones para seleccionar por medio de qué se va a tratar la
ocurrencia. Se requiere crear, modificar, eliminar la clasificación de acciones, constarán de un identificador y nombre, ejemplo: AC-Acción
Preventiva, AP-Acción Correctiva, AM-Acción de Mejoramiento, CC-Corrección, RC-Retos de Calidad (Producto no Conforme). Además se requiere
que el sistema genere un consecutivo por cada tipo de acción. Desde esta opción se configura el comportamiento de cada uno de los métodos
definidos, por ejemplo, si aplica aprobación de análisis de causa, plan de acción y verificación de eficacia. Para los Retos de Calidad también se
requiere la misma administración de las disposiciones que se utilizarán, éstas deben contar con la siguiente información:
Identificador
Nombre
Ejemplo: AC-Aceptar, DR-Derogar, SC-Suspender calibración, DS-Desechar, DV-Devolver, RC-Reclasificar, RR-Reparar, RE-Reanudar ensayo, RP-
Reprocesar, RT-Retirar, RZ-Rechazar, SE-Suspender ensayo.
Máscaras de Identificación (Código, Área, Proceso, Subproceso):Código alfanumérico en el cuál las primeras letras
representan la auditoría de origen de la Observación/Hallazgo, seguido por el año en el que se registra en el sistema y en algunas ocasiones
seguido por las siglas de un enfoque especial de la auditoría; ejemplo: "CI-2014" =Observación u Oportunidad de Mejora registrada por Control
Interno (CI) en el año 2014. "CI-2014-TI" = Observación u Oportunidad de Mejora registrada por Auditorías a Tecnologías de la Información (TI) en
el año 2014.
Para la identificación del Área, Proceso y subproceso es la abreviatura del nombre de éstas; ejemplo:Área:“SFA” = Subgerencia financiera y
administrativaProceso:“GF” = Gestión financieraSubproceso:“COS” = Gestión de costos
Criticidad:Opciones de administración (crear, modificar, eliminar) de criticidad para la identificación de la ocurrencia. Ejemplo: Baja, Media,
Alta. El registro de la criticidad contará con la siguiente información:
Criticidad
Página 81
Tipo de Causa:Opciones de tipos de causa para la identificación de la ocurrencia, se requiere administrar (crear,consultar,eliminar) los tipos
de causa. Ejemplo: En este caso se utiliza la clasificación de las 8 emes (Manejo, Mano de Obra, Maquinaria, Materiales, Medición, Medio
Ambiente, Método, Moneda). El registro de los tipos de causa contará con la siguiente información:
Nombre
Grupo de Control:Grupos de funcionarios dispuestos por área, para los cuáles se definirá posteriormente el flujo de proceso de acuerdo a
cada método creado en la clasificación. El grupo de control contará como mínimo con la siguiente información.
Identificador
Nombre del grupo de control
Responsable
Área
Función
Usuario
Página 82
Flujo del Proceso:Definición de los responsables de cada una de las actividades desde la identificación de la ocurrencia hasta la aprobación
de la eficacia (si aplica). Estos flujos se configuran por cada subproceso y para cada método. Dentro de esta parametrización se deben configurar
los tiempos establecidos para que las personas cumplan con el desarrollo de las actividades en el sistema, de aquí dependerá la generación de las
alertas. El flujo de proceso contará como mínimo con la siguiente información:
Identificador
Flujo de procesos
Método (Clasificación)
Líder
Área de ocurrencia
Grupo de control
Planes de acción
Planificación, Aprobación, Seguimiento, Acompañamiento
Área
Función
Usuario
Plazo
Eficacia
Aprobación
Área
Función
Usuario
Plazo
Semáforo de cumplimiento:Parametrización de los posibles valores con los que se puede calificar el cumplimiento
de las acciones. Esta calificación dependerá del porcentaje de avance vs la fecha de vencimiento del compromiso.
Actualmente se tienen tres opciones: 0% (Rojo), 1% a 99% (Amarilla) y 100% (Verde).
Página 83
Ocurrencias, Observaciones u Oportunidades de Mejora de creación automática:corresponde a los hallazgos u

