Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Página 1
Nombre Ajustes a la
Descripción Requisito
requisito Descripción
1.24 REQ020 –
Visualizar Se requiere poder visualizar las auditorías que
Auditorías según hayan sido programadas para cada subproceso
el Mapa de en el mapa de procesos de manera interactiva.
Procesos
1.26 REQ021 –
Diligenciar Se requiere poder diligenciar en el sistema la
Encuesta de encuesta de satisfacción de los funcionarios
Satisfacción auditados con el proceso de la auditoría.
(Control Interno)
Criterios de Aceptación
Se debe ingresar el plan de auditorías anual que ha sido aprobado por la Gerencia. Para ello, para cada
auditoría se asigna manualmente el código identificador de la auditoría, el nombre, se elige el tipo de
auditoría (Calidad - SIGC o Control Interno – CI), el tipo de equipo auditor (Auditoría externa o interna), la
fecha de inicio, la fecha de finalización y la periodicidad de la auditoría.
Estas auditorías se deben poder modificar o eliminar. También se debe poder incluir nuevas auditorías al
plan.
Se debe poder hacer seguimiento a estas en una mirada, saber cuáles están programadas y cuáles aún
están pendientes. Para las que están en curso de debe poder revisar el porcentaje de avance que se tiene.
Este avance debe calcularse por el número de actividades realizadas sobre las programadas por cada fase.
Es importante poder cargar los documentos originales en formato .pdf firmados por el Gerente.
Se debe poder visualizar, a manera de calendario informativo, las fechas de inicio para las auditorías
programadas para el mes actual. También es importante poder visualizar si una auditoría ya ha sido
programada o aún está pendiente por su programación en el área correspondiente, ya sea Calidad o
Control Interno, esto con fines de facilitar el seguimiento.
El sistema debe garantizar que se siga el adecuado flujo de trabajo de la auditoría, por lo que no puede
pasarse a una fase sin haber terminado completamente la anterior.Es importante que el flujo de trabajo
sea fácilmente visualizable en la aplicación.
Se debe ingresar como mínimo la siguiente información: identificador, nombre, categoría, grupo responsable, objetivos, alcance,
descripción, criterio de auditoría, fecha de realización (inicio y fin), grupo auditor, área, proceso, subproceso y procedimiento (si
aplica) a auditar y su correspondiente responsable, ámbito (rango de tiempo sobre el cual se realizará la auditoría).Al programar una
auditoría, el sistema deberá validar que no exista otra auditoría programada para la misma área en el mismo tiempo; en caso de
presentarse esta situación, el sistema deberá solicitar al usuario programar la auditoría para otra fecha.Se requiere la visualización de
la programación de las auditorías a manera de cronograma en el que se puedan consultar las fechas que fueron programadas vs las
fechas en las que realmente se realizó cada auditoría y su porcentaje de avance.De igual manera, se requiere permitir realizar cambios
sobre las fechas programadas en caso de que así se requiera. Las modificaciones que se realicen se deben informar mediante correo
electrónico a todos los interesados y deberán validarse de manera tal que no se crucen con alguna otra auditoría previamente
programada.Finalizada la programación de las auditorías, el sistema deberá enviar un correo electrónico a todas las personas
interesadas (auditores y auditados), permitiendo al usuario que ejecuta la socialización, el ingreso de observaciones o aspectos a tener
en cuenta.
Se debe ingresar la siguiente información: identificador de la auditoría, nombre, tipo de auditoría (Control
Interno), categoría, responsable de la auditoría, fecha de realización (inicio y fin), objetivos, alcance,
descripción, área, proceso, subproceso y procedimiento a auditar (si aplica) y su correspondiente
responsable, personas auditadas y grupo auditor.
El grupo auditor debe ser conformado por las personas que ejercerán cada uno de los posibles roles dentro
de la auditoría. Estos roles son: Auditor líder, experto técnico, acompañante y auditor en capacitación. A
cada persona se le debe asignar el rol que ejercerá.
Para las auditorías externas, se deben poder asignar los auditores de uno o varios de los grupos de
auditores externos que deben haber sido configurados previamente.
Finalizada la programación de la auditoría, el sistema deberá permitir guardar la información y enviarla
para autorización por parte de la Dirección de Control Interno, quien podrá autorizarla o devolverla para
ajustes. Si se devuelve para ajustes, la Dirección de Control Interno deberá poder ingresar las
observaciones respectivas, las cuales deberán poder verse cuando se vaya a ajustar la programación. Una
vez realizados los ajustes se envía de nuevo a autorizar, y así hasta que esté autorizado. Cuando la
programación es autorizada, el sistema envía automáticamente una notificación y un correo electrónico a
todas las personas interesadas (auditores y auditados).
También se debe poder visualizar, a manera de calendario informativo, las fechas de inicio para las
auditorías programadas para el mes actual.
De igual manera, se requiere permitir realizar cambios sobre las fechas programadas en caso de que así
se requiera, acción que sólo podrá realizar la Dirección de Control Interno a solicitud del auditor. Las
modificaciones que se realicen se deben informar mediante correo electrónico a todos los interesados y
deberán validarse de manera tal que no se crucen con alguna otra auditoría programada previamente.
El recordatorio automático enviado por el sistema deberá contener la información general de la auditoría a
realizar. Para las auditorías de Control Interno, encaso de no iniciarse el proceso de auditoría, debe
enviarse un mensaje a la Dirección de Control Interno informando que no se ha dado inicio a la auditoria.
El sistema debe garantizar que se siga el adecuado flujo del proceso, por lo que no puede pasarse a una actividad sin haber terminado
completamente la anterior.
Se requiere además la visualización de las auditorías de control interno que están programadas, de tal manera que se pueda hacer
seguimiento fácilmente a cada una de las actividades que conforman la fase de planeación. Se debe visualizar si ya se cumplió con la
primera actividad o está pendiente. Si ya se cumplió, debe mostrar la siguiente actividad y decir si ya se cumplió o está pendiente;
debe mostrar también si alguna actividad está pendiente por autorización (en las que aplique) y si ya fue autorizado, evidenciando de
esta manera el flujo del proceso. También es importante poder ver desde allí la información de cada actividad, una vez esta ha sido
finalizada.
