1

RESPUESTAS A LAS INQUIETUDES FORMULADAS EN LA SESIÓN DEL 29 DE SEPTIEMBRE DE 2009 EN RELACIÓN CON LA CIRCULAR EXTERNA 014 DE 2009 - SISTEMA DE CONTROL INTERNO -, INCORPORADA EN EL CAPITULO NOVENO, TÍTULO I DE LA CIRCULAR EXTERNA 007 DE 1996, MODIFICADA POR LA CIRCULAR EXTERNA 038 DE 2009.

N° PREGUNTA RESPUESTA

1 Si la entidad tiene procesos en sinergia con su matriz es necesario que la evidencia del cumplimiento de las prácticas repose en la entidad? Es suficiente con la de la matriz?

De acuerdo con lo dispuesto en el numeral 7.2 de la Circular Externa 014 de 2009, incorporada en el Capítulo Noveno, Título I de la C.E. 007 de 1996, todas las entidades sometidas a inspección y vigilancia de la Superintendencia Financiera de Colombia, ya sean matrices o subordinadas deben implementar y ajustar su SCI a los requisitos mínimos establecidos en el citado Capítulo.

Ahora bien, tratándose de procesos adelantados en sinergia con la matriz no puede perderse de vista que las entidades deben tener claramente definidos los niveles de responsabilidad que les competen y su participación en el desarrollo y ejecución de los controles que correspondan a las operaciones propias de cada una de ellas. En tal sentido, en el caso planteado, tanto la matriz como la subordinada deben contar con la evidencia suficiente que acredite el cumplimiento de los requisitos mínimos que deben adoptarse en materia de control interno.

2 Cuál es el alcance o interpretación que se debe tener al momento de aplicar la función del Comité de Auditoria de aprobar y probar el sistema de Control Interno?

Si bien, entre las funciones asignadas al Comité de Auditoría en el numeral 7.7.1.2.1. punto i. de la Circular Externa 014 de 2009, incorporada en el Capítulo Noveno, Título I de la C.E. 007 de 1996, se señaló la de "Aprobar la estructura, procedimientos y metodologías necesarias para el funcionamiento del SCI", dicha función se precisó mediante la Circular Externa 038 de 2009, quedando en los siguientes términos: " i. Proponer para la aprobación de la junta directiva u órgano que haga sus veces, la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI." Adicionalmente el Comité de Auditoría debe evaluar la estructura de control interno de la entidad, de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la misma, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas, para lo cual podrá apoyarse en las evaluaciones que corresponde realizar al auditor interno, cuando exista esta figura en la entidad.

En este sentido, corresponde al Comité de Auditoría evaluar el SCI de la entidad y su mejoramiento continuo.

3 1) En el punto 7.6.1.1 políticas y procedimientos contables, cuál es el objetivo y el alcance del literal x. Autorizaciones y Establecimiento de Límites.

1) La previsión contenida en el numeral 7.6.1.1. de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, tiene como objetivo responsabilizar del control interno contable a la junta directiva y a la alta gerencia de las entidades vigiladas por la Superintendencia Financiera de Colombia y, desde allí, irrigarlo hacia toda la entidad. Para ello, las entidades deben contar con políticas aprobadas y direccionadas por la junta directiva, y verificadas en su efectividad por el representante legal con el apoyo de los demás funcionarios de la alta gerencia.

En este orden de ideas, las autorizaciones y establecimiento de límites son actividades de monitoreo o de control de operaciones que pueden ser ejercidas por la junta directiva, la alta gerencia y por cualquier funcionario dependiendo del proceso que se esté desarrollando.

2

N° PREGUNTA RESPUESTA

2) En el punto 7.6.1.2 Controles sobre los sistemas de información contable literal i., a qué se refiere y cuál es el alcance de los controles generales?

2) El numeral 7.6.1.2 fue modificado por la Circular Externa 038 de 2009, quedando en los siguientes términos:

“Teniendo en cuenta que la operación del proceso contable depende en gran medida de sus sistemas de información, es necesario adoptar controles que garanticen la exactitud y validez de la información.Se pueden usar dos grandes grupos de actividades de control de sistemas de información: Controles generales y controles de aplicación, según lo definido en el subnumeral 7.5.3 de la presente Circular.”En este orden de ideas, en cuanto se refiere a los controles generales, en el mencionado subnumeral 7.5.3 punto iii., igualmente modificado, se estableció que éstos “… rigen para todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada. Dentro de éstos se incluyen aquellos que se hagan sobre la administración de la tecnología de información, su infraestructura, la administración de seguridad y la adquisición, desarrollo y mantenimiento del software”.De acuerdo con COSO (Committee of Sponsoring Organizations of the Treadway Comisión), los controles generales que se deben aplicar respecto a la información financiera que es generada por los sistemas de la organización incluyen lo siguiente:

a. Controles de la operación del centro de datos, tales como establecimiento y programación del trabajo, procedimientos de respaldo y recuperación, disponibilidad de los sistemas y planeación de contingencias.

