Circular 038 PDF

SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CIRCULAR EXTERNA 038 DE 2009 ( Septiembre 29 )
Seores MIEMBROS DE JUNTA DIRECTIVA, REPRESENTANTES LEGALES, REVISORES FISCALES, AUDITORES INTERNOS Y CONTRALORES NORMATIVOS DE LAS ENTIDADES SUPERVISADAS POR LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Referencia: Modificacin a la Circular Externa 014 de 2009.
Apreciados seores: Con el propsito de facilitar la adecuada aplicacin de las disposiciones contenidas en la Circular Externa 014 de 2009 expedida por la Superintendencia Financiera de Colombia Instrucciones relativas a la revisin y adecuacin del Sistema de Control Interno (SCI) y atendiendo las solicitudes presentadas por algunas entidades, este Despacho se permite modificar el numeral 7 del Captulo IX Ttulo Primero - Control Interno - de la Circular Externa 007 de 1996. La Superintendencia Financiera de Colombia realizar el seguimiento a la evolucin del SCI de las entidades sometidas a inspeccin y vigilancia, iniciando con la solicitud de certificacin respecto a la estructuracin y aplicacin de los componentes fundamentales de los elementos del sistema, para lo cual el presidente de la junta directiva u rgano equivalente y el representante legal de cada entidad, debern verificar los soportes pertinentes y enviar, dentro de los diez (10) das hbiles siguientes al vencimiento de cada uno de los plazos que se sealan a continuacin, una certificacin acerca del cumplimiento de los requisitos correspondientes:
Plazo: 31 de diciembre de 2009 Elemento: Ambiente de Control Requisitos objeto de la certificacin: Establecimiento y promulgacin de:

Circular Externa 038 de 2009 Pgina 2
Cdigo de Gobierno Corporativo o documentos que contengan polticas de la entidad. Cdigo de Conducta, de tica o documento equivalente. Manuales de funciones y procedimientos de seleccin, induccin, capacitacin, evaluacin y sistemas de compensacin. Organigrama. Planeacin estratgica.
Plazo: 30 de junio de 2010
Elementos: Informacin y Comunicacin y Actividades de Control (Incluye SCI de la Gestin Contable y la Gestin de la Tecnologa). Requisitos objeto de la certificacin: 1. Establecimiento y promulgacin de:
Polticas y procedimientos para la generacin, divulgacin y custodia de
la informacin de la entidad. y procedimientos contables (Recepcin, identificacin, medicin, clasificacin, reconocimiento, procesamiento, interpretacin, anlisis y controles establecidos en el numeral 7.6.1.) Polticas y procedimientos para cada uno de los aspectos sealados para la gestin de tecnologa a que se refiere el numeral 7.6.2. Actividades de control (Revisiones de alto nivel, controles generales, controles de aplicacin, limitaciones de acceso, acuerdos de confidencialidad, entre otros).
Polticas
2. Aplicacin de las polticas y procedimientos a que se refiere el numeral anterior. 3. Anlisis de los sistemas de informacin contable y de revelaciones, as como de la tecnologa que los soporta, identificando las acciones de mejoramiento que resulten pertinentes.
Plazo: 30 de septiembre de 2010 Elemento: Monitoreo

Requisitos objeto de la certificacin: Establecimiento y promulgacin de polticas y procedimientos para la realizacin del monitoreo por parte de los jefes de rea y alta direccin. Aplicacin de las polticas y procedimientos de monitoreo mencionadas anteriormente.
Plazo: 31 de diciembre de 2010 Elemento: Evaluacin Independiente Requisitos objeto de la certificacin: Realizacin de la verificacin sobre la efectividad del sistema de control interno adoptado por la respectiva entidad, realizada por evaluadores independientes. Este requisito se cumple a travs de evaluaciones de auditores internos, el revisor fiscal o auditores externos. Informes presentados por los evaluadores independientes. Cronograma para la realizacin de las acciones correctivas y preventivas necesarias para el mantenimiento, mejoramiento y consolidacin del SCI, determinadas como resultado de las evaluaciones efectuadas.
En relacin con el elemento Gestin de Riesgos, las entidades vigiladas debern atender los plazos y las condiciones establecidos para la implementacin de los sistemas especiales de gestin exigidos por esta entidad en la Circular Bsica Jurdica y en la Circular Bsica Financiera y Contable (incluyendo las normas sobre gestin de riesgos de mercado -SARM- , riesgo de crdito -SARC-, riesgo operativo SARO-, riesgo de liquidez SARL-, riesgo de lavado de activos y de la financiacin del terrorismo SARLAFT- y riesgo de garantas SARG- Sistema Especial de Administracin de Riesgos de Seguros - SEARS). El plazo para la implementacin del SCI de las nuevas entidades ser el equivalente en meses al otorgado para cada uno de los elementos del SCI de que trata la presente circular, contado a partir de la fecha de ejecutoria del acto administrativo mediante el cual se expida el certificado de autorizacin. En las fechas antes mencionadas, que modifican las sealadas en la Circular Externa 014 de 2009, se deber haber culminado la estructuracin de las polticas,

procedimientos y documentos rectores del SCI, pero, se reitera, su aplicacin, consolidacin y mantenimiento es un proceso de carcter permanente, cuya evolucin ser revisada por esta Superintendencia en ejercicio de su labor de supervisin. Es de advertir que las instrucciones impartidas en esta circular van dirigidas a la adecuada integracin de los diversos componentes del SCI. En tal sentido, este instructivo no suspende ni reemplaza el cumplimiento de obligaciones y deberes establecidos en disposiciones vigentes. La presente Circular rige a partir de su publicacin, modifica los plazos y entregables sealados en la Circular Externa 014 de 2009 y el numeral 7 del Captulo IX Ttulo Primero - Control Interno - de la Circular Externa 007 de 1996. Se anexan las pginas pertinentes.
Atentamente,
ROBERTO BORRS POLANA Superintendente Financiero de Colombia

7. SISTEMA DE CONTROL INTERNO
7.1
CONSIDERACIONES GENERALES
Corresponde a los administradores de las entidades vigiladas o sometidas al control exclusivo de esta Superintendencia, realizar su gestin con la diligencia propia de un buen hombre de negocios. Por ello, compete a las juntas o consejos directivos o al rgano que haga sus veces, en calidad de administradores, definir las polticas y disear los procedimientos de control interno que deban implementarse, as como ordenar y vigilar que los mismos se ajusten a las necesidades de la entidad, permitindole desarrollar adecuadamente su objeto social y alcanzar sus objetivos, en condiciones de seguridad, transparencia y eficiencia.
7.2.
MBITO DE APLICACIN
Todas las entidades sometidas a inspeccin y vigilancia de la Superintendencia Financiera de Colombia, ya sean matrices o subordinadas, debern implementar o ajustar su SCI a los requisitos mnimos establecidos en el presente captulo, en forma tal que el mismo resulte acorde con el tamao de su organizacin (en trminos de nmero de empleados, valor de los activos e ingresos, recursos captados del pblico, nmero de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, as como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relacin beneficio/costo. Las entidades sometidas a inspeccin y vigilancia que tengan la calidad de matrices debern procurar que sus subordinadas (sean filiales o subsidiarias) tengan un adecuado SCI, para lo cual debern emitir los lineamientos generales mnimos que en su concepto deben aplicar, atendiendo la naturaleza, magnitud y dems caractersticas de las mismas. Las entidades sometidas a control concurrente, debern atender en materia de control interno las normas y las disposiciones que sobre el particular haya emitido o llegue a emitir el Gobierno Nacional y las dems entidades competentes Las entidades sometidas a control exclusivo, debern atender en materia de control interno lo dispuesto en el numeral 7.9. del presente captulo. Es de advertir que las instrucciones impartidas en este numeral van dirigidas a la adecuada integracin de los diversos componentes del SCI. En tal sentido, este instructivo no suspende ni reemplaza el cumplimiento de obligaciones y deberes establecidos en disposiciones vigentes. 7.3 DEFINICIN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO
Se entiende por SCI el conjunto de polticas, principios, normas, procedimientos y mecanismos de verificacin y evaluacin establecidos por la junta directiva u rgano equivalente, la alta direccin y dems funcionarios de una organizacin para proporcionar un grado de seguridad razonable en cuanto a la consecucin de los siguientes objetivos:
Ttulo I CAPITULO NOVENO Obligaciones especiales de las entidades vigiladas Circular Externa 038 de 2009 Pgina 55 - 6
Septiembre de 2009
i.
ii. iii. iv. v.
Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspeccin y vigilancia. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el mximo de resultados con el mnimo de recursos, energa y tiempo. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones. Realizar una gestin adecuada de los riesgos. Aumentar la confiabilidad y oportunidad en la Informacin generada por la organizacin. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organizacin.
En la medida en que se logren los objetivos antes mencionados, el SCI brindar mayor seguridad a los diferentes grupos de inters que interactan con la entidad.
7.4
PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO
Los principios del SCI constituyen los fundamentos y condiciones imprescindibles y bsicas que garantizan su efectividad de acuerdo con la naturaleza de las operaciones autorizadas, funciones y caractersticas propias, y se aplican para cada uno de los aspectos que se tratan en el presente captulo. En consecuencia, las entidades, en el diseo e implementacin o revisin o ajustes del SCI deben incluir estos principios, documentarlos con los soportes pertinentes y tenerlos a disposicin de la SFC. 7.4.1 Autocontrol
Es la capacidad de todos y cada uno de los funcionarios de la organizacin, independientemente de su nivel jerrquico para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, as como para mejorar sus tareas y responsabilidades. En consecuencia, sin perjuicio de la responsabilidad atribuible a los administradores en la definicin de polticas y en la ordenacin del diseo de la estructura del SCI, es pertinente resaltar el deber que les corresponde a todos y cada uno de los funcionarios dentro de la organizacin, quienes en desarrollo de sus funciones y con la aplicacin de procesos operativos apropiados debern procurar el cumplimiento de los objetivos trazados por la direccin, siempre sujetos a los lmites por ella establecidos.
7.4.2
Autorregulacin
Se refiere a la capacidad de la organizacin para desarrollar en su interior y aplicar mtodos, normas y procedimientos que permitan el desarrollo, implementacin y mejoramiento del SCI, dentro del marco de las disposiciones aplicables. 7.4.3 Autogestin
Pgina 55 - 7
Septiembre de 2009
Ttulo I CAPITULO NOVENO Obligaciones especiales de las entidades vigiladas Circular Externa 038 de 2009