Se requiere que el Entendimiento del Proceso lo realice el Auditor directamente sobre el sistema, de
manera tal que pueda consignar la siguiente información y como resultado generar un documento:
Proceso
Dueño del Proceso
Participantes en el Proceso
Entrevistados y fecha de entrevista
Objetivo del Proceso
Factores Críticos de Éxito
Indicadores Clave de Desempeño
Inicio del Proceso
Fin del Proceso
Principales Actividades
Entradas/Proveedor
Salidas/Cliente
Sistemas de Información que habilitan el proceso
Riesgos del Proceso
Controles Clave Relacionados con los Riesgos del Proceso
Normas que regulan el proceso
Otra Información Relevante del Proceso
Persona que Prepara y Persona que RevisaEsta actividad solo aplica para auditorías de Control Interno.
Se debe mostrar la información básica de la auditoría: código de identificación, fecha de inicio, fecha de
finalización, la versión del plan de trabajo, proceso, dueño del proceso, principales actividades del proceso,
sistemas de información que habilitan el proceso, objetivos y alcance de la auditoría.
El auditor ingresa uno a uno los procedimientos de verificación (Pruebas) que aplicará en la auditoría. Por
cada procedimiento se indica la referencia o código de la prueba, la persona que lo preparó, la fecha inicial
y final estipulada para la prueba y la duración de esta, que deberá poderse programar en horas y días.
Finalizado el ingreso de los procedimientos, el sistema deberá permitir guardar el plan y enviarlo para
autorización por parte de la Dirección de Control Interno, quien podrá autorizarlo o devolverlo para
ajustes. Si se devuelve para ajustes, la Dirección de Control Interno deberá poder ingresar las
observaciones respectivas, las cuales deberán poder verse cuando se vaya a ajustar el plan de trabajo.
Una vez realizados los ajustes se envía de nuevo a autorizar, y así hasta que esté autorizado.
Deberán poderse agregar o eliminar procedimientos de verificación hasta que el plan sea autorizado.
Después de este momento sólo podrá consultarse.
Es necesario que el sistema controle el versionamiento de los Planes de Trabajo que se realicen. Las
versiones obedecen al número de veces que ha sido modificado el plan debido a que fue devuelto para
ajustes. La última versión será la que sea autorizada.
La elaboración de los Papeles de Trabajo debe ser directamente sobre el sistema y de forma coherente con
la definición del Plan de Trabajo. Se debe detallar prueba por prueba indicando como mínimo la siguiente
información: Número o Referencia de la Prueba, Objetivo, Procedimiento (pasos que detallan como se
realizará la prueba), y Tipo de Muestra.En los Papeles de Trabajo se incluye el formato solicitado por el
Sistema de Gestión de Riesgos para conocer el estado de los controles operativos asociados a los
procedimientos auditados (Testeo).Anexo 3.Esta actividad solo aplica para auditorías de Control Interno.
El sistema debe traer los riesgos asociados al proceso/subproceso objeto de la auditoría, y los controles
que previamente se han definido para cada uno de esos riesgos. De estos controles se deben poder elegir
aquellos que serán evaluados, y de estos últimos interesa conocer sus respectivos códigos y descripciones.
Debe ser posible agregar y quitar controles a la lista de controles que se evaluarán en la auditoría.
Una vez terminada la lista de controles, esta debe poder guardarse e imprimirse.
El sistema debe cargar todos los papeles de trabajo elaborados en la fase de Planeación. De ellos interesa
la referencia y el nombre del procedimiento. También interesa poder visualizar fácilmente si el papel de
trabajo ya ha sido diligenciado o está pendiente, así como poder evidenciar cuáles de los papeles
elaborados faltan por registro.
El auditor debe poder elegir el procedimiento de verificación o prueba para el cual registrará las
observaciones. Al elegirlo, el sistema debe cargar toda la información que se ingresó en la actividad de
elaboración de papeles de trabajo en la fase de planeación. El auditor debe poder ingresar un resultado a
manera de una observación general acerca de la prueba ejecutada.
El auditor también debe poder ingresar las observaciones encontradas en la ejecución de la auditoría, para
ellos, por cada observación, debe ingresar el responsable de la observación, la descripción de la
observación, la descripción de las evidencias sobre la observación, y si es del caso, se debe poder adjuntar
la evidencia.
Se debe poder guardar el papel de trabajo con todas las observaciones asociadas. También debe poder
imprimirse. Es importante que el papel de trabajo pueda editarse en su punto de resultados, así como
deben poderse eliminar o agregar observaciones.
Se requiere la visualización de las auditorías de control interno que están planeadas, de tal manera que se
pueda observar fácilmente si ya se diligenciaron todos los papeles de trabajo o si todavía están pendientes
por registrar, así como poder ver la información registrada en cada uno de ellos.
Las observaciones que se registren en los papeles de trabajo se deben poder gestionar posteriormente en
el módulo de Planes de Acción.
Esta fase termina cuando se han diligenciado todos los papeles de trabajo que se elaboraron en la fase de
planeación.
El sistema debe cargar todos los controles que fueron elegidos para evaluar en la fase de Planeación. De
ellos interesa código del control y del riesgo asociado, y la descripción del control y del riesgo asociado.
También interesa poder visualizar fácilmente si el testeo de controles ya ha sido realizado para cada
control o si está pendiente, así como poder evidenciar cuáles controles faltan por evaluación.
El auditor debe poder elegir un control, y al elegirlo, el sistema debe cargar toda la información que se
ingresó de este en la fase de planeación. El auditor debe poder ingresar el detalle de la prueba ejecutada,
la evidencia del control, indicar si cumple o no con el objetivo, y una conclusión final de la evaluación del
control.
En caso de ser necesario, debe poder ingresarse una propuesta de nuevo control, para lo cual se deberá
ingresar el nombre del nuevo control, el responsable de elaborarlo y la fecha en la que deberá estar listo.
Se debe poder guardar toda la información del control. Así como debe poder visualizarse e imprimirse, a
manera de matriz, la información de todos los controles. También deben poder ser modificados.