b. Controles sobre la adquisición, implementación y el mantenimiento del software del sistema, administración de bases de datos, software de comunicaciones, software de seguridad y utilitarios.

c. Controles a la seguridad del acceso, para prevenir el uso inapropiado o no autorizado del sistema.

Controles al desarrollo y mantenimiento del sistema de aplicación, bosquejo de fases específicas, requerimientos de documentación, aprobaciones y puntos de chequeo para controlar el desarrollo o el mantenimiento del proyecto y el control de las versiones.

4 En las responsabilidades del representante legal aparece "verificar la operatividad de los procedimientos de control para lo cual (…) debe demostrar la ejecución de acciones concretas para verificar la veracidad y confiabilidad del contenido de dichos informes y la eficacia de los controles". Cuál es el alcance de esta instrucción? Significa tener una estructura paralela que le haga auditoría a la auditoria? Cómo se pretende que el representante legal haga esa verificación?

Es de anotar que la C.E. 038 de 2009 modificó el numeral 7° del Capitulo Noveno, Título I de la Circular Externa 007 de 1996 y, en cuanto a las responsabilidades del Representante Legal dentro del Sistema de Control Interno precisó en el numeral 7.7.1.3 que en general, el representante legal es el responsable de “dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento, para lo cual debe demostrar la ejecución de los controles que le corresponden”.Con lo anterior, resulta claro que no se trata de que el representante legal establezca “una estructura paralela que le haga auditoría a la auditoría”, sino de establecer los controles que a su criterio le permitan asegurarse de que la información material sea puesta en su conocimiento, establecer la realidad de los informes que se le presentan, evaluar la eficacia de los controles establecidos y garantizar, en general, razonablemente la eficacia del sistema de control.

3

N° PREGUNTA RESPUESTA

5 Si el control interno tiene la mayor responsabilidad en el Gobierno Corporativo con la participación de la administración y todo el personal, por qué la SFC tiene un "jefe de control interno"?. Es importante reconocer que lo que se quiere es contar con la función o actividad de "Auditoria Interna", parte del SCI.

Las normas para el ejercicio del control interno en las entidades y organismos del Estado en nuestro país, aplicables a la Superintendencia Financiera de Colombia, están contenidas en la Ley 87 de 1993, en cuyo artículo 6 se señala que “ El establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del representante legal o máximo directivo correspondiente. No obstante, la aplicación de los métodos y procedimientos al igual que la calidad, eficiencia y eficacia del Control Interno, también será de responsabilidad de los Jefes de cada una de las distintas dependencias de las entidades y organismos.”. En cuanto a la Oficina de Control Interno, el artículo 9 de la misma ley establece que “Es uno de los componentes del Sistema de Control Interno, de nivel gerencial o directivo, encargado de medir y evaluar la eficiencia, eficacia y economía de los demás controles, asesorando a la dirección en la continuidad del proceso administrativo, la revaluación de los planes establecidos y en la introducción de los correctivos necesarios para el cumplimiento de las metas u objetivos previstos.”. En tal sentido, en el sistema de control interno de la Superintendencia Financiera de Colombia la principal responsabilidad por el establecimiento y desarrollo del sistema de control interno es del Superintendente y los otros miembros de la alta dirección de la entidad, y no del Jefe de la Oficina de Control Interno, a quien corresponde actuar como evaluador independiente respecto del desarrollo, implementación y mantenimiento del mencionado sistema.

Lo anterior resulta armónico con los lineamientos en materia de responsabilidad establecidos en la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año.

En cuanto a la auditoría interna, si bien en las circulares mencionadas se expresa que es una actividad que agrega valor y mejora las operaciones de las organizaciones, ayudándolas a cumplir sus objetivos, no se obliga a las entidades supervisadas a tener auditoría interna, pues las mismas deben determinar si requieren o no un departamento de auditoría o dependencia que cumpla funciones equivalentes, en caso negativo, los administradores deben indicar expresamente en el informe de gestión que presentan al cierre de cada ejercicio al máximo órgano social, las razones por las cuales no se considera procedente contar con dicho departamento, tal como se dispone en el inciso final del numeral 7.7.1.4.1 ibídem.