Apunta a la capacidad de la organizacin para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento. Basado en los principios mencionados, el SCI establece las acciones, las polticas, los mtodos, procedimientos y mecanismos de prevencin, control, evaluacin y de mejoramiento continuo de la entidad que le permitan tener una seguridad razonable acerca de la consecucin de sus objetivos, cumpliendo las normas que la regulan. 7.5. ELEMENTOS DEL SISTEMA DE CONTROL INTERNO
Para el cumplimiento de los principios y objetivos indicados con anterioridad, las entidades supervisadas debern consolidar una estructura de control interno que considere por lo menos los elementos que se sealan a continuacin: 7.5.1 Ambiente de Control
El ambiente de control est dado por los elementos de la cultura organizacional que fomentan en todos los integrantes de la entidad principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los dems elementos del SCI, dado que la eficacia del mismo depende de que las entidades cuenten con personal competente e inculquen en toda la organizacin un sentido de integridad y concientizacin sobre el control. Los elementos mnimos para crear un adecuado ambiente de control son: i. Determinacin formal por parte de la alta direccin de los principios bsicos que rigen la entidad, los cuales deben constar en documentos que se divulguen a toda la organizacin y a grupos de inters. ii. Expedicin de un cdigo de conducta que incluya: Valores y pautas explcitas de comportamiento. Parmetros concretos determinados para el manejo de conflictos de inters, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados econmicos, en adicin a los que apliquen por disposicin legal. Mecanismos para evitar el uso de informacin privilegiada o reservada. rganos o instancias competentes para hacer seguimiento al cumplimiento del cdigo. Consecuencias de su inobservancia, teniendo en cuenta factores tales como reincidencias, prdidas para los clientes o a la entidad, violaciones a lmites, entre otros. En caso que algunos de los temas antes citados no se incluyan en el cdigo de conducta debern incluirse en el cdigo de gobierno corporativo de la entidad o en un documento independiente, si as se considera pertinente dada su importancia para la organizacin. El cdigo de conducta debe orientar la actuacin de todos los funcionarios, quienes deben comprometerse explcitamente con su cumplimiento.
Pgina 55 - 8
Septiembre de 2009

iii. Adopcin de procedimientos que propicien que los empleados en todos los niveles de la organizacin cuenten con los conocimientos, habilidades y conductas necesarios para el desempeo de sus funciones. La entidad debe contar con estndares debidamente documentados de las competencias, habilidades, aptitudes e idoneidad de sus funcionarios. As mismo, debe determinar las polticas y prcticas de gestin humana que aplicar la entidad al realizar los procesos de seleccin, induccin, formacin, capacitacin, sistemas de compensacin o remuneracin y de evaluacin del desempeo de sus empleados en todos sus niveles, las cuales deben ser diseadas e implementadas para facilitar un efectivo control interno, ya sea que se realice el proceso directamente o a travs de terceros. iv. Determinacin de una estructura organizacional que permita soportar el alcance del SCI y que defina claramente los niveles de autoridad y responsabilidad, precisando el alcance y lmite de los mismos. La estructura organizacional debe estar armonizada con el tamao y naturaleza de las actividades de la entidad, soportando el alcance del SCI. v. Establecimiento de objetivos que deben estar alineados con la misin, visin y objetivos estratgicos de la entidad, para que a partir de esta definicin, se formule la estrategia y se determinen los correspondientes objetivos operativos, de reporte y de cumplimiento para la organizacin. Para el efecto, se entiende por objetivos operativos aquellos que se refieren a la utilizacin eficaz y eficiente de los recursos en las operaciones de la entidad. Deben reflejar la razn de ser de las organizaciones y van dirigidos a la consecucin del objeto social, constituyendo una parte fundamental del proceso de construccin de las estrategias y de la asignacin de los recursos disponibles. Los objetivos de reporte o de informacin se enmarcan en la preparacin y publicacin de estados financieros y otros informes que divulga la entidad, cuya confiabilidad constituye un factor de suma importancia en las relaciones con los diferentes sectores o grupos de inters con los cuales se interrelaciona la organizacin, adems de ser un elemento vital de la gestin interna. Finalmente, los objetivos de cumplimiento se refieren a aquellos encaminados a asegurar razonablemente el cumplimiento por parte de la entidad de las normas legales y los reglamentos que le sean aplicables. Los referidos objetivos deben ser coherentes y realistas, ser difundidos a todos los niveles de la entidad y actualizarse en forma peridica. La alta direccin de la entidad deber transmitir a todos los niveles de la organizacin su compromiso y liderazgo respecto de los controles internos y los valores ticos, involucrando a todos los funcionarios para que asuman la responsabilidad que les corresponde frente al SCI.
Pgina 55 - 9
Septiembre de 2009
7.5.2
Gestin de Riesgos
Las entidades deben preservar la eficacia, eficiencia y efectividad de su gestin y capacidad operativa, as como salvaguardar los recursos que administren, para lo cual debern contar con un sistema de administracin de riesgos que permita la minimizacin de los costos y daos causados por stos, con base en el anlisis del contexto estratgico, as como la determinacin de mtodos para el tratamiento y monitoreo de sus riesgos, con el propsito de prevenir o evitar la materializacin de eventos que puedan afectar el normal desarrollo de los procesos y el cumplimiento de los objetivos empresariales, o, en caso de que ello no resulte razonablemente posible, de mitigar su impacto. Para el efecto, debern adelantar como mnimo los siguientes procedimientos1:
i. ii.
iii.
iv.
v.
vi.
vii. viii.
ix.
Identificar las amenazas que enfrenta la entidad y las fuentes de las mismas. Autoevaluar los riesgos existentes en sus procesos, identificndolos y priorizndolos a travs de un ejercicio de valoracin, teniendo en cuenta los factores propios de su entorno y la naturaleza de su actividad. Medir la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de la entidad (econmicos, humanos, entre otros), as como sobre su credibilidad y buen nombre, en caso de materializarse. Esta medicin podr ser cualitativa y, cuando se cuente con datos histricos, cuantitativa. Identificar y evaluar con criterio conservador, los controles existentes y su efectividad, mediante un proceso de valoracin realizado con base en la experiencia y un anlisis razonable y objetivo de los eventos ocurridos. Construir los mapas de riesgos que resulten pertinentes, los cuales deben ser actualizados peridicamente, permitiendo visualizarlos de acuerdo con la vulnerabilidad de la organizacin a los mismos. Implementar, probar y mantener un proceso para administrar la continuidad de la operacin de la entidad, que incluya elementos como: prevencin y atencin de emergencias, administracin de crisis, planes de contingencia para responder a las fallas e interrupciones especficas de un sistema o proceso y capacidad de retorno a la operacin normal. Divulgar entre los funcionarios que intervienen en los procesos respectivos, los mapas de riesgos y las polticas definidas para su administracin. Gestionar los riesgos en forma integral, aplicando diferentes estrategias que permitan llevarlos hacia niveles tolerables. Para cada riesgo se debe seleccionar la alternativa que presente la mejor relacin entre el beneficio esperado y el costo en que se debe incurrir para su tratamiento. Entre las estrategias posibles se encuentran las de evitar los riesgos, mitigarlos, compartirlos, transferirlos, aceptarlos o aprovecharlos, segn resulte procedente. Registrar, medir y reportar los eventos de prdidas por materializacin de riesgos.
Para mayor orientacin sobre este tema se puede acudir a la gua de COSO Integrado (Committe Sponsoring Organization of the Treadway Commission Committee of Sponsoring Organizations of the Treadway Commission and Enterprise Risk Management Integrated Framework).
Pgina 55 - 10
Septiembre de 2009

x.
xi.
Hacer seguimiento a travs de los rganos competentes, de acuerdo al campo de accin de cada uno de ellos, estableciendo los reportes o acciones de verificacin que la administracin de la entidad y los jefes de cada rgano social considere pertinentes. Definir las acciones correctivas y preventivas derivadas del proceso de seguimiento y evaluacin de los riesgos (planes de mejoramiento).
Las entidades deben seguir adicionalmente las instrucciones especiales que en materia de gestin de ciertos riesgos se establecen en la presente circular y en la Circular Bsica Financiera y Contable de la SFC (incluyendo entre otras, segn resulten aplicables en virtud del objeto social de la entidad, las normas sobre gestin de riesgos de mercado SARM, riesgo de crdito SARC, riesgo operativo SARO, riesgo de liquidez SARL, riesgo de lavado de activos y de la financiacin del terrorismo- SARLAFT y riesgo de garantas SARG, Sistema Especial de Administracin de Riesgos de Seguros SEARS), ajustndose a los plazos y condiciones especficos establecidos de manera especial para cada uno de ellos Es importante reiterar que los sistemas de gestin de riesgos especficos antes mencionados, no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. As, la administracin de riesgos es uno de los elementos fundamentales del SCI para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes financieros y el cumplimiento de leyes, normas y reglamentos. Los sistemas de control interno y de administracin de riesgos son transversales en todas y cada una de las actividades, procesos y reas de la entidad, por ello su importancia en el logro de los objetivos estratgicos y de calidad de la informacin que genera la organizacin.
7.5.3
Actividades de Control
Las actividades de control son las polticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administracin con relacin a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la organizacin, en todos los niveles y funciones. Lo anterior incluye entonces, el establecimiento de unas actividades obligatorias para todas las reas, operaciones y procesos de la entidad, entre las cuales se encuentran, entre otras, las siguientes:
i.
ii. iii.
Revisiones de alto nivel, como son el anlisis de informes y presentaciones que solicitan los miembros de junta directiva y otros altos directivos de la organizacin para efectos de analizar y monitorear el progreso de la entidad hacia el logro de sus objetivos; detectar problemas, tales como deficiencias de control, errores en los informes financieros o actividades fraudulentas, y adoptar los correctivos necesarios. Gestin directa de funciones o actividades. Controles Generales, que rigen para todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operacin adecuada. Dentro de stos se incluyen aquellos que se hagan sobre la administracin de la
Pgina 55 - 11
Septiembre de 2009

tecnologa de informacin, su infraestructura, la administracin de seguridad y la adquisicin, desarrollo y mantenimiento del software. Controles de aplicacin, los cuales incluyen pasos a travs de sistemas tecnolgicos y manuales de procedimientos relacionados. Se centran directamente en la suficiencia, exactitud, autorizacin y validez de la captura y procesamiento de datos. Ayudan a asegurar que los datos se capturan o generan en el momento de necesitarlos, que las aplicaciones de soporte estn disponibles y que los errores de interfase se detecten rpidamente. Un objetivo importante de los controles de aplicacin es prevenir que los errores se introduzcan en el sistema, as como detectarlos y corregirlos una vez involucrados en l. Si se disean correctamente, pueden facilitar el control sobre los datos introducidos en el sistema. Limitaciones de acceso a las distintas reas de la organizacin, de acuerdo con el nivel de riesgo asociado a cada una de ellas, teniendo en cuenta tanto la seguridad de los funcionarios de la entidad como de sus bienes, de los activos de terceros que administra y de su informacin. Acompaamiento a los visitantes de la entidad para controlar que slo ingresen a los sitios permitidos y que no realicen ningn acto que afecte la seguridad de los equipos o de la informacin que en ellos se procesa. Controles fsicos adicionales que resulten necesarios. Indicadores de rendimiento. Segregacin de funciones. Acuerdos de confidencialidad. Procedimientos de control. Difusin de las actividades de control.
iv.
v.
vi.
vii. viii. ix. x. xi. xii.
Las actividades de control son seleccionadas y desarrolladas considerando la relacin beneficio / costo y su potencial efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos de la organizacin. Dichas actividades implican una poltica que establece lo que debe hacerse y adicionalmente los procedimientos para llevarla a cabo. Todas estas actividades deben tener como principal objetivo la determinacin y prevencin de los riesgos (potenciales o reales), errores, fraudes u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o el prestigio de la entidad. Adicionalmente debern considerarse las actividades de control requeridas especficamente en el numeral 7.6 de este captulo respecto a la gestin contable y tecnolgica. 7.5.4 Informacin y Comunicacin
Teniendo en cuenta que la operacin de una entidad depende en gran medida de sus sistemas de informacin, es necesario adoptar controles que garanticen la seguridad, calidad y cumplimiento de la informacin generada. Los sistemas de informacin y comunicacin son la base para identificar, capturar e intercambiar informacin en una forma y perodo de tiempo que permita al personal
Septiembre de 2009

cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopcin de las decisiones que les corresponde en relacin con la respectiva entidad. 7.5.4.1 Informacin
Este sistema debe ser funcional para el suministro de informacin que permita dirigir y controlar el negocio en forma adecuada. Asimismo, deben permitir manejar tanto los datos internos como aquellos que se reciban del exterior. Las entidades sometidas a inspeccin y vigilancia deben contar con sistemas que garanticen que la informacin cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (efectividad, eficiencia, y confiabilidad) y cumplimiento, para lo cual debern establecer controles generales y especficos para la entrada, el procesamiento y la salida de la informacin, atendiendo su importancia relativa y nivel de riesgo.
Ello incluye, cuando menos, las siguientes actividades:

i. ii. iii.
iv. v.
vi. vii. viii. ix. x. xi. xii. xiii. xiv.
Identificar la informacin que se recibe y su fuente. Asignar el responsable de cada informacin y las personas que pueden tener acceso a la misma. Disear formularios y/o mecanismos que ayuden a minimizar errores u omisiones en la recopilacin y procesamiento de la informacin, as como en la elaboracin de informes. Disear procedimientos para detectar, reportar y corregir los errores y las irregularidades que puedan presentarse. Establecer procedimientos que permitan a la entidad retener o reproducir los documentos fuente orignales, para facilitar la recuperacin o reconstruccin de datos, as como para satisfacer requerimientos legales. Definir controles para garantizar que los datos y documentos sean preparados por personal autorizado para hacerlo. Implementar controles para proteger adecuadamente la informacin sensible contra acceso o modificacin no autorizada. Disear procedimientos para la administracin del almacenamiento de informacin y sus copias de respaldo. Establecer parmetros para la entrega de copias, a travs de cualquier modalidad (papel, medio magntico, entre otros). Clasificar la informacin (en pblica, privada o confidencial, segn corresponda). Verificar la existencia o no de procedimientos de custodia de la informacin, cuando sea del caso, y de su eficacia. Implementar mecanismos para evitar el uso de informacin privilegiada, en beneficio propio o de terceros. Detectar deficiencias y aplicar acciones de mejoramiento. Cumplir los requerimientos legales y reglamentarios.
Pgina 55 - 13
Septiembre de 2009

Adems de la informacin que deba proporcionarse al mercado y a la Superintendencia de conformidad con las normas vigentes, debe difundirse, de acuerdo con lo que los administradores de la entidad consideren pertinente, la informacin que hace posible conducir y controlar la organizacin, sin perjuicio de aquella que sea de carcter privilegiado, confidencial o reservado, respecto de la cual debern adoptarse todas las medidas que resulten necesarias para su proteccin, incluyendo lo relacionado con su almacenamiento, acceso, conservacin, custodia y divulgacin. Se entiende por informacin sujeta a reserva o privilegiada aquella a la cual slo tienen acceso directo ciertas personas (sujetos calificados), en razn de su profesin u oficio, la cual, por su carcter, est sujeta a reserva, ya que de conocerse podra ser utilizada con el fin de obtener provecho o beneficio para s o para un tercero. Con tal propsito, los administradores de la entidad deben definir polticas de seguridad de la informacin, mediante la ejecucin de un programa que comprenda, entre otros, el diseo, implantacin, divulgacin, educacin y mantenimiento de las estrategias y mecanismos para administrar la seguridad de la informacin, lo cual incluye, entre otros mecanismos, la celebracin de acuerdos de confidencialidad, en aquellos casos en los cuales resulte indispensable suministrar informacin privilegiada a personas que en condiciones normales no tienen acceso a la misma. La confidencialidad es uno de los elementos ms importantes de la seguridad de la informacin y tiene como propsito garantizar que ella slo pueda ser conocida, consultada y divulgada por personas autorizadas. Este elemento est directamente relacionado con el principio de prudencia, necesario para evitar la filtracin, difusin inapropiada y tergiversacin de la informacin. Lo anterior se entiende sin perjuicio de lo establecido en el Sistema de Administracin de Riesgo Operativo SARO y en el Ttulo I, Captulo dcimo segundo de la presente circular respecto a los requerimientos mnimos de seguridad y calidad en el manejo de informacin a travs de medios y canales de distribucin de productos y servicios.
7.5.4.2
Comunicacin
La entidad debe mantener una comunicacin eficaz, que fluya en todas las direcciones a travs de todas las reas de la organizacin (de arriba hacia abajo, a la inversa y transversalmente). Cada empleado debe conocer el papel que desempea dentro de la organizacin y dentro del SCI y la forma en la cual las actividades a su cargo estn relacionadas con el trabajo de los dems. Para el efecto, la entidad deber disponer de medios para comunicar la informacin significativa, tanto al interior de la organizacin como hacia su exterior. Como parte de una adecuada administracin de la comunicacin, se deben identificar cuando menos los siguientes elementos:
i. ii. iii.
Canales de comunicacin Responsables de su manejo Requisitos de la informacin que se divulga

Pgina 55 - 14
Septiembre de 2009

iv. v. vi. vii.
Frecuencia de la comunicacin Responsables Destinatarios Controles al proceso de comunicacin
Adicionalmente los administradores de la entidad deben adoptar los procedimientos necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y en general el cumplimiento de todos los requisitos que incidan en la credibilidad y utilidad de la informacin que la respectiva organizacin revela al pblico. El principio de transparencia que rige el mercado de valores y el sistema financiero exige que se proporcione a los consumidores financieros y dems participantes del mercado, en igualdad de condiciones, informacin oportuna, suficiente y de calidad sobre los datos y hechos relevantes que permitan una adecuada formacin de precios y la adopcin de decisiones debidamente fundamentadas. De esta manera se disminuye el riesgo de desigualdad de oportunidades para actuar en el mercado, derivado del manejo de informacin privilegiada. En tal sentido, los administradores de las entidades supervisadas deben adoptarse las medidas y los controles que resulten necesarios para evitar el suministro de informacin privilegiada a uno o ms participantes del mercado.
7.5.5
Monitoreo
Es el proceso que se lleva a cabo para verificar la calidad de desempeo del control interno a travs del tiempo. Se realiza por medio de la supervisin continua que realizan los jefes o lderes de cada rea o proceso como parte habitual de su responsabilidad frente al control interno (vicepresidentes, gerentes, directores, etc. dentro del mbito de la competencia de cada uno de ellos), as como de las evaluaciones peridicas puntuales que realicen la auditora interna u rgano equivalente, el presidente o mximo responsable de la organizacin y otras revisiones dirigidas. El SCI no puede ser esttico, sino dinmico, ajustndose en forma permanente a las nuevas situaciones del entorno. Con tal fin, es importante que se establezcan controles o alarmas tanto en los sistemas que se lleven en forma manual como en los que se lleven en forma computarizada, de manera que permanentemente se valore la calidad y el desempeo del sistema en el tiempo y se realicen las acciones de mejoramiento necesarias, pues ello equivale a una actividad de supervisin y administracin. Para efectos de lo anterior, dicho monitoreo se debe realizar en todas las etapas de los procesos y en tiempo real en el curso de las operaciones. Las evaluaciones permanentes y separadas permiten a la alta direccin determinar si el control interno est presente y funciona en forma adecuada en el tiempo. Las deficiencias de control interno deben ser identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten materiales, informarse tambin a la junta directiva u rgano equivalente.
Pgina 55 - 15
Septiembre de 2009
7.5.6
Evaluaciones independientes
Aunque los procedimientos de seguimiento permanente, as como la autoevaluacin de cada rea, proporcionan una retroalimentacin importante, es necesario realizar adicionalmente evaluaciones que se centren directamente sobre la efectividad del SCI, las cuales deben ser realizadas por personas totalmente independientes del proceso, como requisito indispensable para garantizar su imparcialidad y objetividad. Se cumple con el requisito de estas evaluaciones independientes a travs de los auditores internos y del revisor fiscal, en la medida en que el alcance de la evaluacin hecha por stos respecto al control interno de la respectiva entidad tenga el alcance y la cobertura requeridos en la presente circular. Lo anterior sin perjuicio de que la administracin, si as lo considera conveniente, utilice como prctica de buen gobierno corporativo el trabajo de auditores externos para revisar la efectividad del control interno. Puede emplearse una combinacin de varios esquemas, segn lo que la administracin considere necesario. Las debilidades resultado de esta evaluacin y sus recomendaciones de mejoramiento, deben ser reportadas de manera ascendente, informando sobre asuntos representativos de manera inmediata al Comit de Auditora, y hacindoles seguimiento. 7.6 REAS ESPECIALES DENTRO DEL SISTEMA DE CONTROL INTERNO
El SCI debe abarcar todas las reas de la organizacin, aplicando para cada una de ellas los objetivos, principios, elementos y actividades de control, informacin, comunicacin y otros fundamentos del sistema tratados en los numerales anteriores del presente captulo. No obstante, por su particular importancia se considera pertinente entrar a analizar algunos aspectos del SCI relacionados con las reas contable y tecnolgica. 7.6.1. Control Interno en la gestin contable
La informacin financiera y contable de una entidad, se constituye en una herramienta fundamental para que la administracin pueda adoptar sus decisiones en forma oportuna y contando con suficientes elementos de juicio. Por ello, la organizacin debe asegurarse de que todos los estados financieros, informes de gestin y dems reportes que suministra sean confiables. El trmino confiable en este contexto se refiere a la preparacin de estados financieros y otros informes que presenten en forma razonable la situacin financiera y resultados de la entidad y que cumplan plenamente con las normas, principios y reglamentos que resulten aplicables. Bajo esta referencia resulta claro que un eficiente SCI contable es la base sobre la que se genera informacin financiera oportuna, razonable y veraz. El diseo e
Septiembre de 2009

implementacin de este sistema son responsabilidad de la administracin, as como la correcta preparacin y presentacin de los estados financieros y sus correspondientes notas. Los representantes legales sern responsables del establecimiento y mantenimiento de adecuados sistemas de revelacin y control de la informacin financiera, para lo cual debern disear procedimientos de control sobre la calidad, suficiencia y oportunidad de la misma. Adems, debern verificar la operatividad de los controles establecidos al interior de la correspondiente entidad, e incluir en el informe de gestin que los administradores presenten a la asamblea general de accionistas u rgano equivalente la evaluacin sobre el desempeo de los mencionados sistemas de revelacin y control. Igualmente, los representantes legales sern responsables de informar ante el Comit de Auditora todas las deficiencias significativas encontradas en el diseo y operacin de los controles internos que hubieran impedido a la sociedad registrar, procesar, resumir y presentar adecuadamente la informacin financiera de la misma. Tambin debern reportar los casos de fraude que hayan podido afectar la calidad de la informacin financiera, as como cambios en la metodologa de evaluacin de la misma. En este sentido, representa especial importancia para la administracin de las entidades establecer al interior de la organizacin un apropiado SCI contable que garantice que los estados financieros que se presentan a la junta directiva, a las asambleas, a los entes de supervisin, fiscalizacin y control y que finalmente son objeto de publicacin, reflejen en forma fidedigna la realidad econmica de la entidad. En virtud de todo lo anterior, a continuacin se precisan algunos aspectos que deben tener en cuenta las entidades supervisadas por la SFC para el adecuado funcionamiento del SCI, reiterando que para el efecto se deben aplicar en su totalidad los fundamentos sealados en los numerales 7.4 y 7.5 del presente captulo. 7.6.1.1 Polticas y procedimientos contables.
Las actividades de control contable normalmente implican dos componentes: una poltica contable, que establece lo que debe hacerse y unos procedimientos para llevarla a cabo. Bajo este criterio, las distintas instancias y el SCI contable de las entidades supervisadas, deben ser efectivos y eficientes, esto se refiere bsicamente al cumplimiento de las actividades diarias asignadas, expresadas en las polticas y procedimientos establecidos por la entidad. Lo anterior conlleva a que los administradores tomen las acciones necesarias para abordar los riesgos contables que implican no solo la forma correcta de hacer las cosas sino dirigir las tareas hacia el logro de los objetivos de la entidad. De ah que resulte indispensable que las entidades implementen la ejecucin de las polticas contables a travs de toda la organizacin, en todos los niveles y en todas las funciones que intervienen en el proceso contable e incluyan el establecimiento de unos procedimientos obligatorios para todas las actividades de dicho proceso entre los que se encuentran:
i.
Supervisin de los procesos contables.
Pgina 55 - 17
Septiembre de 2009