Se requiere poder visualizar si hay un testeo de controles planeado, y si es así, se debe poder ver si ya fue
diligenciado o está pendiente, así como poder ver la información registrada para este.
Las conclusiones que se registren para cada control en el testeo de controles, se deben poder gestionar
posteriormente en el módulo de Gestión de Riesgos.
El sistema debe garantizar que se siga el adecuado flujo del proceso, por lo que no puede pasarse a una actividad sin haber terminado
completamente la anterior.
Se requiere además la visualización de las auditorías de control interno que fueron ejecutadas, de tal manera que se pueda hacer
seguimiento fácilmente a cada una de las actividades que conforman la fase de cierre. Se debe visualizar si ya se cumplió con la
primera actividad o está pendiente. Si ya se cumplió, debe mostrar la siguiente actividad y decir si ya se cumplió o está pendiente;
debe mostrar también si alguna actividad está pendiente por autorización (en las que aplique) y si ya fue autorizado, evidenciando de
esta manera el flujo del proceso. También es importante poder ver desde allí la información de cada actividad, una vez esta ha sido
finalizada.
El sistema debe permitir al auditor generar un reporte o informe que contenga: información básica de la
auditoría, hallazgos, ocurrencias y calificación registrada.Los informes de Auditorías de Control Interno
deben pasar por aprobación del Director antes de proceder a realizar la socialización con los responsables
del área auditada; en caso de no aprobar el informe, se solicita al auditor realizar los ajustes pertinentes y
pasar nuevamente el informe para aprobación.
El sistema debe permitir al auditor generar un informe que contenga la fecha en que se genera el informe, la información de la
auditoría que se ingresó en la fase de programación y en la fase de planeación, específicamente en la actividad de entendimiento del
proceso, la información de cada uno de los papeles de trabajo, y cada uno con sus correspondientes observaciones, y la matriz
generada en el testeo de controles si este fue incluido. Este informe también debe tener la posibilidad de ingresar algunas
observaciones generales antes de finalizarlo.
Una vez terminado, el informe debe ser guardado y enviado a aprobación por parte de la Dirección de Control Interno; en caso de no
ser aprobado el informe, se solicita al auditor realizar los ajustes pertinentes y pasar nuevamente el informe para aprobación. Si se
devuelve para ajustes, la Dirección de Control Interno deberá poder ingresar las observaciones respectivas, las cuales deberán poder
verse cuando se vaya a ajustar el informe.
Este informe debe poderse imprimir para ser firmado por los auditores que participaron de la auditoría.
Se requiere que el sistema proporcione la visualización del Informe de Auditoría a manera de formulario,
en el que se puedan registrar punto a punto el resultado de la socialización y en donde se permita
adicionar evidencias o realizar aclaraciones sobre cada hallazgo u observación relacionada. Se requiere
también registrar la fecha y hora de la socialización.Finalizada esta actividad, se trasladan las ocurrencias
al módulo de Acciones para realizar los Planes de Acción, para desde allí gestionar las actividades
(acciones) que sean necesarias con los líderes de los procesos o funcionarios auditados.
Se debe ver el mapa de procesos con sus respectivos subprocesos, y con cada uno de ellos las respectivas
auditorías programadas, ya sean de Calidad o de Control Interno, de manera tal que si el usuario desea
ver el detalle de la auditoría programada o en curso, pueda hacerlo haciendo click sobre el subproceso y
se despliegue la información básica de la auditoría: código de identificación, nombre, fecha de inicio y
finalización, estado actual (fase y actividad en la cual se encuentra) y porcentaje de avance.
El mapa debe ser navegable, es decir, se puede entrar en el detalle y volver a salir al mapa.
1. Tipos de Auditoría:Las auditorías se dividen en dos grupos: las del Sistema Integrado de
Gestión y Calidad (SIGC) y las de Control Interno (CI). A su vez cada grupo tiene unos tipos
de auditorías que deben poder configurarse. De ellos se necesita registrar el identificador del
tipo de auditoría, el nombre del tipo y la descripción del mismo.2. Grupo Auditor:Si las
auditorías son externas, estas son ejecutadas por entidades externas. Estas deben registrarse
en el sistema como Grupos Auditores, de las que interesa conocer la entidad que presta el
servicio, se le debe dar un nombre al grupo auditor y debe ingresarse una descripción de este
grupo. Este grupo deberá conformarse por auditores externos que deben haber sido
registrados previamente en el sistema de información.3. Tipos de equipo auditor:El equipo
auditor puede ser interno o externo. Si es interno, este se debe poder conformar por
auditores internos que deben estar registrados como tales previamente en el sistema de
información. Si es externo, debe poderse elegir el grupo auditor y de este grupo, se deben
poder elegir los auditores que deben haber sido registrados previamente en el sistema de
información.4. Auditores:De todos los auditores, tanto internos como externos, se deben
incluir en el sistema todos los datos personales, profesionales, de experiencia y el nivel del
auditor. Se debe indicar cuando es externo.5. Nivel de los auditores:Se deben poder
ingresar los diferentes niveles que pueden tener los auditores.6. Periodicidad de las
auditorías:Se debe poder configurar las diferentes unidades de tiempo en las que se puede
expresar la periodicidad de las auditorías.7. Unidades de tiempo:Se debe poder configurar
las unidades de tiempo en las que se puede medir la duración de las diferentes actividades
propias de la auditoría.8. Categoría de las auditorías:Se deben poder ingresar las
diferentes categorías de las auditorías. De estas se debe poder ingresar el nombre, si es de
Control Interno o del Sistema Integrado de Gestión y Calidad y de qué parte es (1° parte, 2°
parte en proveedor, 2° parte en cliente o de 3° parte). A esta también van asociadas las
escalas de calificación de la auditoría, pues dependiendo de esta es la escala que se utilice.9.