6 A la luz de la normatividad sobre sistemas de control de riesgos y 014 las normas del SEARS quedan "derogadas" o "desuetas"

En la Circular Externa 038 de 2009 se establece que “En relación con el elemento “Gestión de Riesgos”, las entidades vigiladas deberán atender los plazos y las condiciones establecidos para la implementación de los sistemas especiales de gestión exigidos por esta entidad en la Circular Básica Jurídica y en la Circular Básica Financiera y Contable (incluyendo las normas sobre gestión de riesgos de mercado -SARM-, riesgo de crédito -SARC-, riesgo operativo –SARO-, riesgo de liquidez –SARL-, riesgo de lavado de activos y de la financiación del terrorismo –SARLAFT- y riesgo de garantías –SARG- Sistema Especial de Administración de Riesgos de Seguros - SEARS)” (negrilla fuera de texto).

En el mismo sentido, en el numeral 7.5.2 se reitera que los sistemas de gestión de riesgos específicos mencionados, según resulten aplicables en virtud de la actividad de la entidad, no son independientes del SCI sino que forman parte del mismo, como uno de los elementos fundamentales para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes financieros y el cumplimiento de leyes, normas y reglamentos. Los sistemas de control interno y de administración de riesgos son transversales a todas y cada una de las actividades, procesos y áreas de la entidad, por ello su importancia en el logro de los objetivos estratégicos y de calidad de la información que genera la organización.

4

N° PREGUNTA RESPUESTAEn este orden de ideas, resulta claro que las instrucciones impartidas en relación con el Sistema Especial de Administración de Riesgos de Seguros – SEARS continúan vigentes.

7 Numeral 7.5.4.1: Por los requerimientos de información se entiende que se están adoptando estándares de ISO 20071. Se requiere tener todos estos estándares funcionando y montados para todos los sistemas de información? 31 de diciembre es un plazo muy corto.

En primer lugar es del caso señalar que si bien la Circular Externa 014 de 2009 se basó en varios estándares internacionales, no quedó ligada específicamente a ninguno de ellos.

En segundo lugar, aunque en los diversos apartes de la circular se establecen los requisitos que deben ser implementados o ajustados por las entidades sometidas a inspección y vigilancia de la SFC para efectos de la estructuración, implementación y puesta en marcha de un sistema de control interno efectivo, la misma disposición señala que las reglas, parámetros generales y requisitos mínimos allí contemplados, deben ser ajustados o implementados por las entidades de acuerdo con su tamaño, la naturaleza de sus actividades y la complejidad de sus operaciones, teniendo en cuenta la relación beneficio / costo. En consecuencia, los administradores de cada entidad deberán analizar y verificar este aspecto teniendo en cuenta su conocimiento de la misma, del sector económico al cual pertenece y de los riesgos que enfrenta, sin que en ningún caso el costo de las medidas adoptadas exceda el beneficio que de ellas se deriven.

Finalmente, la Circular Externa 038 de 2009 determinó que los requisitos relacionados con los elementos de Información y Comunicación y Actividades de Control deben estructurarse e implementarse a más tardar el 30 de junio de 2010, y certificarse dentro de los 10 días hábiles siguientes al vencimiento del plazo señalado.

8 Las sociedades comisionistas de Bolsa de la BNA requieren tener auditor interno?

Si bien las Circulares Externas 014 y 038 de 2009 señalan que la auditoría interna es una actividad que agrega valor y mejora la operación de las organizaciones, ayudándolas a cumplir sus objetivos, no establecen para ninguna de las entidades vigiladas por la SFC la obligación de contar con auditor interno, dejando a los administradores de cada entidad la facultad de decidir si la misma va a contar o no con un departamento de auditoría o dependencia que cumpla funciones equivalentes. De otra parte, en las disposiciones que regulan a la Bolsa Nacional Agropecuaria esta figura no se encuentra prevista como un órgano de control obligatorio.

En lo demás, remitimos al párrafo final de la respuesta proporcionada a la pregunta número cinco (5).

9 La C.E. 014 también es un cambio de cultura organizacional y esto requiere de un proceso y tiempo. Qué pasa si al término de una fecha de cumplimiento aún faltan aspectos por desarrollar, por ejemplo al 30 de septiembre vence el plazo de Ambiente de Control, si ya está listo el Código de Conducta, pero aún falta la difusión del mismo, qué pasa para la certificación?