ii. iii. iv.
v. vi. vii. viii. ix. x.
Evaluaciones y supervisin de los aplicativos, accesos a la informacin y archivos, utilizados en los procesos contables. Presentacin de informes de seguimiento. Validaciones de calidad de la informacin, revisando que las transacciones u operaciones sean veraces y estn adecuadamente calculadas y valoradas aplicando principios de medicin y reconocimiento. Comparaciones, inventarios y anlisis de los activos de la entidad, realizadas a travs de fuentes internas y externas. Supervisin de los Sistemas de Informacin. Controles generales. Autorizacin apropiada de las transacciones por los rganos de direccin y administracin. Autorizacin y control de documentos Autorizaciones y establecimiento de lmites Controles sobre los Sistemas de Informacin Contable.
7.6.1.2
Teniendo en cuenta que la operacin del proceso contable depende en gran medida de sus sistemas de informacin, es necesario adoptar controles que garanticen la exactitud y validez de la informacin. Se pueden usar dos grandes grupos de actividades de control de sistemas de informacin: Controles generales y controles de aplicacin, segn lo definido en el subnumeral 7.5.3. de la presente Circular.
7.6.2.
Normas de Control Interno para la gestin de la Tecnologa
La tecnologa es imprescindible para el cumplimiento de los objetivos y la prestacin de servicios de las entidades a sus diferentes grupos de inters, en condiciones de seguridad, calidad y cumplimiento. Por lo tanto, se tendr que velar porque el diseo del SCI para la gestin de la tecnologa responda a las polticas, necesidades y expectativas de la entidad, as como a las exigencias normativas sobre la materia. De otra parte, el sistema deber ser objeto de evaluacin y el mejoramiento continuo con el propsito de contribuir al logro de los objetivos institucionales y a la prestacin de los servicios en las condiciones sealadas. Las entidades deben establecer, desarrollar, documentar y comunicar polticas de tecnologa y definir los recursos, procesos, procedimientos, metodologas y controles necesarios para asegurar su cumplimiento. Las polticas debern ser revisadas por lo menos una vez al ao o al momento de presentarse cambios significativos en el ambiente operacional o del negocio, para lo cual la administracin deber contar con estndares, directrices y procedimientos debidamente aprobados, orientados a cubrir los siguientes aspectos:
i. ii.
Plan estratgico de tecnologa. Infraestructura de tecnologa.

Pgina 55 - 18
Septiembre de 2009

iii. iv. v. vi. vii. viii. ix. x. xi. xii. xiii. xiv. xv. xvi. xvii. xviii.
Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrnico. Administracin de proyectos de sistemas. Administracin de la calidad. Adquisicin de tecnologa. Adquisicin y mantenimiento de software de aplicacin. Instalacin y acreditacin de sistemas. Administracin de cambios. Administracin de servicios con terceros. Administracin, desempeo, capacidad y disponibilidad de la infraestructura tecnolgica. Continuidad del negocio. Seguridad de los sistemas. Educacin y entrenamiento de usuarios. Administracin de los datos. Administracin de instalaciones. Administracin de operaciones de tecnologa. Documentacin.
En el caso de las entidades vigiladas, lo dispuesto en el presente numeral y sus subdivisiones se entiende sin perjuicio del cumplimiento de las instrucciones especiales impartidas por esta Superintendencia en materia de riesgo operativo SARO y de seguridad y calidad en el manejo de informacin a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios, las cuales debern cumplirse dentro de los plazos y condiciones especficos establecidos para el efecto. Por la relevancia que representan algunas de las polticas previamente identificadas, conviene a continuacin sealar en forma particular algunas de ellas. 7.6.2.1 Plan Estratgico de Tecnologa.
Las entidades debern realizar un proceso de planeacin estratgica de tecnologa, a intervalos de tiempo regulares, con el propsito de lograr el cumplimiento de los objetivos de la organizacin a travs de las oportunidades que brinda la tecnologa a su alcance. El plan estratgico de tecnologa deber estar alineado con el plan estratgico institucional y en l se debern contemplar adicionalmente, al menos, los siguientes aspectos:
i. ii. iii. iv.
Anlisis de cmo soporta la tecnologa los objetivos del negocio. Evaluacin de la tecnologa actual. Estudios de mercado y factibilidad de alternativas tecnolgicas que respondan a las necesidades de la entidad. Planes operacionales estableciendo metas claras y concretas.
7.6.2.2 Administracin de la Calidad.
Pgina 55 - 19
Septiembre de 2009

Con el objeto de satisfacer las necesidades de sus clientes (internos y externos), las entidades debern llevar a cabo la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad de la tecnologa que contengan:
i. ii. iii. iv. v. vi. vii. viii. ix.
Programas para establecer una cultura de calidad de la tecnologa en toda la entidad. Planes concretos de calidad de la tecnologa. Responsables por el aseguramiento de la calidad. Prcticas de control de calidad. Metodologa para el ciclo de vida de desarrollo de sistemas. Metodologa de prueba y documentacin de programas y sistemas. Diseo de informes de aseguramiento de la calidad. Capacitacin de usuarios finales y del personal de aseguramiento de la calidad. Desarrollo de una base de conocimiento de aseguramiento de la calidad.
El sistema de administracin de la calidad deber ser objeto de evaluaciones peridicas para ajustarlo a las necesidades de la entidad. 7.6.2.3 Administracin de Cambios.
Con el fin de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, se deber disear un sistema de administracin que permita el anlisis, implementacin y seguimiento de los cambios requeridos y llevados a cabo a la infraestructura de tecnologa que posea la entidad. Como mnimo se tendrn que contemplar los siguientes aspectos:
Identificacin clara del cambio a realizar en la infraestructura. Categorizacin, priorizacin y procedimientos de emergencia a llevar a cabo durante el cambio. Evaluacin del impacto que ocasiona el cambio en la infraestructura. Procedimiento de autorizacin de los cambios. Procedimiento de administracin de versiones. Polticas de distribucin del software. Obtencin de herramientas automatizadas para realizar los cambios. Procedimientos para la administracin de la configuracin. Rediseo de los procesos del negocio que se vean impactados por el cambio en la infraestructura. Seguridad de los Sistemas.
7.6.2.4
Con el objeto de salvaguardar la informacin contra usos no autorizados, divulgacin, modificacin, dao o prdida, le corresponder a las entidades supervisadas establecer controles de acceso lgico que aseguren que los sistemas, datos y programas estn restringidos exclusivamente a usuarios autorizados para lo cual se deber contar con procedimientos y recursos sobre los siguientes aspectos:
i.
Autorizacin, autenticacin y control de acceso.
Pgina 55 - 20
Septiembre de 2009

ii. iii. iv. v. vi.
Identificacin de usuarios y perfiles de autorizacin los cuales debern ser otorgados de acuerdo con la necesidad de tener y necesidad de conocer. Manejo de incidentes, informacin y seguimiento. Prevencin y deteccin de cdigo malicioso, virus, entre otros. Entrenamiento de usuarios. Administracin centralizada de la seguridad. Administracin de los datos.
7.6.2.5
Para que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento en los sistemas de informacin, las entidades tendrn que establecer controles generales y de aplicacin sobre la operacin de la tecnologa, adicionales a los establecidos en el numeral 7.5.4.1, atendiendo como mnimo los siguientes aspectos:
i. ii.
iii.
iv. v.
vi. vii.
viii.
Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e integridad de los datos. Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean capturados para su procesamiento (generados por personas, por sistemas o entradas de interfase). Preservar la segregacin de funciones en el procesamiento de datos y la verificacin rutinaria del trabajo realizado. Los procedimientos debern incluir controles de actualizacin adecuados, como totales de control "corrida a corrida" y controles de actualizacin de archivos maestros. Establecer procedimientos para que la validacin, autenticacin y edicin de los datos sean llevadas a cabo tan cerca del punto de origen como sea posible. Definir e implementar procedimientos para prevenir el acceso a la informacin y software sensitivos de computadores, discos y otros equipos o medios, cuando hayan sido sustituidos o se les haya dado otro uso. Tales procedimientos debern garantizar que los datos marcados como eliminados no puedan ser recuperados por cualquier individuo interno o tercero ajeno a la entidad. Establecer los mecanismos necesarios para garantizar la integridad continua de los datos almacenados. Definir e implementar procedimientos apropiados y prcticas para transacciones electrnicas que sean sensitivas y crticas para la organizacin, velando por su integridad y autenticidad. Establecer controles para garantizar la integracin y consistencia entre plataformas. Administracin de las instalaciones.
7.6.2.6
Con el objeto de proporcionar un ambiente fsico conveniente que proteja los equipos y el personal de tecnologa contra peligros naturales o fallas humanas, las entidades debern instalar controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su buen funcionamiento teniendo en cuenta, entre otros, los siguientes aspectos:
Pgina 55 - 21
Septiembre de 2009