Criterios y Requisitos de Auditoría:Son la base documental para la realización de las
auditorías de Calidad, y corresponde a todos los diferentes Criterios o Normas que se pueden
evaluar, y sus correspondientes Requisitos o numerales de la norma que, de acuerdo con
estas, pueden ser auditados en cada uno de los subprocesos de la Empresa. De cada criterio
es importante registrar el nombre y una descripción general de este. De cada requisito es
importante registrar el numeral que le corresponde de la norma, el nombre del requisito y el
detalle del numeral a manera de descripción.Es importante tener en cuenta que no se podrán
eliminar criterios si tienen requisitos asociados y activos.10. Tipos de Hallazgo:Se deben
poder ingresar los tipos de hallazgos que pueden tenerse en las auditorías de calidad, tales
como fortalezas, conformidades, observaciones y no conformidades.
Se requiere que el Entendimiento del Proceso sea realizado por el auditor directamente sobre
el sistema, de manera tal que pueda consignar la siguiente información manualmente y como
resultado debe generar un documento que contenga:Proceso
Dueño del Proceso
Participantes en el Proceso
Entrevistados y fecha de entrevista (Puede ser cualquier usuario del sistema.)
Objetivo del Proceso
Factores Críticos de Éxito
Indicadores Clave de Desempeño
Inicio del Proceso
Fin del Proceso
Principales Actividades
Entradas/Proveedor
Salidas/Cliente
Sistemas de Información que habilitan el proceso
Riesgos del Proceso
Controles Clave Relacionados con los Riesgos del Proceso
Normas que regulan el proceso
Otra Información Relevante del Proceso
Persona que Prepara y Persona que RevisaEste entendimiento del proceso debe poder
guardarse o imprimirse.
También es importante poder adjuntar el acta de apertura que se realiza con esta actividad, y
el flujograma del proceso o subproceso a auditar.
La elaboración de los Papeles de Trabajo debe ser directamente sobre el sistema y de forma
coherente con la definición del Plan de Trabajo.
Finalizada la elaboración de los papeles de trabajo, el sistema deberá permitir enviarlos para
autorización por parte de la Dirección de Control Interno, quien podrá autorizarlos o
devolverlos para ajustes. Si se devuelven para ajustes, la Dirección de Control Interno deberá
poder ingresar las observaciones respectivas, las cuales deberán poder verse cuando se
vayan a ajustar los papeles trabajo. Una vez realizados los ajustes se envían de nuevo a
autorizar, y así hasta que esté autorizado.
Es importante anotar que los papeles de trabajo son documentos que hacen parte del sistema
de gestión documental, por lo cual al imprimirse debe hacerse de acuerdo a los parámetros
que estipula el Sistema de Gestión de la Calidad.
Se requiere que el sistema cargue el informe de auditoría de control interno y permita
ingresar el resultado de la socialización, además que permita adicionar evidencias o realizar
aclaraciones sobre cada observación relacionada. Se requiere también registrar la fecha y
hora de la socialización.
Finalizada esta actividad, se deben poder tomar las observaciones desde los módulos de
Planes de Acción y Gestión de Riesgos, para desde allí gestionar las actividades (acciones)
que sean necesarias con los líderes de los procesos o funcionarios auditados.
Esta acta debe poder guardarse e imprimirse con la opción para colocar las firmas de quienes
corresponda.
Es importante anotar que el acta de cierre es un documento que hace parte del sistema de
gestión documental, por lo cual al imprimirse debe hacerse de acuerdo a los parámetros que
estipula el Sistema de Gestión de la Calidad.
Debe poder enviarse un correo electrónico a los auditados solicitando que diligencien la
encuesta de calificación de la auditoría. Allí se envía el enlace a la encuesta, más no se
diligencia la encuesta en este módulo.
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos filtros de
como parámetros de información se registren. Las consultas primordiales son:
Consultar Auditoría
Consultar Hallazgos u Observaciones
Consultar Encuestas de SatisfacciónReportes:El sistema debe permitir generar reportes
sobre toda la información registrada y de acuerdo a las consultas que se realicen. Los
reportes indispensables son:Informe de Avance de Auditorías:Comprende la información
contenida en el Plan de Anual de Auditorías más la de la fecha en la que se comenzó la
ejecución de la auditoría y el porcentaje de avance.Cronograma de Auditorías:Reporte en
donde se relaciona por cada auditoría la fecha inicial programada, la fecha modificada
(cuándo surge aplazamiento) y las fechas de ejecución. El Cronograma de Auditoria tiene
como objetivo realizar un control sobre el tiempo programado para el Plan Anual.Reporte de
auditoría de Calidad por criterio auditado:Se especifica toda la información general de la
auditoría, la información general del criterio seleccionado para el reporte, hallazgos, niveles
de conformidad y evidencias registradas.
Se requiere que los reportes sean proporcionados también a manera de gráficos, desde los
cuales los usuarios puedan seleccionar los filtros y por medio de la búsqueda graficar los
resultados.
Nombre requisito Descripción Requisito
1.8 REQ012 - Calificar Auditoría Actividad por medio de la cual el auditor califica
(Auditoría Calidad) la auditoría de Calidad realizada.
Actividad por medio de la cual el auditor genera
1.9 REQ013 - Generar Informe
el informe de auditoría que deberá ser
de Auditoría
socializado con el auditado.
El grupo auditor debe ser conformado por las personas que ejercerán cada
uno de los posibles roles dentro de la auditoría. Estos roles son: Auditor
líder, experto técnico, acompañante y auditor en capacitación. A cada
persona se le debe asignar el rol que ejercerá.
Para las auditorías externas, se deben poder asignar los auditores de uno o
varios de los grupos de auditores externos que deben haber sido
configurados previamente.
Una vez se han programado todas las actividades para los diferentes
criterios, este plan se debe poder guardar. Posteriormente podrán
eliminarse o agregarse actividades.
Esta fase termina cuando se han ingresado los hallazgos para la totalidad
de requisitos que se planeó auditar.
El sistema debe garantizar que se siga el adecuado flujo del proceso, por lo
que no puede pasarse a una actividad sin haber terminado completamente
la anterior.
El sistema debe permitir al auditor generar un informe que contenga la fecha en la que se
genera el informe, la información de la auditoría que se ingresó en la fase de programación, los
requisitos evaluados clasificados en los diferentes criterios, y cada uno con sus
correspondientes hallazgos, también deberá mostrar la calificación asignada. El informe debe
tener la posibilidad de ingresar algunas observaciones generales antes de finalizarlo.