A través de la Circular Externa 038 de 2009 se ampliaron algunos de los plazos establecidos en la Circular Externa 014 del mismo año para la implementación del SCI y se precisaron los requisitos que deberían cumplirse en cada una de las fechas allí señaladas.

Como se señala expresamente en la Circular Externa 038 citada, en las fechas allí señaladas deberá haber culminado la estructuración de las políticas, procedimientos y documentos rectores del SCI, pero se reconoce que su aplicación, consolidación y mantenimiento es un proceso de carácter permanente que claramente no culmina en las fechas de corte establecidas y que se prolonga en el tiempo en un proceso de mejoramiento continuo. En lo que hace referencia al elemento Ambiente de Control, el plazo para su estructuración e implementación vence el 31 de diciembre de 2009, fecha en la cual deben haberse elaborado y promulgado a todos los integrantes de la organización los

5

N° PREGUNTA RESPUESTAsiguientes documentos:

- Código de Gobierno Corporativo o documentos que contengan políticas de la entidad.- Código de Conducta, de ética o documento equivalente.-Manuales de funciones y los procedimientos de selección, inducción, capacitación, evaluación y sistemas de compensación. - Organigrama. - Planeación estratégica.

Si vencido el plazo falta el cumplimiento de alguno de los requisitos exigidos en la circular, este hecho debe informarse en forma clara y concreta dentro de la certificación que deben expedir el representante legal y el presidente de la junta directiva.

10 Hasta dónde es el alcance o límite de la Revisoría Fiscal, el Contralor Normativo y el Auditor Interno. Para evitar la repetición de funciones y/o controles.

La delimitación de las funciones del revisor fiscal, el contralor normativo y el auditor interno de las entidades supervisadas por la Superintendencia Financiera de Colombia se encuentra contenida en las Circulares Externa 054 de 2008 y 014 de 2009 modificada mediante la Circular Externa 038 del mismo año. Uno de los objetivos orientadores para la expedición de las referidas circulares fue precisamente evitar en lo posible la duplicidad de funciones, en el marco de las disposiciones superiores que regulan las referidas materias.

En cuanto al tema específico del control interno, el artículo 209, numeral 3 del Código de Comercio, establece que el informe que debe presentar el Revisor Fiscal a la asamblea o junta de socios, debe expresar, entre otros aspectos, si hay y son adecuadas las medidas de control interno de la entidad.

En este mismo sentido, en el numeral 4.2.8 de la Circular Externa 054 de 2008, se precisó que el revisor fiscal “… debe evaluar si el sistema de control interno de la entidad fiscalizada, incluyendo en éste los sistemas de administración de riesgos implementados o que deban ser implementados de conformidad con las disposiciones que le resulten aplicables, promueve la eficiencia de la misma, reduce los riesgos de pérdida de activos operacionales y financieros; propicia la preparación y difusión de información financiera de alta calidad que muestre los resultados de la administración de los recursos de la entidad y los riesgos relevantes que la afectan, en forma tal que resulte útil para los usuarios de dicha información, así como analizar si los referidos sistemas le permiten a la administración garantizar el adecuado cumplimiento de las normas vigentes.” En armonía con lo anterior, en el numeral 4.4.2.2 de la citada Circular Externa 054 se indicó que la evaluación del control interno “Obedece a la valoración que efectúa la revisoría fiscal de los sistemas de control interno y administración de riesgos implementados por las entidades fiscalizadas, con el fin de emitir una opinión profesional sobre su suficiencia y efectividad…” Esta precisión se reiteró en el numeral 7.7.2.1. de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año.

El alcance de la labor del auditor interno está determinado por las funciones y responsabilidades que se establezcan en el correspondiente estatuto o documento interno aprobado por la junta directiva, en concordancia con las funciones señaladas en el numeral 7.7.1.4.2.2.7 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año.

Finalmente, el alcance de la labor del contralor normativo está definida en los artículos 21 de la Ley 964 de 2005 y en el Decreto 2175 de 2007, según la labor se realice para una sociedad comisionista de bolsa y/o para una cartera colectiva, y

6

N° PREGUNTA RESPUESTAfue precisada en el numeral 7.7.2.2 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, teniendo en todo caso como fin primordial, el de verificar el adecuado y efectivo cumplimiento de las normas por parte de la respectiva entidad a efectos de propender porque el funcionamiento interno de la misma se ajuste al marco legal que rige su actividad.