Acceso a las instalaciones. Identificacin clara del sitio. Controles de seguridad fsica. Definicin de polticas de inspeccin y escalamiento de problemas. Planeamiento de continuidad del negocio y administracin de crisis. Salud y seguridad del personal. Polticas de mantenimiento preventivo. Proteccin contra amenazas ambientales. Monitoreo automatizado.
7.7 7.7.1
RESPONSABILIDADES DENTRO DEL SISTEMA DE CONTROL rganos Internos
7.7.1.1 Junta Directiva u rgano equivalente Los miembros de las juntas directivas u rgano equivalente, como principales gestores del gobierno corporativo, deben realizar su gestin con profesionalismo, integridad, competencia e independencia, dedicndole el tiempo necesario. As mismo deben ser transparentes en su gestin, procurando tener un buen conocimiento de los riesgos que involucran los productos que ofrece la empresa; evaluar con profundidad los riesgos asociados a los instrumentos de inversin que sta utiliza y apoyar la labor de los rganos de fiscalizacin y control. De la junta directiva u rgano equivalente debe provenir la autoridad, orientacin y vigilancia al personal directivo superior, de manera que sus miembros debern contar con experiencia y conocimientos adecuados acerca de las actividades, los objetivos y la estructura de la respectiva entidad.
7.7.1.1.1. Funciones generales Sin perjuicio de las obligaciones especiales asignadas a este rgano en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno, en cumplimiento de los deberes que le seala el artculo 23 de la Ley 222 de 1995, la junta directiva u rgano equivalente es la instancia responsable de: Participar activamente en la planeacin estratgica de la entidad, aprobarla y efectuar seguimiento, para determinar las necesidades de redireccionamiento estratgico cuando se requiera. ii. Definir y aprobar las estrategias y polticas generales relacionadas con el SCI, con fundamento en las recomendaciones del Comit de Auditora.
i.
Pgina 55 - 22
Septiembre de 2009

iii. Establecer mecanismos de evaluacin formal a la gestin de los administradores y
sistemas de remuneracin e indemnizacin atados al cumplimiento de objetivos a largo plazo y los niveles de riesgo. iv. Definir claras lneas de responsabilidad y rendicin de cuentas a travs de la organizacin. v. Analizar el proceso de gestin de riesgo existente y adoptar las medidas necesarias para fortalecerlo en aquellos aspectos que as lo requieran. vi. Designar a los directivos de las reas encargadas del SCI y de la gestin de riesgos, salvo que el rgimen aplicable a la respectiva entidad o sus estatutos establezcan una instancia diferente para el efecto. vii. Adoptar las medidas necesarias para garantizar la independencia del auditor interno y hacer seguimiento a su cumplimiento. viii. Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes rganos de control o supervisin e impartir las rdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar. ix. Solicitar y estudiar, con la debida anticipacin, toda la informacin relevante que requiera para contar con la ilustracin suficiente para adoptar responsablemente las decisiones que le corresponden y solicitar asesora experta, cuando sea necesario. x. Requerir las aclaraciones y formular las objeciones que considere pertinentes respecto a los asuntos que se someten a su consideracin. xi. Aprobar los recursos suficientes para que el SCI cumpla sus objetivos. xii. Efectuar seguimiento en sus reuniones ordinarias a travs de informes peridicos que le presente el Comit de Auditora, sobre la gestin de riesgos en la entidad y las medidas adoptadas para el control o mitigacin de los riesgos ms relevantes, por lo menos cada seis (6) meses, o con una frecuencia mayor si as resulta procedente. xiii. Evaluar las recomendaciones relevantes sobre el SCI que formulen el Comit de Auditora y los otros rganos de control interno y externos, adoptar las medidas pertinentes y hacer seguimiento a su cumplimiento. xiv. Analizar los informes que presente el oficial de cumplimiento respecto de las labores realizadas para evitar que la entidad sea utilizada como instrumento para la realizacin de actividades delictivas, evaluar la efectividad de los controles implementados y de las recomendaciones formuladas para su mejoramiento. xv. Evaluar los estados financieros, con sus notas, antes de que sean presentados a la asamblea de accionistas o mximo rgano social, teniendo en cuenta los informes y recomendaciones que le presente el Comit de Auditora. xvi. Presentar al final de cada ejercicio a la Asamblea General de Accionistas, junta de socios o mximo rgano social un informe sobre el resultado de la evaluacin del SCI y sus actuaciones sobre el particular. Todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones antes mencionadas debern constar por escrito en el acta de la reunin respectiva y estar debidamente motivadas. La junta directiva u rgano equivalente determinar la informacin que deba ser divulgada a los diferentes niveles de la organizacin, de acuerdo con lo que considere pertinente.
7.7.1.2. Comit de Auditora
Pgina 55 - 23
Septiembre de 2009

Para el adecuado cumplimiento de la labor que le corresponde a las juntas directivas u rganos equivalentes de las entidades sometidas a inspeccin y vigilancia, stas deben contar con un Comit de Auditora, dependiente de ese rgano social, encargado de la evaluacin del control interno de la misma, as como a su mejoramiento continuo, sin que ello implique una sustitucin a la responsabilidad que de manera colegiada le corresponde a la junta directiva u rgano equivalente en la materia, desarrollando funciones de carcter eminentemente de asesora y apoyo. 7.7.1.2.1 Funciones del Comit El Comit de Auditora tendr como funciones primordiales las siguientes:
i.
ii.
iii.
iv.
v.
vi.
vii.
viii.
ix.
Proponer para aprobacin de la junta directiva u rgano que haga sus veces, la estructura, procedimientos y metodologas necesarios para el funcionamiento del SCI. Presentarle a la junta directiva o al rgano que haga sus veces, las propuestas relacionadas con las responsabilidades, atribuciones y lmites asignados a los diferentes cargos y reas respecto de la administracin del SCI, incluyendo la gestin de riesgos. Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseados protegen razonablemente los activos de la entidad, as como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones estn siendo adecuadamente autorizadas y registradas. Informar a la junta directiva u rgano equivalente sobre el no cumplimiento de la obligacin de los administradores de suministrar la informacin requerida por los rganos de control para la realizacin de sus funciones. Velar porque la preparacin, presentacin y revelacin de la informacin financiera se ajuste a lo dispuesto en las normas aplicables, verificando que existen los controles necesarios. Estudiar los estados financieros y elaborar el informe correspondiente para someterlo a consideracin de la junta directiva, con base en la evaluacin no slo de los proyectos correspondientes, con sus notas, sino tambin de los dictmenes, observaciones de las entidades de control, resultados de las evaluaciones efectuadas por los comits competentes y dems documentos relacionados con los mismos. Proponer a la junta directiva programas y controles para prevenir, detectar y responder adecuadamente a los riesgos de fraude y mala conducta, entendiendo por fraude un acto intencionado cometido para obtener una ganancia ilcita, y por mala conducta la violacin de leyes, reglamentos o polticas internas, y evaluar la efectividad de dichos programas y controles. Supervisar las funciones y actividades de la auditora interna u rgano que haga sus veces, con el objeto de determinar su independencia y objetividad en relacin con las actividades que audita, determinar la existencia de limitaciones que impidan su adecuado desempeo y verificar si el alcance de su labor satisface las necesidades de control de la entidad. Efectuar seguimiento sobre los niveles de exposicin de riesgo, sus implicaciones para la entidad y las medidas adoptadas para su control o
Pgina 55 - 24
Septiembre de 2009

mitigacin, por lo menos cada seis (6) meses, o con una frecuencia mayor si as resulta procedente, y presentar a la junta directiva un informe sobre los aspectos ms importante de la gestin realizada. Evaluar los informes de control interno practicados por los auditores internos, contralora, contralor normativo u otros rganos, verificando que la administracin haya atendido sus sugerencias y recomendaciones. Hacer seguimiento al cumplimiento de las instrucciones dadas por la junta directiva u rgano equivalente, en relacin con el SCI. Solicitar los informes que considere convenientes para el adecuado desarrollo de sus funciones. Analizar el funcionamiento de los sistemas de informacin, su confiabilidad e integridad para la toma de decisiones. Presentar al mximo rgano social, por conducto de la junta directiva, los candidatos para ocupar el cargo de revisor fiscal, sin perjuicio del derecho de los accionistas de presentar otros candidatos en la respectiva reunin. En tal sentido, la funcin del comit ser recopilar y analizar la informacin suministrada por cada uno de los candidatos y someter a consideracin del mximo rgano social los resultados del estudio efectuado. Elaborar el informe que la junta directiva deber presentar al mximo rgano social respecto al funcionamiento del SCI, el cual deber incluir entre otros aspectos: a. Las polticas generales establecidas para la implementacin del SCI de la entidad. b. El proceso utilizado para la revisin de la efectividad del SCI, con mencin expresa de los aspectos relacionados con la gestin de riesgos. c. Las actividades ms relevantes desarrolladas por el Comit de Auditora. d. Las deficiencias materiales detectadas, las recomendaciones formuladas y las medidas adoptadas, incluyendo entre otros temas aquellos que pudieran afectar los estados financieros y el informe de gestin. e. Las observaciones formuladas por los rganos de supervisin y las sanciones impuestas, cuando sea del caso. f. Si existe o no un departamento de auditora interna o rea equivalente. Si existe, presentar la evaluacin de la labor realizada por la misma, incluyendo entre otros aspectos el alcance del trabajo desarrollado, la independencia de la funcin y los recursos que se tienen asignados. En caso de no existir, sealar las razones concretas por las cuales no se ha considerado pertinente contar con dicho departamento o rea. Las dems que le fije la junta directiva, en su reglamento interno.
x.
xi. xii. xiii. xiv.
xv.
xvi.
7.7.1.2.2 Conformacin del Comit El Comit deber estar integrado por lo menos por tres (3) miembros de la junta directiva u rgano equivalente, quienes deben tener experiencia, ser conocedores de los temas relacionados con las funciones asignadas al referido rgano social y ser en su mayora independientes, esto ltimo para aquellas entidades que por disposicin legal o estatutaria cuentan con miembros independientes en el referido rgano social, entendiendo por independientes aquellas personas que en ningn caso sean:
Pgina 55 - 25
Septiembre de 2009

i.
ii.
iii.
iv.
v. vi.
Empleados o directivos de la entidad o de alguna de sus filiales, subsidiarias o controlantes, incluyendo aquellas personas que hubieren tenido tal calidad durante el ao inmediatamente anterior a la designacin, salvo que se trate de la reeleccin de una persona independiente. Accionistas que directamente o en virtud de convenio dirijan, orienten o controlen la mayora de los derechos de voto de la entidad o que determinen la composicin mayoritaria de los rganos de administracin, de direccin o de control de la misma. Socios o empleados de asociaciones o sociedades que presten servicios de asesora o consultora a la entidad o a las empresas que pertenezcan al mismo grupo econmico del cual forme parte esta, cuando los ingresos por dicho concepto representen para aquellos, el veinte por ciento (20%) o ms de sus ingresos operacionales. Empleado o directivo de una fundacin, asociacin o sociedad que reciba donativos importantes de la entidad. Se consideran donativos importantes aquellos que representen ms del veinte por ciento (20%) del total de donativos recibidos por la respectiva institucin. Administrador de una entidad en cuya junta directiva participe un representante legal de la entidad. Persona que reciba de la entidad alguna remuneracin diferente a los honorarios como miembro de la junta directiva, del Comit de Auditora o de cualquier otro comit creado por la junta directiva.
A las reuniones del Comit puede ser citado cualquier funcionario de la entidad, con el fin de suministrar la informacin que se considere pertinente acerca de asuntos de su competencia.
7.7.1.2.3 Reglamento Interno La junta directiva u rgano equivalente de las entidades sometidas a la inspeccin y la vigilancia de la Superintendencia Financiera de Colombia deber adoptar el reglamento de funcionamiento del comit, incluyendo para el efecto, adems de las funciones aqu consagradas, todas aquellas que en su criterio sean propias de la institucin y se adapten a sus necesidades. Dicho reglamento deber mantenerse a disposicin de la SFC, cuando lo solicite.
7.7.1.2.4 Periodicidad de las reuniones El Comit de Auditora deber reunirse por lo menos cada tres (3) meses, o con una frecuencia mayor si as lo establece su reglamento o lo ameritan los resultados de las evaluaciones del SCI.
7.7.1.2.5 Informes sobre las tareas desarrolladas y las conclusiones alcanzadas por el Comit
Pgina 55 - 26
Septiembre de 2009