Este informe debe poderse imprimir para ser firmado por los auditores que participaron de la
auditoría.
Buena: Máximo 10 NC
Regular: Entre 11 y 20 NC
Deficiente: Más de 20 NC
Finalizada esta actividad, se deben poder tomar las observaciones desde los
módulos de Planes de Acción y Gestión de Riesgos, para desde allí gestionar las
actividades (acciones) que sean necesarias con los líderes de los procesos o
funcionarios auditados.
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos
filtros de como parámetros de información se registren. Las consultas
primordiales son:
Consultar Auditoría
Consultar Hallazgos u Observaciones
Consultar Encuestas de SatisfacciónReportes:El sistema debe permitir generar
reportes sobre toda la información registrada y de acuerdo a las consultas que se
realicen. Los reportes indispensables son:Informe de Avance de
Auditorías:Comprende la información contenida en el Plan de Anual de
Auditorías más la de la fecha en la que se comenzó la ejecución de la auditoría y
el porcentaje de avance.Cronograma de Auditorías:Reporte en donde se
relaciona por cada auditoría la fecha inicial programada, la fecha modificada
(cuándo surge aplazamiento) y las fechas de ejecución. El Cronograma de
Auditoria tiene como objetivo realizar un control sobre el tiempo programado
para el Plan Anual.Reporte de auditoría de Calidad por criterio auditado:Se
especifica toda la información general de la auditoría, la información general del
criterio seleccionado para el reporte, hallazgos, niveles de conformidad y
evidencias registradas.
Página 33
Gr.C - Riesgos
Página 34
Gr.C - Riesgos
Parametrización del tratamiento que se le
REQ008 - CONFIGURAR POLÍTICA DE
debe dar a cada riesgo de acuerdo a su N/A
RIESGOS
valoración.
Opciones de tratamiento que se pueden
REQ009 - CONFIGURAR OPCIONES DE
seleccionar para nuevos controles o N/A
TRATAMIENTO Y NUEVO CONTROLES
controles en rediseño.
Parametrización de la frecuencia de
REQ010 – CONFIGURAR FRECUENCIA ejecución que se podrá seleccionar para el N/A
registro de nuevos controles.
Parametrización de los estados que se
REQ011 – CONFIGURAR ESTADO
podrán seleccionar para el monitoreo de N/A
PLANES DE TRATAMIENTO
los planes de tratamiento.
Página 35
Gr.C - Riesgos
REQ016 - Calificar el Riesgo Calificación del nivel del riesgo sin tener
Inherente en cuenta el efecto de los controles.
Página 36
Gr.C - Riesgos
Página 37
Gr.C - Riesgos
Página 38
Gr.C - Riesgos
Página 39
Gr.C - Riesgos
Página 40
Gr.C - Riesgos
Página 41
Gr.C - Riesgos
Página 42
Gr.C - Riesgos
Página 43
Gr.C - Riesgos
Página 44
Gr.C - Riesgos
Página 45
Gr.C - Riesgos
Los controles se ingresan de forma manual para cada una de las causas. Se
debe proporcionar como mínimo la siguiente información:Frecuencia de
ejecución
Responsable de ejecución
Documentado: SI/NO
N/A Manual o Automatizado
Clase de Control: Preventivo, Correctivo, Detectivo, NA
Calificación: Fuerte, Por mejorar, Insatisfactorio, NA
Requiere Rediseño: SI/NO
Disminuye: Impacto o ProbabilidadPor cada causa se pueden relacionar uno o más
controles.
Página 46
Gr.C - Riesgos
Página 47
Gr.C - Riesgos
Página 48
Gr.C - Riesgos
Que el control esté cancelado: debe registrarse una justificación del porqué el control
ya no aplica. Indicada la justificación, el Sistema de Gestión del Riesgo deberá
proceder a eliminar el control para que no genere alertas de monitoreo.El no
cumplimiento de esta actividad, debe generar alertas que mantengan informado al Sistema de
Gestión del Riesgo sobre la necesidad de cumplir con el monitoreo trimestral.
Página 49
Gr.C - Riesgos
Consultas:El sistema debe permitir realizar consultas teniendo en cuenta tantos filtros
como parámetros de información se registren. Las consultas primordiales son:
Consultar Riesgos de acuerdo con el área, proceso, subproceso o calificación
registrada.
Consultar Controles de acuerdo con el riesgo, la causa, área, proceso, subproceso,
efecto (si ataca al impacto o a la probabilidad), y calificación registrada.
Consultar Planes de Tratamiento o Nuevos Controles de acuerdo con el área, proceso,
subproceso, responsable de ejecución, y estado (en proceso, finalizado,
cancelado).Reportes:El sistema debe permitir generar reportes sobre toda la
información registrada y de acuerdo a las consultas que se realicen. Los reportes
indispensables son:Riesgos Inherentes (Información General)
N/A Riesgos Residuales (Información General)
Controles por Área y en General (Información General)
Estado de los Controles por Área y en General
Calificación de los Controles por Área y en General
Mapa residual de riesgos por subproceso (sobre el mapa de calor y de acuerdo con la
calificación residual de los riesgos).
Mapa inherente de riesgos por subproceso (sobre el mapa de calor y de acuerdo con la
calificación inherente de los riesgos).
Resumen gráfico de riesgos por subprocesos (Gráficos de barras o circulares que permitan
visualizar el número de riesgos y controles de acuerdo con su calificación. El reporte debe
clasificar los resultados de acuerdo con la calificación a reportar y debe incluir la opción de
visualizar el porcentaje de participación de las calificaciones obtenidas, sobre el 100% de
posibilidades en el subproceso).
Página 50
Gr.C - Riesgos
Ajustes a Criterios de
Aceptación finales
N/A
N/A
Página 51
Gr.C - Riesgos
N/A
N/A
N/A
N/A
N/A
Página 52
Gr.C - Riesgos
N/A
N/A
N/A
N/A
N/A
N/A
Página 53
Gr.C - Riesgos
N/A
Página 54
Gr.C - Riesgos
N/A
N/A
Página 55
Gr.C - Riesgos
N/A
N/A
N/A
Página 56
Gr.C - Riesgos
N/A
N/A
Página 57
El monitoreo de controles debe Gr.C - Riesgos
programarse automáticamente para ser
ejecutado cada tres (3) meses.