11 Normalmente una empresa tiene planes, programas, estructura orgánica, manuales de funciones y riesgos, etc. Qué se espera con la Circular, cuándo los solicita?

Efectivamente la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, contiene requerimientos que idealmente toda empresa bien organizada ya debería cumplir. No obstante, es del caso reconocer que si bien sobre los temas de gobierno corporativo y control interno se viene hablando desde hace más de treinta años, especialmente en el último lustro, su implementación es reciente en la mayoría de las empresas.

Los fraudes que han afectado a importantes empresas colombianas y a personas vinculadas a las mismas, no sólo en el pasado distante sino también muy recientemente, evidencian claramente las graves consecuencias que puede tener no contar con un buen gobierno corporativo, que involucre un sólido sistema de control interno y una responsable gestión de riesgos. En efecto, un deficiente control interno puede afectar seriamente la reputación de una entidad e incluso llevarla a su liquidación.

Con base en las observaciones realizadas en ejercicio de la labor de vigilancia y control de la Superintendencia Financiera de Colombia sobre más de 800 empresas de diversos sectores económicos (financieras, industriales, comerciales, agropecuarias y de servicios) se ha encontrado que en muchas de ellas se presentan las siguientes situaciones:

Poca participación de las juntas directivas en la planeación estratégica de las entidades y en su seguimiento. Falta de evaluación formal a la gestión de los administradores y de sistemas de remuneración atados a niveles de

riesgo. Desconocimiento de la responsabilidad de la alta dirección respecto al sistema de control interno. Insuficiente ilustración para la toma de decisiones, unida a pocos cuestionamientos respecto a las recomendaciones

que formula la administración. Presencia en las juntas de pocos directivos con los conocimientos y la experiencia requeridos, especialmente en

épocas de crisis. Inadecuado direccionamiento para la gestión de riesgos. Mínima gestión en la revisión de la calidad, suficiencia y oportunidad de la información que genera la entidad. Insuficiente independencia del auditor interno y poco respaldo a su labor. Presión para cumplir objetivos de rendimiento poco realistas. Bajo nivel de fiscalización sobre la eficacia del control interno y su cumplimiento.

En conclusión hemos encontrado que, salvo pocas excepciones, el desarrollo del control interno en las empresas colombianas ha sido bajo, registrando importantes fallas en la planeación estratégica, deficiencias en la calidad, suficiencia y en ocasiones en la oportunidad de la información; inadecuada administración de riesgos, alta vulnerabilidad a los fraudes, tanto externos como provenientes de sus propios empleados y frecuente incumplimiento de normas, situación que aumenta considerablemente los riesgos a los que están expuestas dichas sociedades, sus accionistas, inversionistas y ahorradores.

Como resultado de los análisis efectuados a raíz de la reciente crisis internacional se encontró que en varios casos de

7

N° PREGUNTA RESPUESTAentidades seriamente afectadas, las juntas directivas tomaron decisiones importantes sin haber analizado información relevante que de haber sido tenida en cuenta probablemente las hubiera llevado a tomar una opción diferente a la que finalmente escogieron.

Por todo lo anterior, dada la importancia de contar con un sólido sistema de control interno, la Superintendencia Financiera de Colombia consideró necesario que las entidades sujetas a su vigilancia estructuren, implementen y mantengan un Sistema de Control Interno o lo adecuen, según el caso, a las mejores practicas internacionales, de tal manera que dicho sistema contribuya al logro de sus objetivos y fortalezca la apropiada administración de los riesgos a los cuales se ven expuestas en el desarrollo de su actividad, realizándolas en condiciones de seguridad, transparencia y eficiencia.

Para el efecto, expidió la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del mismo año, de obligatoria aplicación para todas las entidades sujetas a su vigilancia, las cuales deberán implementar o ajustar su sistema de control interno a los requisitos mínimos establecidos en la circular, siguiendo las mejores practicas internacionales, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo.

Dentro del referido sistema de control interno, los planes, programas y manuales de las entidades deben conformar un cuerpo armónico que facilite la consecución de los siguientes objetivos:

“i. Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspección y vigilancia. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. ii. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones.iii. Realizar una gestión adecuada de los riesgos.iv. Aumentar la confiabilidad y oportunidad en la Información generada por la organización. v. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.”

12 Los numerales iv. Mapa de procesos, xiv, xv. Políticas de Servicios, Políticas de Transparencia, Estrategias de servicio al cliente del literal 7.8 Productos que deben presentarse… En qué fechas deben ser presentados, dentro de qué elementos?