observaciones registrados en las auditorías tanto de Calidad como de Control Interno o seguimientos especiales como Mte, ESP, Plan anti-
corrupción, para los cuales se indica la necesidad de realizar tratamiento por medio de plan de acción a nivel de corrección, prevención o
mejoramiento.Ocurrencias, Observaciones u Oportunidades de Mejora de creación manual:corresponde a las iniciativas de mejoramiento que los
usuarios de cualquier área pueden registrar para ser tratadas por medio de un plan de acción, también los hallazgos dejados en firme en el
informe final por entes de control y regulación, revisoría fiscal.
Esta opción también corresponde al ingreso de la medición de los indicadores que los usuarios de cualquier área requieran tratar mediante planes
de acción (Análisis de Indicadores) Para este último caso, la ocurrencia corresponde al "Hecho".Cada ocurrencia, observación u oportunidad de
mejora bien sea de creación automática o manual, constará como mínimo con la siguiente información:Dirección de Planeación:Identificador de la
ocurrencia
Clasificación (Opciones para seleccionar por medio de qué se va a tratar la ocurrencia, ejemplo: Acción Preventiva, Acción Correctiva, Acción de
Mejora, Retos de Calidad)
Etapa
Identificación de la ocurrencia
Ejecución
Verificación de la Eficacia
Cerrado
Titulo
Fecha (Automática)
Área de ocurrencia
Descripción/Ocurrencia
Responsable, Área, Fecha creación, Fecha modificación
Por cada ocurrencia registrada, se debe proporcionar como mínimo la siguiente información para el Análisis de
Causa:
Descripción
Tipo de causa (8 emes)Esta actividad solo aplica para Ocurrencias con tratamiento por medio de Acción Correctiva
y/o Acción Preventiva, y para Ocurrencias relacionadas con Análisis de Indicadores, todas registradas bajo la
Dirección de Planeación.
Página 84
Se debe proporcionar como mínimo la siguiente información:Dirección de Planeación:Acción