Las decisiones y actuaciones del comit de auditora debern quedar consignadas en actas, las cuales debern cumplir con lo dispuesto en el artculo 189 del Cdigo de Comercio. Los documentos conocidos por el Comit que sean sustento de sus decisiones debern formar parte integral de las actas, por lo cual en caso de no ser transcritos debern presentarse como anexos de las mismas. As, cada vez que se entregue un acta, deber suministrarse al interesado tanto el cuerpo principal de la misma como todos sus anexos, los cuales debern estar adecuadamente identificados y foliados, y mantenerse bajo medidas adecuadas de conservacin y custodia. Cuando se detecten situaciones que revistan importancia significativa, se deber remitir un informe especial a la junta directiva u rgano equivalente y al representante legal. La junta directiva deber presentar a la Asamblea General de Accionistas o asociados, al cierre del ejercicio econmico, un informe sobre las labores desarrolladas por el Comit. 7.7.1.3. Representante Legal
Sin perjuicio de las obligaciones especiales asignadas al representante legal en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno el representante legal es la instancia responsable de: Implementar las estrategias y polticas aprobadas por la junta directiva u rgano equivalente en relacin con el SCI. ii. Comunicar las polticas y decisiones adoptadas por la junta directiva u rgano equivalente a todos y cada uno de los funcionarios dentro de la organizacin, quienes en desarrollo de sus funciones y con la aplicacin de procesos operativos apropiados debern procurar el cumplimiento de los objetivos trazados por la direccin, siempre sujetos a los lineamientos por ella establecidos. iii. Poner en funcionamiento la estructura, procedimientos y metodologas inherentes al SCI, en desarrollo de las directrices impartidas por la junta directiva. garantizando una adecuada segregacin de funciones y asignacin de responsabilidades. iv. Implementar los diferentes informes, protocolos de comunicacin, sistemas de informacin y dems determinaciones de la junta relacionados con SCI. v. Fijar los lineamientos tendientes a crear la cultura organizacional de control, mediante la definicin y puesta en prctica de las polticas y los controles suficientes, la divulgacin de las normas ticas y de integridad dentro de la institucin y la definicin y aprobacin de canales de comunicacin, de tal forma que el personal de todos los niveles comprenda la importancia del control interno e identifique su responsabilidad frente al mismo. vi. Realizar revisiones peridicas a los manuales y cdigos de tica y de gobierno corporativo. vii. Proporcionar a los rganos de control internos y externos, toda la informacin que requieran para el desarrollo de su labor. viii. Proporcionar los recursos que se requieran para el adecuado funcionamiento del SCI, de conformidad con lo autorizado por la junta directiva u rgano equivalente. ix. Velar porque se d estricto cumplimiento de los niveles de autorizacin, cupos u otros lmites o controles establecidos en las diferentes actividades realizadas por la
i.
Pgina 55 - 27
Septiembre de 2009

entidad, incluyendo las adelantadas con administradores, miembros de junta, matriz, subordinadas y dems vinculados econmicos. Certificar que los estados financieros y otros informes relevantes para el pblico no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situacin patrimonial o las operaciones de la correspondiente entidad. Establecer y mantener adecuados sistemas de revelacin y control de la informacin financiera, para lo cual debern disear procedimientos de control y revelacin para que la informacin financiera sea presentada en forma adecuada. Establecer mecanismos para la recepcin de denuncias (lneas telefnicas, buzones especiales en el sitio Web, entre otros) que faciliten a quienes detecten eventuales irregularidades ponerlas en conocimiento de los rganos competentes de la entidad. Definir polticas y un programa antifraude, para mitigar los riesgos de una defraudacin en la entidad. Verificar la operatividad de los controles establecidos al interior de la entidad. Incluir en su informe de gestin un aparte independiente en el que se de a conocer al mximo rgano social la evaluacin sobre el desempeo del SCI en cada uno de los elementos sealados en el numeral 7.5 de la presente circular. En el caso de los grupos empresariales, la evaluacin sobre la eficacia del SCI que expida el representante legal de la matriz debe incluir tambin a las entidades subordinadas (filiales o subsidiarias).
x.
xi.
xii.
xiii. xiv. xv.
En general el representante legal es el responsable de dirigir la implementacin de los procedimientos de control y revelacin, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento, para lo cual debe demostrar la ejecucin de los controles que le corresponden. El representante legal debe dejar constancia documental de sus actuaciones en esta materia, mediante memorandos, cartas, actas de reuniones o los documentos que resulten pertinentes para el efecto. Adicionalmente, debe mantener a disposicin del auditor interno, el revisor fiscal y dems rganos de supervisin o control los soportes necesarios para acreditar la correcta implementacin del SCI, en sus diferentes elementos, procesos y procedimientos. 7.7.1.4 Auditora Interna o departamento que cumpla funciones equivalentes 7.7.1.4.1 Definicin La auditora interna es una actividad que se fundamenta en criterios de independencia y objetividad de aseguramiento2 y consulta3, concebida para agregar valor y mejorar las
2
Se entiende por aseguramiento el examen objetivo de evidencias con el propsito de proveer una evaluacin independiente de los procesos de gestin de riesgos, control y gobierno de una organizacin. Por ejemplo trabajos financieros, de desempeo, de cumplimiento y de seguridad de sistemas. (Texto tomado del documento Normas Internacionales para el ejercicio profesional de la Auditora Interna Instituto de Auditores Internos de Colombia).
Se denomina Consultora, a las actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estn relacionados con los mismos y estn dirigidos a aadir valor y a mejorar los procesos de gobierno, gestin de riesgos y control , de una organizacin sin que el auditor interno asuma responsabilidades de gestin.
Pgina 55 - 28
Septiembre de 2009

operaciones de una organizacin, ayudndola a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno. En tal sentido y ante la importancia que representa la auditora interna en el control y gestin exitosos de una organizacin, la SFC estima necesario que las entidades bajo su supervisin que cuenten con un auditor interno, contralor o funcionario que cumpla funciones equivalentes, adopten como referente y cumplan normas y parmetros mnimos que garanticen el ejercicio profesional e idneo de la auditora interna, acorde con los estndares y mejores prcticas internacionales4. Para las entidades sometidas a inspeccin y vigilancia que pertenezcan al sector pblico, se admitir el enfoque de auditora interna establecido en el modelo MECI. En todo caso, las oficinas o reas de control interno, auditora interna o quienes hagan sus veces debern cumplir, en lo que no sea contrario a las disposiciones legales aplicables, los lineamientos bsicos de la presente Circular. Las entidades que no tengan un departamento de Auditora Interna o dependencia que cumpla funciones equivalentes deben indicar expresamente en el informe de gestin que los administradores presentan al cierre de cada ejercicio al mximo rgano social las razones por las cuales no consideran procedente que la organizacin cuente con el mencionado departamento. 7.7.1.4.2 Normas para el Ejercicio de la Auditora Interna. En el desarrollo de la actividad de Auditora Interna o su equivalente, deber darse aplicacin, entre otras a las siguientes normas: 7.7.1.4.2.1 7.7.1.4.2.1.1 Normas sobre Atributos. Propsito, Autoridad y Responsabilidad
El propsito, la autoridad y la responsabilidad de la actividad de Auditora Interna deben estar formalmente definidos en un estatuto (documento) debidamente aprobado por la junta directiva u rgano equivalente, en donde quede establecido un acuerdo con la alta direccin de la entidad respecto de la funcin y responsabilidad de la actividad de Auditora Interna, su posicin dentro de la organizacin, la autorizacin al auditor para que tenga acceso a los registros, al personal y a los bienes relevantes para la ejecucin de los trabajos y la definicin del mbito de actuacin de las actividades de auditora interna. 7.7.1.4.2.1.2 Independencia y Objetividad
La actividad de auditora interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de sus trabajos a travs de una actitud imparcial y neutral, buscando siempre evitar conflictos de intereses. Dentro de este contexto, como
4
El Instituto de Auditores Internos IIA , a travs del Consejo de Normas de Auditora Interna (IASB, por sus siglas en ingls), es la entidad ampliamente reconocida y autorizada tcnicamente para emitir las normas para el ejercicio de la Auditora Interna.
Pgina 55 - 29
Septiembre de 2009

una prctica de buen gobierno corporativo, se considera conveniente que el auditor interno o quien haga sus veces sea nombrado por la junta directiva u rgano equivalente. Si la independencia u objetividad en cualquier momento se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer por escrito a la junta directiva u rgano equivalente. 7.7.1.4.2.1.3 Pericia y debido cuidado profesional.
Tanto el auditor interno como su equipo de trabajo deben reunir los conocimientos, las aptitudes y las competencias necesarias para cumplir con sus responsabilidades. El auditor interno debe contar con asesora y asistencia competente para aquellas reas especializadas respecto de las cuales l o su personal no cuenten con los conocimientos necesarios. Los auditores internos deben cumplir su trabajo con el cuidado y la pericia que se esperan de un especialista razonablemente prudente y competente. 7.7.1.4.2.1.4 Programa de Aseguramiento de Calidad y Cumplimiento El auditor interno debe desarrollar y mantener un programa de aseguramiento de calidad y mejora que cubra todos los aspectos de la actividad de auditora interna y revise continuamente su eficacia. Este programa incluye evaluaciones de calidad externas e internas peridicas y supervisin interna continua. Cada parte del programa debe estar diseada para ayudar a la actividad de auditora interna a aadir valor y a mejorar las operaciones de la organizacin y a proporcionar aseguramiento de que la actividad de auditora interna cumple con las normas aplicables a esta actividad y el Cdigo de tica de los auditores. Si bien la actividad de auditora interna debe lograr el cumplimiento total de las normas de general aceptacin para esta actividad, puede haber casos en los cuales esta meta no se logre. Cuando el incumplimiento afecte el alcance general o el funcionamiento de la actividad de auditora interna, debe declararse esta situacin a la alta direccin y al consejo o junta directiva u rgano competente, informndoles los obstculos que se presentaron para generar esta situacin. 7.7.1.4.2.2 Normas sobre Desempeo 7.7.1.4.2.2.1 Administracin de la Actividad de Auditora Interna El auditor interno debe gestionar efectivamente la actividad que desarrolla para asegurar que su trabajo est generando valor agregado a la organizacin, para lo cual debe ejercer entre otras, las siguientes actividades:
i.
Planificacin. El Auditor Interno debe establecer, por lo menos anualmente, planes basados en los riesgos que afecten el logro de los objetivos de la organizacin, a fin de determinar las prioridades de la actividad de auditora interna, incluyendo entre otros, el derivado de las operaciones y relaciones con otras entidades del mismo grupo econmico.
Pgina 55 - 30
Septiembre de 2009
ii. Comunicacin y Aprobacin. El Auditor Interno debe comunicar los planes y
requerimientos de recursos de la actividad de auditora interna, incluyendo los cambios provisorios significativos al Comit de Auditora y al representante legal, para la adecuada revisin y aprobacin. El Auditor Interno tambin debe comunicar el impacto de cualquier limitacin de recursos.
iii. Administracin de Recursos. Determinar los recursos que necesita para el
adecuado ejercicio de su labor y solicitarlos a la junta directiva u rgano equivalente.

iv. Polticas y Procedimientos. Establecer polticas y procedimientos para guiar la
actividad de auditora interna.