Los “DOCUMENTOS MÍNIMOS QUE DEBEN SUSTENTAR LA IMPLEMENTACIÓN DEL SCI” a que se refiere el numeral 7.8. de la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del mismo año, no requieren ser presentados o enviados a la SFC, salvo en los casos en los cuales ésta los solicite expresamente en desarrollo de las labores de supervisión in situ o extra situ que realice en ejercicio de sus atribuciones legales.

Los documentos relacionados deben ser expedidos por la administración de la entidad en desarrollo del principio de autorregulación establecido en el numeral 7.4.2. de las citadas Circulares, para desarrollar en su interior y aplicar métodos, normas y procedimientos que permitan la estructuración, implementación y mejoramiento del SCI, dentro del marco de las disposiciones aplicables y estar a disposición del supervisor cuando este los requiera.

Estos entregables no encajan exclusivamente dentro de un solo elemento sino que son el resultado del desarrollo varios de ellos.

8

N° PREGUNTA RESPUESTA

13 FONADE, como Empresa Industrial y Comercial del Estado debe cumplir con el MECI (Ley 87/93 - Dec. 1599/05), a través del cual se determina el establecimiento del Comité de Coordinación del Sistema de Control Interno CCSCI, cuyas funciones (Dec 1826/94) son muy similares a las funciones que la C.E. 014/09 adiciona al Comité de Auditoria - El Comité de Coordinación del Sistema de Control Interno está conformado "al más alto nivel jerárquico", concretamente por los Directivos de FONADE o sus delegados. El comité de Auditoría está conformado por los Delegados de la Junta Directiva de la Entidad, teniendo en cuenta que la Junta Directiva de Fonade la integran: Director DNP. Subdirector DNP. Delegado Presidencia de la República. Ministro de Comercio Industria y Turismo, quien delegará solamente en el Viceministro. 1. Es posible integrar los 2 comités y llevar uno solo? 2. El comité podría estar integrado por Delegados de Junta Directiva y Delegados de los Directivos?

De conformidad con lo señalado en la Circular Externa 014 de 2009, las entidades supervisadas que pertenezcan al sector público y estén obligadas a la adopción del Modelo Estándar de Control Interno - MECI según lo establecido en el Decreto 1599 de 2005 y sus reglamentos, deberán complementar dicho modelo con los aspectos incluidos en dicha Circular, modificados por la Circular Externa 038 de 2009, en cuanto no se encuentren previstos dentro del MECI.

En este sentido, es de señalar que de acuerdo con lo dispuesto en el artículo 13 de la Ley 87 de 1993, en armonía con lo previsto en el artículo 5 de la misma Ley, FONADE entre otras entidades, debe contar con un Comité de Coordinación del Sistema de Control Interno, el cual se encuentra reglamentado por el Decreto 1826 de 1994 y cuyas funciones previstas en el artículo 5 de este Decreto, son de coordinación y apoyo.

De otra parte, es de advertir que el comité de auditoría se encuentra previsto como uno de los órganos internos responsables de garantizar un eficaz Sistema de Control en las entidades vigiladas y en los términos del artículo 7.7.1.2 de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, dicho comité depende de la junta directiva y es el encargado de la evaluación del control interno y de su mejoramiento continuo, desarrollando funciones de carácter eminentemente de asesoría y apoyo, contempladas en el numeral 7.7.1.2.1 ibídem.

Respecto del Comité de Auditoría se deben atender, entre otros, los siguientes requerimientos: estar integrado por tres miembros de junta directiva u órgano equivalente, ser en su mayoría independientes, esto último para aquellas entidades que por disposición legal o estatutaria cuenten con miembros independientes en el referido órgano de administración, tener un reglamento interno, reunirse por lo menos cada tres meses (consignando en actas sus decisiones y actuaciones) y presentar informes especiales cuando éstos sean necesarios.

En este orden de ideas, se observa que dada la naturaleza de FONADE como empresa industrial y comercial del Estado obligada a contar con un Comité de Coordinación del Control Interno cuyas funciones se complementan con las previstas para el Comité de Auditoría, esta Superintendencia considera que bajos los parámetros antes expuestos, resulta viable que el citado Comité de Coordinación asuma las funciones asignadas al Comité de Auditoría por la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, siempre y cuando la conformación del referido Comité de Coordinación se ajuste a los requisitos del numeral 7.7.1.2.2, es decir, esté integrado directa y exclusivamente por miembros de la Junta, y además cumpla en su totalidad con las funciones del numeral 7.7.1.2.1 de la referida circular.