Responsable
Fecha (Inicio y Fin)
Proceso
Como lo hace
Donde lo hace
Porqué lo haceDirección de Control Interno:Código (Alfanumérico en el cuál la primeras dos letras representan el
origen de la Ocurrencia u Observación, seguido por el año en el que se registra en el sistema Ejemplo: "CI-2014")
Área (Diferencias direcciones o subgerencias)
ProcesoSubproceso
Observación
EstrategiaMeta
Táctica (Acción)
Indicadores Asociados
Fecha Inicio
Fecha Final
Responsable
Responsable del Seguimiento
Semaforizacion
Seguimiento
Avances porcentuales
ObservacionesEl sistema debe permitirle al usuario asociar las causas que desea atacar con el plan de acción
respectivo, como mínimo debe atacar una causa, también se puede dar el caso de atacar todas las causas.Finalizada
esta actividad, el auditor o emisor de la Ocurrencia, Hallazgo, Observación y Oportunidad de Mejora (según
corresponda) revisa el Plan de Acción y Análisis de Causa (Si aplica), y aprueba o rechaza el resultado. En el caso de
rechazar el Plan de Acción y/o Análisis de Causa, se deben especificar los ajustes que se consideren necesarios o las
inconsistencias detectadas y solicitar al Líder o Responsable del Subproceso implicado la realización de estas
modificaciones o ajustes.Las notificaciones de aprobación o rechazo y de las acciones próximas a vencer deben ser
enviadas al correo electrónico y al perfil del usuario correspondiente.Los Planes de Acción de Control Interno, deben
además ser aprobados por el Directivo del área implicada y finalmente por Director de Control Interno; si alguna de
estas aprobaciones no resulta positiva, se deben realizar los ajustes que se consideren necesarios, las veces que sea
necesario.
Cuándo el Plan de Acción esté finalmente aprobado por todos los implicados en el proceso, y si las acciones aquí
propuestas se encuentran mitigando ocurrencias detectadas en una auditoría, se debe regresar al proceso de
auditorías para dar luz verde a la realización del Acta de Cierre de Auditoría.
El responsable de la ejecución de la acción registra por cada acción, los avances que se tienen hasta lograr el cierre
o cumplimiento total (100%). El sistema debe proporcionar la visualización de todos los avances que se registren
contando como mínimo con la siguiente información:
Porcentaje de Ejecución (Si aplica según el código de la ocurrencia)
Fecha
Descripción del Avance
Evidencias Adjuntas (si aplica). Ejemplo, fotos, documentos, videos.
Página 85
Si la evaluación de eficacia arroja un resultado negativo, se debe generar una tarea para que el Líder o Responsable
del Subproceso diseñe nuevamente un Plan de Acción o realice una corrección al plan de acción presentado,
teniendo en cuenta las observaciones que le entregue la evaluación de eficacia realizada. El Plan de Acción que no
resultó eficaz se conserva como historial dentro del mismo registro de la Ocurrencia.
Para evaluar la eficacia se requiere como mínimo con la siguiente información:
Fecha
Eficacia (Si, No)
ObservacionesEsta actividad solo aplica para acciones correctivas y/o preventivas y para las acciones generadas por
análisis de indicadores, todas registradas bajo la Dirección de Planeación.
Para realizar esta actividad es necesario indicar la Criticidad (Alto, Medio, Bajo) y administrar (crear, eliminar,
modificar) los atributos con los que cuenta el producto, ejemplo: lote, serie, Orden de Compra, Nombre del
Proveedor, entre otros. Los atributos deben contar con la siguiente información:
Identificador
Nombre
ValorPor cada Reto de Calidad registrado debe indicarse el tratamiento que se le dará al producto no conforme, para
esto es necesario indicar: Disposición (Devolver, Reclasificar, Reparar, etc.), Fecha (Inicio y Fin) y Responsable. Esta
disposición registrada deberá cumplirse tal cual lo indica el requerimiento REQ006 - Ejecutar Acciones.
Para el registro del reto de calidad se requiere como mínimo la siguiente información:
identificador de la ocurrencia
Título
Clasificación
Fecha
Área de ocurrencia
Criticidad
Descripción
Atributo
Emisor, Área, Fecha de creación, Fecha de modificación
Disposición
Responsable del Plan de acción, Área, fecha (inicio y fin),
N/A
Página 86
En el caso de las acciones que tienen su origen desde Control Interno, el sistema debe permitir el registro del
seguimiento indicando como mínimo:
Fecha del seguimiento
Resultado encontrado (Descripción + % de avance)
Evidencias Importantes (Adjuntarlas si es necesario)Si el responsable de realizar los ajustes indicados por el
evaluador de la eficacia, excede la fecha limite programada para el seguimiento, el sistema debe permitirle al
administrador ampliar el tiempo (días) para que responsable del estado de la acción realice los ajustes.Ingresada
esta información se califica el estado de la acción de manera automática y de acuerdo a los siguientes criterios:
Verde (Finalizado - 100%; Peso = 2)
Amarillo (En Ejecución - De 1% a 99%; Peso = 1)
Naranja(Sin avance - 0%; Peso = 0)
Rojo (Vencidas)La semaforización debe visualizarse como reporte gráfico sobre el mapa de procesos de la Empresa,
indicando:
Número de acciones sin avance
Número de acciones vencidas
Número de acciones con avance
Número de acciones finalizadasMientras que la información de los seguimientos realizados deberá visualizarse a
manera de matriz, ojalá en integración con Excel.
Se requiere que el sistema genere notificaciones a los responsables de ejecutar las acciones, responsable de
seguimiento, al director de Control Interno y al Directivo del Área, al correo electrónico y al perfil del usuario.En el
caso de las acciones que se ejecutan como tratamiento a ocurrencias registradas bajo la Dirección de Planeación,
estas ya traen su avance porcentual de acuerdo con la ejecución que va registrando cada usuario responsable de la
acción en el sistema. En este caso, el sistema califica el estado de la acción desde el primer momento en que se
registra un avance en la ejecución, y el seguimiento solo consistirá en revisar el estado de las acciones y concluir
textualmente (si se quiere). Se deben aplicar las mismas reglas de calificación de estados (semaforización)
detalladas anteriormente para las acciones de Control Interno.
Las principales consultas con las que se debe contar a nivel de Planes de Acción son:Acciones por Tipo de
Auditoría: Número de acciones abiertas y cerradas por cada tipo de auditoría realizada.Acciones por Área:Número
de acciones abiertas y cerradas por área.Acciones por Subprocesos:Número de acciones abiertas y cerradas por
subprocesos.Acciones por Estados:Filtro de acciones de acuerdo con los posibles estados "Finalizado", "En
ejecución" y "Vencida".Criterios de información:identificador de la ocurrencia, periodo de la ocurrencia, Etapa,
clasificación, Emisor, Criticidad.
Página 87
Página 88
12 22 10