Pueden presentarse los siguientes
escenarios:Que el control esté en Planes de
Tratamiento y Nuevos Controles: se debe
realizar una validación con el área implicada
sobre avance en la implementación de las
actividades propuestas. Si se encuentra que el
control ya ha finalizado su implementación,
debe pasar a hacer parte del registro de
controles de funcionamiento diario o monitoreo
permanente.Que el control esté cancelado:
debe registrarse una justificación del porqué el
control ya no aplica. Indicada la justificación, el
Sistema de Gestión del Riesgo deberá proceder
a eliminar el control para que no genere alertas
de monitoreo.Se debe proporcionar como
mínimo la siguiente información:Plan de
tratamiento y nuevos controles:Riesgo asociado
(Identificador)
Tipo:
Plan de tratamiento
Nuevo control
Actividad
Responsable
Fecha Inicio
Fecha de Finalización
Porcentaje de avance
Fecha de revisión del PlanSeguimientoEstado
Justificación
Acciones acordadas
Actividad
Fecha
ObservacionesEl no cumplimiento de esta
actividad, debe generar alertas que mantengan
informado al Sistema de Gestión del Riesgo
sobre la necesidad de cumplir con el monitoreo
trimestral.
N/A
Página 58
Gr.C - Riesgos
N/A
Página 59
Gr.E - Planes de Acción
NOMBRE
DESCRIPCION REQUISITO
REQUISITO
Página 60
La gestión de Planes de Acción requiere la
definición previa de ciertos parámetros de los que
REQ001-
depende la clasificación y codificación de acciones,
PARAMETRIZACION
entre otras características importantes tanto para
Calidad como para Control Interno.
Gr.E - Planes de Acción
Página 61
Gr.E - Planes de Acción
Página 62
Gr.E - Planes de Acción
Página 63
Gr.E - Planes de Acción
Página 64
Gr.E - Planes de Acción
Página 65
Gr.E - Planes de Acción
Página 66
Gr.E - Planes de Acción
AJUSTES AL
REQUISITO
Página 67
N/A
Gr.E - Planes de Acción
N/A
Página 68
Gr.E - Planes de Acción
Página 69
Gr.E - Planes de Acción
N/A
Página 70
Gr.E - Planes de Acción
N/A
N/A
Página 71
Gr.E - Planes de Acción
N/A
N/A
N/A
Página 72
Gr.E - Planes de Acción
N/A
Página 73
Gr.E - Planes de Acción
CRITERIOS DE ACEPTACIÓN
Se requiere parametrización a nivel de:Clasificación de Acciones:Opciones para seleccionar por medio de qué se va a
tratar la ocurrencia, ejemplo: Acción Preventiva y/o Correctiva, Acción de Mejora, Corrección, Retos de Calidad (Producto no
Conforme). Desde esta opción se configura el comportamiento de cada uno de los métodos definidos, por ejemplo, si se quiere
hacer plan de acción junto con el análisis de causa o por separado, si aplica aprobación de identificación o de análisis o de
verificación de eficacia, entre otros. Para los Retos de Calidad se especifican las disposiciones que se utilizarán, ejemplo:
Aceptar, Derogar, Suspender, etc.
Página 74
Gr.E - Planes de Acción
Grupo de Control:Grupos de funcionarios dispuestos por área, para los cuáles se definirá
posteriormente el flujo de proceso de acuerdo a cada método creado en la clasificación.
Página 75
Gr.E - Planes de Acción
Flujo del Proceso:Definición de los responsables de cada una de las actividades desde la identificación de la ocurrencia
hasta la aprobación de la eficacia (si aplica). Estos flujos se configuran por cada subproceso y para cada método. Dentro de esta
parametrización se deben configurar los tiempos establecidos para que las personas cumplan con el desarrollo de las
actividades en el sistema, de aquí dependerá la generación de las alertas.
Semáforo de Cumplimiento:Parametrización de los posibles valores con los que se puede calificar el cumplimiento de
las acciones. Esta calificación dependerá del porcentaje de avance vs la fecha de vencimiento del compromiso. Actualmente se
tienen tres opciones: 0% (Rojo), 1% a 99% (Amarilla) y 100% (Verde).
Página 76
Gr.E - Planes de Acción
Por cada ocurrencia registrada, se debe proporcionar como mínimo la siguiente información para el
Análisis de Causa:
Causa
Descripción
Tipo (Causa Raíz, Causa Potencial. Solo aplica para Calidad)Esta actividad solo aplica para
Ocurrencias con tratamiento por medio de Acción Correctiva y/o Acción Preventiva, y para
Ocurrencias relacionadas con Análisis de Indicadores, todas registradas bajo la Dirección de
Planeación.
Página 77
Gr.E - Planes de Acción
El responsable de la ejecución de la acción registra por cada acción, los avances que se tienen hasta
lograr el cierre o cumplimiento total (100%). El sistema debe proporcionar la visualización de todos
los avances que se registren contando como mínimo con la siguiente información:
Porcentaje de Ejecución (Si aplica según el código de la ocurrencia)
Descripción del Avance
Evidencias Adjuntas (si aplica).
Página 78
Gr.E - Planes de Acción
Si la evaluación de eficacia arroja un resultado negativo, se debe generar una tarea para que el Líder
o Responsable del Subproceso diseñe nuevamente un Plan de Acción teniendo en cuenta las
observaciones que le entregue la evaluación de eficacia realizada. El Plan de Acción que no resultó
eficaz se conserva como historial dentro del mismo registro de la Ocurrencia.Esta actividad solo
aplica para acciones correctivas y/o preventivas y para las acciones generadas por análisis de
indicadores, todas registradas bajo la Dirección de Planeación.
Para realizar esta actividad es necesario indicar la Criticidad (Alto, Medio, Bajo) y registrar los
atributos con los que cuenta el producto, ejemplo: lote, serie, Orden de Compra, Nombre del
Proveedor, entre otros.Por cada Reto de Calidad registrado debe indicarse el tratamiento que se le
dará al producto no conforme, para esto es necesario indicar: Disposición (Devolver, Reclasificar,
Reparar, etc.), Fecha (Inicio y Fin) y Responsable. Esta disposición registrada deberá cumplirse tal
cual lo indica el requerimiento REQ006 - Ejecutar Acciones.