Es de recordar que en todo caso el comité deberá contar con el correspondiente reglamento interno, reunirse con la periodicidad requerida y presentar los informes que sean de su competencia a la junta directiva de la entidad.

14 1) Los requerimientos de diseñar e implantar estrategias y mecanismos para administrar la seguridad de la información implicaría seguir el estándar 27001?

1) El requerimiento de diseñar e implementar estrategias y mecanismos para administrar la seguridad de la información de acuerdo con lo previsto en el numeral 7.5.4.1 de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, no está sujeto a la aplicación de estándares específicos como el de la norma ISO 27001. Corresponde por lo tanto a la administración de la entidad determinar la conveniencia de su aplicación, si los mismos resultan razonables de acuerdo con la naturaleza, tamaño, características y/o necesidades de la entidad.

9

N° PREGUNTA RESPUESTA

2) Cuando se habla de un programa de calidad para la auditoria se está requiriendo que este proceso este certificado?

3) A qué clase de objetivos de cumplimiento hace referencia a la Circular?

4) Los indicadores de rendimiento se asimilarían a indicadores de gestión?

5) Cuál considera la Superfinanciera que es la dependencia o área que debe coordinar la implementación y mantenimiento de la C.E. 014? La estructura organizacional para soportar el alcance del SCI, implica definir un líder de implementación o instancias para el seguimiento?

6) El plazo establecido para la implementación de un Sistema de Seguridad de la Información es insuficiente. Se puede definir un cronograma para su implementación para que sea desarrollado durante todo el 2010?

2) Las instrucciones impartidas en el numeral 7 de la citada Circular, no exigen la certificación de ningún proceso o programa, la decisión de obtener la certificación correspondiente depende de lo que determine la administración de las entidades vigiladas.

3) Según lo señalado en el punto v. del numeral 7.5.1 de la Circular Externa 014 de 2009, el cual fue complementado por la Circular Externa 038 de 2009, los objetivos de cumplimiento se refieren a aquellos encaminados a asegurar razonablemente el cumplimiento por parte de la entidad de las normas legales y los reglamentos que le sean aplicables.

4) Los indicadores de rendimiento también se pueden entender como indicadores de gestión, los cuales en lo que hace referencia al numeral 7.5.3 ibídem, buscan medir si las instrucciones de la administración en relación con sus riesgos y controles se están cumpliendo en todos los niveles y funciones de la organización. Dichos indicadores pueden ser de cumplimiento, de calidad o de oportunidad en el desarrollo de las actividades de control.

5) Si bien son funciones de la junta directiva como máximo órgano de administración, entre otras, definir y adoptar las estrategias y políticas generales relacionadas con el SCI, fijar las directrices sobre la estructura, procedimientos y metodologías inherentes al mismo y hacerle seguimiento, la implementación de las mismas corresponde al representante legal de la entidad, de acuerdo con las funciones asignadas en el numeral 7.7.1.3 de la citada Circular y, por lo tanto, es éste el encargado de liderar dicha implementación, con el apoyo de los jefes de las diferentes áreas de la organización.

Por otra parte es de señalar que todos los funcionarios de la entidad juegan un papel importante en el mantenimiento y mejoramiento continuo de su SCI. Es por ello, que el artículo 7.4.1. hace referencia al autocontrol como uno de los principios del SCI, el cual consiste en la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades. 6) De conformidad con lo establecido en la Circular Externa 038 de 2009, el plazo previsto para la implementación de los Elementos de Información y Comunicación y Actividades de Control fue ampliado hasta el 30 de junio de 2010, plazo que se ha considerado suficiente para cumplir con los siguientes requisitos.

1. Establecimiento y promulgación de:

Políticas y procedimientos para la generación, divulgación y custodia de la información de la entidad. Políticas y procedimientos contables (Recepción, identificación, medición, clasificación, reconocimiento, procesamiento, interpretación, análisis y controles establecidos en el numeral 7.6.1.)Políticas y procedimientos para cada uno de los aspectos señalados para la gestión de tecnología a que se refiere el numeral 7.6.2.

10

N° PREGUNTA RESPUESTA

7) Dentro del numeral 7.5.3 Actividades de Control, a qué hace referencia el ítem ii "Gestión directa de funciones o actividades” y cómo se demuestra su cumplimiento?

8) Las asesorías de Control Interno o Contralorías estarían o están impedidas para liderar la implementación de la C.E. 014?

Actividades de control (Revisiones de alto nivel, controles generales, controles de aplicación, limitaciones de acceso, acuerdos de confidencialidad, entre otros).