v. Coordinacin. El Auditor Interno debe compartir informacin y coordinar
actividades con los otros rganos de control para lograr una cobertura adecuada y minimizar la duplicacin de esfuerzos.
vi. Informes. Los informes emitidos por el Auditor Interno deben ser precisos,
objetivos, claros, constructivos, completos y oportunos. Igualmente, debern estar debidamente soportados en evidencias suficientes y realizar seguimiento a las acciones tomadas por la administracin frente a estas comunicaciones. 7.7.1.4.2.2.2 Naturaleza del Trabajo La actividad de auditora interna debe evaluar y contribuir a la mejora de los procesos de gestin de riesgos, control y gobierno de la entidad, utilizando un enfoque sistemtico y disciplinado, as:
i.
Gestin de Riesgos: El auditor interno debe evaluar la eficacia del sistema de gestin de riesgos de la organizacin y las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de informacin de la organizacin. Sistema de Control Interno: La actividad de auditora interna debe asistir a la organizacin en el mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y eficiencia de los mismos y promoviendo la mejora continua, sin perjuicio de la autoevaluacin y el autocontrol que corresponden a cada funcionario de la organizacin, de conformidad con los principios sealados en el subnumeral 7.4 del presente captulo. Gobierno Corporativo: La actividad de auditora interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno corporativo, para lo cual debe evaluar el diseo, implantacin y eficacia de los objetivos, programas y actividades de la organizacin.
ii.
iii.
7.7.1.4.2.2.3. Planificacin del trabajo Los auditores internos deben elaborar y registrar un plan para cada trabajo, que incluya el
Septiembre de 2009

alcance, los objetivos, el tiempo y la asignacin de recursos. 7.7.1.4.2.2.4. Desempeo del Trabajo Los auditores internos deben identificar, analizar, evaluar y registrar suficiente informacin, que resulte confiable y relevante, de manera tal que les permita cumplir con los objetivos del trabajo. Adicionalmente deben establecer requisitos de custodia para los registros del trabajo que sean consistentes con las polticas de la organizacin en este sentido, y realizar una adecuada supervisin sobre la calidad del trabajo realizado por los integrantes de su equipo. Los auditores internos deben ser proactivos al analizar, monitorear, indagar, cuestionar, verificar y en general al realizar las actividades propias del aseguramiento, sin limitarse a una simple comprobacin de requisitos formales.
7.7.1.4.2.2.5. Comunicacin de Resultados Los auditores internos deben comunicar los resultados de su trabajo, en forma precisa, objetiva, clara, concisa, constructiva, completa y oportuna. Si una comunicacin contiene un error u omisin significativos, debe corregirse y enviarse nuevamente a todas las partes que recibieron la comunicacin original. Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces deber presentar un informe de su gestin y su evaluacin sobre la eficacia del sistema de control interno, incluyendo todos sus elementos. Dicho informe debe contener por lo menos lo siguiente: i. ii. Ttulo. Identificacin de los temas, procesos, reas o materias objeto del examen, el periodo y criterios de evaluacin y la responsabilidad sobre la informacin utilizada, precisando que la responsabilidad del auditor interno es sealar los hallazgos y recomendaciones sobre los sistemas de control interno y de administracin de riesgos. Especificacin respecto a que las siguientes evaluaciones se realizaron de acuerdo con la regulacin, las polticas definidas por la junta directiva u rgano equivalente y mejores prcticas de auditora sobre el particular: a. Evaluacin de la confiabilidad de los sistemas de informacin contable, financiera y administrativa. b. Evaluacin sobre el funcionamiento y confiabilidad del sistema de control interno. c. Evaluacin de la calidad y adecuacin de los sistemas establecidos para garantizar el cumplimiento con las leyes, regulaciones, polticas y procedimientos.
iii.
Pgina 55 - 32
Septiembre de 2009

d. Evaluacin de la calidad y adecuacin de otros sistemas y procedimientos,
anlisis crtico de la estructura organizacional y evaluacin de la adecuacin de los mtodos y recursos en relacin con su distribucin. iv. Los resultados de la evaluacin realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno y de riesgos. v. Una declaracin de la forma en que fueron obtenidas sus evidencias, indicando cul fue el soporte tcnico de sus conclusiones. vi. Mencionar las limitaciones que encontraron para realizar sus evaluaciones, para tener acceso a informacin u otros eventos que puedan afectar el resultado de las pruebas realizadas y las conclusiones. vii. Relacin de las recomendaciones formuladas sobre deficiencias materiales detectadas, mencionando los criterios generales que se tuvieron en cuenta para determinar la importancia de las mismas. viii. Resultados del seguimiento a la implementacin de las recomendaciones formuladas en informes anteriores. ix. Identificacin, nombre y firma, ciudad y fecha de elaboracin. Lo anterior sin perjuicio de informes extraordinarios que el auditor interno deba presentar cuando detecte irregularidades graves que ameriten la atencin inmediata de los rganos competentes.
7.7.1.4.2.2.6. Supervisin El auditor interno debe establecer un proceso de seguimiento, para supervisar y verificar que las acciones de la direccin hayan sido efectivamente implantadas o que la alta direccin ha aceptado el riesgo de no tomar ninguna accin. Cuando el auditor interno considere que la alta direccin ha aceptado un nivel de riesgo residual que en su concepto pueda ser inaceptable para la organizacin, debe discutir esta cuestin con el representante legal. Si la decisin referida al riesgo residual no se resuelve, el auditor interno y el representante legal deben informar esta situacin a la Junta Directiva o quien haga sus veces, para que adopte la decisin pertinente.
7.7.1.4.2.2.7 Funciones Las principales funciones del auditor interno o de quien tenga a su cargo responsabilidades equivalentes son las siguientes, sin perjuicio de la responsabilidad de autocontrol que corresponde a todos los funcionarios de la organizacin segn los principios sealados en el numeral 7.4 del presente captulo:
i.
Elaborar el plan anual de auditora antes de finalizar el ao anterior y darle estricto cumplimiento. En el caso de entidades subordinadas para las cuales la matriz (sea nacional o extranjera) establezca los lineamientos generales del plan de auditora, deber velar porque stos se ajusten a las disposiciones vigentes en Colombia para la respectiva entidad, as como a las caractersticas propias de su entorno, y
Pgina 55 - 33
Septiembre de 2009

realizar los ajustes pertinentes de acuerdo al tipo de negocio y a la normatividad aplicable. Someter a consideracin del comit de auditora el presupuesto anual de funcionamiento del rea de auditora interna. Realizar una evaluacin detallada de la efectividad y adecuacin del SCI, en las reas y procesos de la organizacin que resulten relevantes, abarcando entre otros aspectos los relacionados con la administracin de riesgos de la entidad, los sistemas de informacin, administrativos, financieros y tecnolgicos, incluyendo los sistemas electrnicos de informacin y los servicios electrnicos. Evaluar tanto las transacciones como los procedimientos de control involucrados en los diferentes procesos o actividades de la entidad, en aquellos aspectos que considere relevantes. Revisar los procedimientos adoptados por la administracin para garantizar el cumplimiento con los requerimientos legales y regulatorios, cdigos internos y la implementacin de polticas y procedimientos. Verificar en sus auditoras la eficacia de los procedimientos adoptados por la administracin para asegurar la confiabilidad y oportunidad de los reportes a esta Superintendencia y otros entes de control. Contribuir a la mejora de los procesos de gestin de riesgos, control y gobierno de la entidad, utilizando un enfoque sistemtico y disciplinado. Adelantar las investigaciones especiales que considere pertinentes, dentro del mbito de su competencia, para lo cual deber contar con la colaboracin de expertos en aquellos temas en que se requiera. Presentar comunicaciones e informes peridicos al comit de auditora o a la junta directiva o a la administracin cuando lo estime conveniente, sobre el resultado del ejercicio de sus funciones. Hacer seguimiento a los controles establecidos por la entidad, mediante la revisin de la informacin contable y financiera. Evaluar los problemas encontrados y solicitar las acciones de mejoramiento correspondientes. Presentar a la Junta Directiva, por lo menos al cierre de cada ejercicio, un informe acerca de los resultados de su labor, incluyendo, entre otros aspectos, las deficiencias detectadas en el SCI.
ii. iii.
iv.
v.
vi.
vii. viii.
ix.
x. xi. xii.
Es de advertir que si bien resulta viable que la administracin de las entidades supervisadas contrate externamente la realizacin de las actividades propias de la auditora, en ningn caso ello implica el traslado de la responsabilidad sobre la auditora misma. Es decir, que la administracin de la entidad slo entrega la ejecucin de la labor ms no la responsabilidad misma de la realizacin de la auditora, la cual conservar siempre. En tal sentido, la administracin de la entidad debe realizar el direccionamiento, administracin y seguimiento de la actividad realizada por el tercero, sin delegar la toma de decisiones tales como los riesgos en los cuales se debe concentrar primordialmente la auditora o la adopcin del plan de auditora. Adicionalmente debe garantizarse el acceso permanente de la administracin y del supervisor a la informacin de la auditora y a los papeles de trabajo, el establecimiento de un plan de contingencias para que no cese la labor en caso de algn problema en la ejecucin del contrato y la independencia entre el
Pgina 55 - 34
Septiembre de 2009

auditor interno y externo (si existe este ltimo), teniendo en cuenta que las dos funciones mencionadas no pueden ser desarrolladas por la misma firma.
7.7.2 rganos Externos
7.7.2.1 Revisor Fiscal De conformidad con lo previsto en el numeral 4.4.2.2 de la Circular Externa 054 de 2008, incorporada en el Ttulo I, Captulo III, numeral 4 de la presente circular, el revisor fiscal de la entidad debe valorar los sistemas de control interno y administracin de riesgos implementados por las entidades a fin de emitir la opinin a la que se refiere y en los trminos consignados en el numeral 4.2.8 ibdem.
7.7.2.2 Contralor Normativo 7.7.2.2.1 Entidades a las cuales se exige contar con contralor normativo y requisitos que debe cumplir el mismo Deben contar con la figura del contralor normativo las sociedades comisionistas de bolsa, segn lo dispuesto en el artculo 21 de la Ley 964 de 2005, y las sociedades administradoras de carteras colectivas, de conformidad con el Decreto 2175 de 2007 y dems normas que lo modifiquen. Teniendo en cuenta que el citado artculo 21 indica que el contralor normativo ser independiente y que el artculo 44 de la misma ley define los criterios de independencia aplicables para todos los efectos previstos en la misma, el contralor normativo en ningn caso debe tener los vnculos que se sealan a continuacin:
i.
Empleado o directivo de la sociedad comisionista, de la administradora de la cartera o de alguna de sus filiales, subsidiarias o controlantes y filiales de las contratantes, incluyendo aquellas personas que hubieren tenido tal calidad durante el ao inmediatamente anterior a la designacin. Accionistas que directamente o en virtud de convenio dirijan, orienten o controlen la mayora de los derechos de voto de la sociedad comisionista o de la administradora de la cartera o que determinen la composicin mayoritaria de los rganos de administracin, de direccin o de control de las mismas. Socio o empleado de asociaciones o sociedades que presten servicios de asesora o consultora a la sociedad comisionista o a la administradora de la cartera o a las empresas que pertenezcan al mismo grupo econmico del cual formen parte stas, cuando los ingresos por dicho concepto representen para aquellos, el veinte por ciento (20%) o ms de sus ingresos operacionales.
ii.
iii.
iv. Empleado o directivo de una fundacin, asociacin o sociedad que reciba donativos
importantes de la sociedad comisionista o de la administradora de la cartera. Se