Requisitos Proyectos APS 2018-2

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Requisitos Proyectos APS 2018-2

Caricato da

Copyright:

Formati disponibili

GUÍA PARA LA LECTURA

ÍTEMS DE LA MATRIZ COMPARATIVA

La gestión de Auditorías requiere la definición

1.2 REQ002 – El plan anual de auditoría es el documento

La realización de una auditoría, ya sea de

1.11 REQ005 – Corresponde a la fase de Programación y

Una semana antes de llegar la fecha de

La Planeación corresponde a la segunda fase de la

1.14 REQ009 - Corresponde a la segunda actividad de la fase

Corresponde a la cuarta actividad de la fase

Corresponde a la actividad complementaria de

1.9 REQ015 - Actividad por medio de la cual el auditor

Corresponde a la primera actividad de la fase de Cierre que

Corresponde a la segunda actividad

Corresponde a la tercera y última

Se requiere parametrización a nivel de:Criterios y Requisitos de Auditoría:Base documental para la

Se requiere la visualización de la programación de todas las auditorías de control interno que se

Se debe poder ingresar más de una observación en cada papel de trabajo.

El Acta de Cierre debe especificar la siguiente información:

Se debe ingresar con el id de la auditoría y diligenciar el formulario de la encuesta. La encuesta debe

Se debe mostrar el identificador de la auditoría asociada al procedimiento para el cual se

El papel de trabajo consta de la información correspondiente al procedimiento de verificación

Al terminar el papel de trabajo este debe poder guardarse e imprimirse.

Se debe elaborar un papel de trabajo por cada procedimiento de verificación o prueba.

El acta de cierre debe incluir la siguiente información:

Fecha de Cierre, que debe calcularse automáticamente.

Se debe poder agregar observaciones al final del acta.

La gestión de Auditorías requiere la definición

La realización de una auditoría, ya sea de

Subir al sistema todas las auditorías listadas y aprobadas

Una semana antes de llegar la fecha de

Corresponde a una de las actividades de

Corresponde al registro de los hallazgos u

El Cierre corresponde a la cuarta y última fase

Corresponde a la segunda actividad de la fase

Actividad por medio de la cual el auditor

Corresponde a la tercera y última actividad de

La gestión de Auditorías requiere la configuración

Es importante que, por ser esta la primera actividad de

Se requiere parametrización a nivel de:Criterios y Requisitos de

Estas auditorías se deben poder modificar o eliminar. También se debe

Se debe poder hacer seguimiento a estas en una mirada, saber cuáles

Es importante poder cargar los documentos originales en formato .pdf

Se debe poder visualizar, a manera de calendario informativo, las fechas

El sistema debe garantizar que se siga el adecuado flujo de trabajo de la

Se debe ingresar como mínimo la siguiente información: identificador, nombre, categoría,

Al programar una auditoría, el sistema deberá validar que no exista otra

El sistema debe permitir cargar el plan de auditoría de los auditores

Finalizada la programación de la auditoría, el sistema deberá permitir

Se requiere la visualización de la programación de todas las auditorías de

También se debe poder visualizar, a manera de calendario informativo, las

De igual manera, se requiere permitir realizar cambios sobre las fechas

Auditoría de Calidad:el auditor selecciona los criterios y requisitos de

Luego el auditor debe poder programar la actividad que realizará en la

Se requiere la visualización de las auditorías de calidad que están

Auditorías de Calidad:El auditor ingresa en el sistema los hallazgos u

Para cada hallazgo se debe poder registrar el tipo de hallazgo, el

Los hallazgos están clasificados como fortaleza, conformidad, no

Se debe poder asociar más de un hallazgo por cada requisito.

Los hallazgos se deben poder guardar asociados al requisito.

Finalizada esta actividad, se deben poder tomar los hallazgos de tipo no

Se requiere la visualización de las auditorías de calidad que están

Se requiere además la visualización de las auditorías de calidad que fueron