Página 79
Gr.E - Planes de Acción
En el caso de las acciones que tienen su origen desde Control Interno, el sistema debe permitir el
registro del seguimiento indicando como mínimo:
Fecha del seguimiento
Resultado encontrado (Descripción + % de avance)
Evidencias Importantes (Adjuntarlas si es necesario)Ingresada esta información se califica el estado
de la acción de manera automática y de acuerdo a los siguientes criterios:
Verde (Finalizado- 100%; Peso = 3)
Amarillo (En Ejecución - De 1% a 99%; Peso = 2)
Rojo (Vencida - 0%; Peso = 1)Esta semaforización deberá agruparse por subprocesos calculando el
promedio ponderado de las acciones de acuerdo con el peso que represente su estado, de manera tal
que si un subproceso tiene 2 acciones en verte, 1 acción en amarillo y 2 acciones en rojo, su
semaforización se calcularía de la siguiente manera:3 (Acción en verde) + 3 (Acción en verde) + 2
(Acción en amarillo) + 1 (Acción en rojo) + 1 (Acción en rojo) = 10 (Sumatoria del peso de las
acciones del subproceso) / 5 (Total de acciones en el subproceso) = 2 (Subproceso en Amarillo).
La semaforización debe visualizarse como reporte gráfico sobre el mapa de procesos de la Empresa
mientras que la información de los seguimientos realizados deberá visualizarse a manera de matriz,
ojalá en integración con Excel.En el caso de las acciones que se ejecutan como tratamiento a
ocurrencias registradas bajo la Dirección de Planeación, estas ya traen su avance porcentual de
acuerdo con la ejecución que va registrando cada usuario responsable de la acción en el sistema. En
este caso, el sistema califica el estado de la acción desde el primer momento en que se registra un
avance en la ejecución, y el seguimiento solo consistirá en revisar el estado de las acciones y concluir
textualmente (si se quiere). Se deben aplicar las mismas reglas de calificación de estados
(semaforización) detalladas anteriormente para las acciones de Control Interno.
Las principales consultas con las que se debe contar a nivel de Planes de Acción son:Acciones por
Tipo de Auditoría: Número de acciones abiertas y cerradas por cada tipo de auditoría
realizada.Acciones por Área:Número de acciones abiertas y cerradas por área.Acciones por
Subprocesos:Número de acciones abiertas y cerradas por subprocesos.Acciones por Estados:Filtro
de acciones de acuerdo con los posibles estados "Finalizado", "En ejecución" y "Vencida".
Página 80
Gr.E - Planes de Acción
Se requiere parametrización a nivel de:Clasificación de Acciones:Opciones para seleccionar por medio de qué se va a tratar la
ocurrencia. Se requiere crear, modificar, eliminar la clasificación de acciones, constarán de un identificador y nombre, ejemplo: AC-Acción
Preventiva, AP-Acción Correctiva, AM-Acción de Mejoramiento, CC-Corrección, RC-Retos de Calidad (Producto no Conforme). Además se requiere
que el sistema genere un consecutivo por cada tipo de acción. Desde esta opción se configura el comportamiento de cada uno de los métodos
definidos, por ejemplo, si aplica aprobación de análisis de causa, plan de acción y verificación de eficacia. Para los Retos de Calidad también se
requiere la misma administración de las disposiciones que se utilizarán, éstas deben contar con la siguiente información:
Identificador
Nombre
Ejemplo: AC-Aceptar, DR-Derogar, SC-Suspender calibración, DS-Desechar, DV-Devolver, RC-Reclasificar, RR-Reparar, RE-Reanudar ensayo, RP-
Reprocesar, RT-Retirar, RZ-Rechazar, SE-Suspender ensayo.
Máscaras de Identificación (Código, Área, Proceso, Subproceso):Código alfanumérico en el cuál las primeras letras
representan la auditoría de origen de la Observación/Hallazgo, seguido por el año en el que se registra en el sistema y en algunas ocasiones
seguido por las siglas de un enfoque especial de la auditoría; ejemplo: "CI-2014" =Observación u Oportunidad de Mejora registrada por Control
Interno (CI) en el año 2014. "CI-2014-TI" = Observación u Oportunidad de Mejora registrada por Auditorías a Tecnologías de la Información (TI) en
el año 2014.
Para la identificación del Área, Proceso y subproceso es la abreviatura del nombre de éstas; ejemplo:Área:“SFA” = Subgerencia financiera y
administrativaProceso:“GF” = Gestión financieraSubproceso:“COS” = Gestión de costos
Criticidad:Opciones de administración (crear, modificar, eliminar) de criticidad para la identificación de la ocurrencia. Ejemplo: Baja, Media,
Alta. El registro de la criticidad contará con la siguiente información:
Criticidad
Página 81
Gr.E - Planes de Acción
Tipo de Causa:Opciones de tipos de causa para la identificación de la ocurrencia, se requiere administrar (crear,consultar,eliminar) los tipos
de causa. Ejemplo: En este caso se utiliza la clasificación de las 8 emes (Manejo, Mano de Obra, Maquinaria, Materiales, Medición, Medio
Ambiente, Método, Moneda). El registro de los tipos de causa contará con la siguiente información:
Nombre
Grupo de Control:Grupos de funcionarios dispuestos por área, para los cuáles se definirá posteriormente el flujo de proceso de acuerdo a
cada método creado en la clasificación. El grupo de control contará como mínimo con la siguiente información.