Septiembre de 2009

consideran donativos importantes aquellos que representen ms del veinte por ciento (20%) del total de donativos recibidos por la respectiva institucin.
v.
Administrador de una entidad en cuya junta directiva participe un representante legal de la sociedad comisionista o de la administradora de la cartera.
vi. Persona que reciba de la sociedad comisionista o de la administradora de la cartera
alguna remuneracin diferente a los honorarios como miembro de la junta directiva, del comit de auditora o de cualquier otro comit creado por la junta directiva. La vinculacin del contralor normativo se efectuar a travs de un contrato de prestacin de servicios u otra modalidad que en ningn caso implique subordinacin. 7.7.2.2.2 Funciones y responsabilidades respecto de las Sociedades Comisionistas de Bolsa El contralor normativo asistir a las reuniones de la junta directiva de la sociedad con voz pero sin voto, y tendr a su cargo, entre otras, las siguientes funciones: i. En desarrollo de la funcin consagrada en el literal a) del artculo 21 de la Ley 964 de 2005, el contralor normativo debe establecer, implementar y verificar el cumplimiento de las polticas y mecanismos adecuados para: La deteccin, prevencin y manejo de conflictos de inters en la realizacin de operaciones de intermediacin que les han sido autorizadas, en particular, de los mecanismos para garantizar que las reas, funciones y sistemas de toma de decisiones correspondientes a cada actividad, estn separadas decisoria, fsica y operativamente. La separacin de los activos administrados o recibidos de sus clientes de los propios y de los que correspondan a otros clientes. La adecuada clasificacin de clientes y la debida prestacin del deber de asesora a los clientes inversionistas. El cumplimiento de las disposiciones del libro de rdenes para garantizar la debida destinacin de los recursos entregados por los clientes. La mejor ejecucin de las operaciones autorizadas, incluyendo entre otras las realizadas con o por cuenta de administradores, miembros de junta, matriz, subordinadas y dems personas o entidades pertenecientes al mismo grupo econmico. La publicacin de tarifas relacionadas con los servicios que presta la sociedad comisionista y la de garantizar que se informe a los clientes sobre dichas tarifas de manera previa a la realizacin de operaciones que le han sido autorizadas. La verificacin respecto a que al interior de la sociedad solo operen las personas inscritas en el Registro Nacional de Profesionales del Mercado de Valores, cuando dicha inscripcin sea condicin para actuar. En desarrollo de la funcin prevista en el literal b) del artculo 21 de la Ley 964 de 2005, el contralor normativo propondr a la junta directiva en las reuniones de dicho rgano social el establecimiento de las medidas para procurar comportamientos ticos y transparencia en las actividades de sus funcionarios y terceros relacionados en el ejercicio de los negocios propios de la comisionista de bolsa;
Pgina 55 - 36
Septiembre de 2009
ii.

detectar y prevenir conflictos de inters; garantizar la exactitud y transparencia en la revelacin de informacin financiera y evitar el uso indebido de informacin no pblica iii. Documentar y comunicar a la junta directiva en las reuniones que adelante dicho rgano social y al representante legal, las situaciones de incumplimiento de la normatividad, polticas o procedimientos internos de la entidad que puedan afectar el sano desarrollo de la actividad de intermediacin de valores, su patrimonio, buen nombre o a sus clientes. iv. Las dems que se establezcan en los estatutos sociales. Estos procedimientos de verificacin deben estar debidamente documentados y estar a disposicin de la SFC. El contralor normativo debe Informar de manera inmediata a la junta directiva u rgano equivalente y a la SFC de irregularidades materiales que advierta en relacin con el desarrollo del objeto social de la comisionista. 7.7.2.2.3 Respecto de las Sociedades Administradoras de Carteras El artculo 58 del Decreto 2175 de 2007 asigna a los contralores normativos, en relacin con las sociedades administradoras de carteras colectivas, entre otras, la funcin de establecer los mecanismos y procedimientos necesarios para que se cumpla con lo dispuesto en: El reglamento de las carteras colectivas. El rgimen de inversiones y las polticas definidas por la junta directiva en materia de inversiones. iii. La correcta valoracin de la cartera. iv. Las actualizaciones de los manuales y procedimientos internos, de conformidad con la normatividad aplicable. v. El cumplimiento de normas relacionadas con operaciones prohibidas en el manejo de las carteras. vi. Las disposiciones legales, reglamentos aplicables y manuales internos en aquellos aspectos que tengan relacin con la actividad de la cartera colectiva.
i. ii.
Adicionalmente, el contralor normativo debe disear mecanismos y procedimientos que permitan hacer seguimiento y supervisin a la toma de decisiones por parte del gerente de la cartera colectiva y del comit de inversiones. Estos procedimientos de verificacin deben estar debidamente documentados y a disposicin de la SFC. El contralor normativo deber presentar, por lo menos anualmente, un informe sobre los resultados de su gestin que incluya como mnimo: hallazgos, acciones implementadas, planes de mejoramiento y seguimiento, cronograma de ajuste y reportes de cumplimiento. Lo anterior sin perjuicio de que informe a la junta directiva u rgano equivalente y a la SFC de manera inmediata la ocurrencia de cualquier evento que impida la normal y correcta ejecucin de sus funciones, as como las irregularidades que puedan afectar el sano desarrollo de la cartera colectiva.
Pgina 55 - 37
Septiembre de 2009
7.8. DOCUMENTOS MNIMOS QUE DEBEN SUSTENTAR LA IMPLEMENTACIN DEL SCI Respecto a la implementacin del sistema de control interno, la SFC podr exigir a travs de la supervisin in situ o extra situ, los manuales, formatos, procedimientos y dems documentos especficamente requeridos en el cuerpo de la presente circular, algunos de los cuales se relacionan a continuacin, sin perjuicio de cualquier otra informacin que estime pertinente en ejercicio de sus atribuciones legales:
i.
ii. iii. iv.
v.
vi.
vii.
viii.
ix. x. xi. xii. xiii.
xiv.
Planes y programas definidos por la entidad para el logro de sus objetivos, incluyendo las correspondientes acciones, responsables y cronogramas, lo cual comprende, entre otros, el plan estratgico de tecnologa. Cdigo de Conducta o su equivalente y documento mediante el cual ste se adopte oficialmente. Documentos que soporten la socializacin de los principios y valores a todos los funcionarios de la entidad. Metodologa y herramienta definidas en la organizacin para hacer la evaluacin que har la organizacin respecto de la aplicacin de los principios de autocontrol, autorregulacin y autogestin, a nivel general, por reas o procesos, segn resulte pertinente. Mapa de los riesgos relevantes, que contenga como mnimo: identificacin de factores internos y externos de riesgo para la organizacin, riesgos identificados por procesos, anlisis de probabilidad de ocurrencia de los riesgos y su impacto, identificacin de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluacin de la efectividad de los controles y definicin de las acciones de mejoramiento necesarias. Poltica para manejo de riesgos definida por la junta directiva u rgano equivalente y la metodologa e instrumentos para la gestin de riesgos en la entidad, incluyendo la definicin de los comits u rganos responsables. Polticas establecidas en materia de manejo de informacin y comunicacin, que incluyan mecanismos especficos para garantizar la conservacin y custodia de informacin reservada o confidencial y evitar su filtracin Documento que soporte la comunicacin a todos los funcionarios de la entidad del mapa de riesgos y de las polticas y metodologas a que se refieren los numerales anteriores. Polticas y metodologa para evaluacin del desempeo, a todos los niveles de la organizacin, incluyendo los indicadores definidos para medir la eficiencia. Estructura organizacional, Manual de funciones, competencias y requisitos a nivel de cargo. Plan anual de auditora interna. Reportes efectuados por los distintos rganos competentes en materia de control. Informes sobre resultados obtenidos en el proceso de seguimiento y evaluacin al cumplimiento de los planes y programas, que incluya la medicin de la satisfaccin de los clientes, usuarios y otras partes interesadas. En relacin con el consumidor financiero (segn la definicin establecida en el artculo 80 del Decreto 4327 de 2005), lo siguiente: a. Polticas de servicio.
Pgina 55 - 38
Septiembre de 2009

b. Polticas de transparencia e integridad en las relaciones con los mismos
(informacin acerca de productos y tarifas, mecanismos y sistemas de atencin). c. Estrategias de servicio al cliente. d. Mecanismos establecidos para la recepcin, registro y atencin de quejas, sugerencias o recomendaciones por parte de los clientes, usuarios u otros grupos de inters y acciones de mejora adelantadas con ocasin del anlisis de las mismas (anlisis punta a punta para los principales motivos, por productos; revisin de productos, implementacin de nuevos canales, revisin de polticas parametrizadas en el sistema, etc.). xv. Actas y/o papeles de trabajo en que consten las decisiones y actuaciones de los rganos de control. xvi. Programas o planes de mejoramiento.
7.9 SCI RESPECTO DE LAS ENTIDADES SOMETIDAS A CONTROL EXCLUSIVO DE LA SFC Para el caso de los emisores de valores sometidos al control exclusivo de esta Superintendencia, el SCI debe ser ajustado o implementado por sus administradores, de acuerdo con el tamao de la respectiva organizacin, la naturaleza de sus actividades y la complejidad de sus operaciones, sin que el costo de las medidas adoptadas exceda el beneficio que de ellas se derive, aplicando los principios de autocontrol, autogestin y autorregulacin establecidos en el numeral 7.4. del presente captulo. De conformidad con lo establecido en el artculo 45 de la Ley 964 de 2005, el comit de auditora supervisar el cumplimiento del SCI de la respectiva entidad. Asimismo, velar porque la preparacin, presentacin y revelacin de la informacin financiera se ajuste a lo dispuesto en la ley. Para el cumplimiento de sus funciones el comit de auditora podr contratar especialistas independientes en los casos especficos en que lo juzgue conveniente. Segn lo dispuesto en el artculo 47 de la mencionada Ley 964, los representantes legales de los emisores de valores sern responsables del establecimiento y mantenimiento de adecuados sistemas de revelacin y control de la informacin, para lo cual debern disear procedimientos de control y revelacin y asegurar que la informacin financiera les es presentada en forma adecuada. En tal sentido, debern certificar que los estados financieros y otros informes relevantes para el pblico no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situacin patrimonial o las operaciones del correspondiente emisor de valores.
Pgina 55 - 39
Septiembre de 2009

Circular 038 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Circular 038 PDF

Uploaded by

Copyright:

Available Formats

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CIRCULAR EXTERNA 038 DE 2009 ( Septiembre 29 )

Referencia: Modificacin a la Circular Externa 014 de 2009.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Plazo: 30 de junio de 2010

Plazo: 30 de septiembre de 2010 Elemento: Monitoreo

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

ROBERTO BORRS POLANA Superintendente Financiero de Colombia

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

ii. iii. iv. v.

PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

vii. viii. ix. x. xi. xii.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Ello incluye, cuando menos, las siguientes actividades:

vi. vii. viii. ix. x. xi. xii. xiii. xiv.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Canales de comunicacin Responsables de su manejo Requisitos de la informacin que se divulga

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Frecuencia de la comunicacin Responsables Destinatarios Controles al proceso de comunicacin

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Supervisin de los procesos contables.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

v. vi. vii. viii. ix. x.

Normas de Control Interno para la gestin de la Tecnologa

Plan estratgico de tecnologa. Infraestructura de tecnologa.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

7.6.2.2 Administracin de la Calidad.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Autorizacin, autenticacin y control de acceso.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

RESPONSABILIDADES DENTRO DEL SISTEMA DE CONTROL rganos Internos

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

7.7.1.2. Comit de Auditora

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

xi. xii. xiii. xiv.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

xiii. xiv. xv.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

ii. Comunicacin y Aprobacin. El Auditor Interno debe comunicar los planes y

adecuado ejercicio de su labor y solicitarlos a la junta directiva u rgano equivalente.

actividad de auditora interna.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

7.7.2 rganos Externos

importantes de la sociedad comisionista o de la administradora de la cartera. Se

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

vi. Persona que reciba de la sociedad comisionista o de la administradora de la cartera