Identificador
Nombre del grupo de control
Responsable
Área
Función
Usuario
Página 82
Gr.E - Planes de Acción
Flujo del Proceso:Definición de los responsables de cada una de las actividades desde la identificación de la ocurrencia hasta la aprobación
de la eficacia (si aplica). Estos flujos se configuran por cada subproceso y para cada método. Dentro de esta parametrización se deben configurar
los tiempos establecidos para que las personas cumplan con el desarrollo de las actividades en el sistema, de aquí dependerá la generación de las
alertas. El flujo de proceso contará como mínimo con la siguiente información:
Identificador
Flujo de procesos
Método (Clasificación)
Líder
Área de ocurrencia
Grupo de control
Planes de acción
Planificación, Aprobación, Seguimiento, Acompañamiento
Área
Función
Usuario
Plazo
Eficacia
Aprobación
Área
Función
Usuario
Plazo
Semáforo de cumplimiento:Parametrización de los posibles valores con los que se puede calificar el cumplimiento
de las acciones. Esta calificación dependerá del porcentaje de avance vs la fecha de vencimiento del compromiso.
Actualmente se tienen tres opciones: 0% (Rojo), 1% a 99% (Amarilla) y 100% (Verde).
Página 83
Gr.E - Planes de Acción
Por cada ocurrencia registrada, se debe proporcionar como mínimo la siguiente información para el Análisis de
Causa:
Descripción
Tipo de causa (8 emes)Esta actividad solo aplica para Ocurrencias con tratamiento por medio de Acción Correctiva
y/o Acción Preventiva, y para Ocurrencias relacionadas con Análisis de Indicadores, todas registradas bajo la
Dirección de Planeación.
Página 84
Gr.E - Planes de Acción
El responsable de la ejecución de la acción registra por cada acción, los avances que se tienen hasta lograr el cierre
o cumplimiento total (100%). El sistema debe proporcionar la visualización de todos los avances que se registren
contando como mínimo con la siguiente información:
Porcentaje de Ejecución (Si aplica según el código de la ocurrencia)
Fecha
Descripción del Avance
Evidencias Adjuntas (si aplica). Ejemplo, fotos, documentos, videos.
Página 85
Gr.E - Planes de Acción
Si la evaluación de eficacia arroja un resultado negativo, se debe generar una tarea para que el Líder o Responsable
del Subproceso diseñe nuevamente un Plan de Acción o realice una corrección al plan de acción presentado,
teniendo en cuenta las observaciones que le entregue la evaluación de eficacia realizada. El Plan de Acción que no
resultó eficaz se conserva como historial dentro del mismo registro de la Ocurrencia.
Para evaluar la eficacia se requiere como mínimo con la siguiente información:
Fecha
Eficacia (Si, No)
ObservacionesEsta actividad solo aplica para acciones correctivas y/o preventivas y para las acciones generadas por
análisis de indicadores, todas registradas bajo la Dirección de Planeación.
Para realizar esta actividad es necesario indicar la Criticidad (Alto, Medio, Bajo) y administrar (crear, eliminar,
modificar) los atributos con los que cuenta el producto, ejemplo: lote, serie, Orden de Compra, Nombre del
Proveedor, entre otros. Los atributos deben contar con la siguiente información:
Identificador
Nombre
ValorPor cada Reto de Calidad registrado debe indicarse el tratamiento que se le dará al producto no conforme, para
esto es necesario indicar: Disposición (Devolver, Reclasificar, Reparar, etc.), Fecha (Inicio y Fin) y Responsable. Esta
disposición registrada deberá cumplirse tal cual lo indica el requerimiento REQ006 - Ejecutar Acciones.
Para el registro del reto de calidad se requiere como mínimo la siguiente información:
identificador de la ocurrencia
Título
Clasificación
Fecha
Área de ocurrencia
Criticidad
Descripción
Atributo
Emisor, Área, Fecha de creación, Fecha de modificación
Disposición
Responsable del Plan de acción, Área, fecha (inicio y fin),
N/A
Página 86
Gr.E - Planes de Acción
En el caso de las acciones que tienen su origen desde Control Interno, el sistema debe permitir el registro del
seguimiento indicando como mínimo:
Fecha del seguimiento
Resultado encontrado (Descripción + % de avance)
Evidencias Importantes (Adjuntarlas si es necesario)Si el responsable de realizar los ajustes indicados por el
evaluador de la eficacia, excede la fecha limite programada para el seguimiento, el sistema debe permitirle al
administrador ampliar el tiempo (días) para que responsable del estado de la acción realice los ajustes.Ingresada
esta información se califica el estado de la acción de manera automática y de acuerdo a los siguientes criterios:
Verde (Finalizado - 100%; Peso = 2)
Amarillo (En Ejecución - De 1% a 99%; Peso = 1)
Naranja(Sin avance - 0%; Peso = 0)
Rojo (Vencidas)La semaforización debe visualizarse como reporte gráfico sobre el mapa de procesos de la Empresa,
indicando:
Número de acciones sin avance
Número de acciones vencidas
Número de acciones con avance
Número de acciones finalizadasMientras que la información de los seguimientos realizados deberá visualizarse a
manera de matriz, ojalá en integración con Excel.
Se requiere que el sistema genere notificaciones a los responsables de ejecutar las acciones, responsable de
seguimiento, al director de Control Interno y al Directivo del Área, al correo electrónico y al perfil del usuario.En el
caso de las acciones que se ejecutan como tratamiento a ocurrencias registradas bajo la Dirección de Planeación,
estas ya traen su avance porcentual de acuerdo con la ejecución que va registrando cada usuario responsable de la
acción en el sistema. En este caso, el sistema califica el estado de la acción desde el primer momento en que se
registra un avance en la ejecución, y el seguimiento solo consistirá en revisar el estado de las acciones y concluir
textualmente (si se quiere). Se deben aplicar las mismas reglas de calificación de estados (semaforización)
detalladas anteriormente para las acciones de Control Interno.
Las principales consultas con las que se debe contar a nivel de Planes de Acción son:Acciones por Tipo de
Auditoría: Número de acciones abiertas y cerradas por cada tipo de auditoría realizada.Acciones por Área:Número
de acciones abiertas y cerradas por área.Acciones por Subprocesos:Número de acciones abiertas y cerradas por
subprocesos.Acciones por Estados:Filtro de acciones de acuerdo con los posibles estados "Finalizado", "En
ejecución" y "Vencida".Criterios de información:identificador de la ocurrencia, periodo de la ocurrencia, Etapa,
clasificación, Emisor, Criticidad.
Página 87
Gr.E - Planes de Acción
Página 88
12 22 10