2. Aplicación de las políticas y procedimientos a que se refiere el numeral anterior.

3. Análisis de los sistemas de información contable y de revelaciones, así como de la tecnología que los soporta, identificando las acciones de mejoramiento que resulten pertinentes.

7) “Las actividades de control son las políticas y procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la organización en todos los niveles y funciones”. Para realizar estas actividades, la SFC estableció unas actividades obligatorias para todas las áreas y procesos de las entidades entre las que se menciona la denominada “Gestión directa de funciones o actividades”. Esta actividad de control no es otra que la supervisión que hace el superior jerárquico de las funciones y actividades encomendadas a los funcionarios que dependen de él, encaminadas a lograr los objetivos de los cuales es responsable y debe controlar.

Ahora bien, su cumplimiento puede acreditarse a través de las metodologías y herramientas definidas en la organización para hacer la evaluación que se realizará respecto de los principios de autocontrol, autorregulación y autogestión; de los documentos de monitoreo correspondientes o de la evaluación independiente que se efectúe.

8) Las asesorías de que trata el numeral 7.7.1.4.2.1.3 están llamadas a servir de apoyo y asistencia al auditor interno y a su equipo de trabajo en aquellas áreas especializadas respecto de las cuales él o su personal no tengan los conocimientos necesarios, por lo tanto, y en armonía con lo señalado en la respuesta contenida en el numeral 5 precedente, no son las llamadas a liderar la implementación de las instrucciones impartidas por esta Superintendencia en relación con el SCI.

De otra parte, si bien la junta directiva y el representante legal pueden contar con el apoyo de asesores internos o externos que los ayuden en el ejercicio de sus funciones, la responsabilidad que les corresponde de conformidad con lo establecido en los numerales 7.7.1.1.1. y 7.7.1.3. de la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del mismo año, no puede ser transferida a dichos asesores.

15 Por favor comente sobre la diferencia existente en el SCI teniendo en cuenta distintos tamaños y estrategias de las entidades vigiladas.

Las instrucciones impartidas por esta Superintendencia en materia de SCI, reconocen las diferencias existentes entre los distintos sectores y entidades sujetas a vigilancia de la SFC, por lo cual en el numeral 7.2, respecto del alcance de la Circular Externa 014 de 2009, se señaló que las entidades supervisadas “deberán implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo. “En tal sentido, no se creó una estructura rígida que deba ser aplicada uniformemente a todas las entidades, sino que se permite explícitamente que los directivos de cada entidad (en lo cual pueden colaborar también los gremios correspondientes

11

N° PREGUNTA RESPUESTAcuando existan) diseñen el sistema que resulte apropiado para sus características específicas (así una empresa muy grande deberá tener un sistema de control interno complejo, mientras que una pequeña podrá tener uno muy sencillo), siempre y cuando se acredite ante el supervisor que se cumplen los mínimos allí señalados y que con dicho sistema se asegura que se logren los siguientes objetivos:

- Mejorar la eficiencia y eficacia en las operaciones de la respectiva entidad.- Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la organización.- Realizar una gestión adecuada de los riesgos.- Aumentar la confiabilidad y oportunidad en la Información generada por la organización, especialmente con destino al mercado financiero (incluyendo en éste el mercado de valores).- Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.

16 ¿Cómo pueden las entidades determinar el alcance específico de cada uno de los ítems señalados en cada elemento del Sistema de Control Interno definido en la Circular, para estar alineados con la Superintendencia y sus expectativas?

La estructura del Sistema de Control Interno establecida por la Superintendencia Financiera de Colombia mediante la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, está conformada por los elementos denominados Ambiente de Control, Gestión de Riesgos, Actividades de Control, Información y Comunicación, Monitoreo y Evaluación Independiente, además de las áreas especiales y los responsables dentro del sistema de control.

Así, las entidades vigiladas por la Superintendencia Financiera de Colombia deben implementar o ajustar su SCI a los requerimientos mínimos de que trata la citada reglamentación con el alcance y características específicas que se determine como resultado de la evaluación que la administración efectúe respecto de las necesidades y situaciones particulares de cada organización y de su entorno, aspecto éste que deberá ser verificado internamente por la junta directiva, con el apoyo de la alta dirección y la auditoría interna, y ser evaluado de manera independiente por el revisor fiscal.

En cada caso la administración de la respectiva entidad deberá estar en capacidad de acreditar que la implementación de los elementos antes citados se ajusta al tamaño, naturaleza y características de las mismas y atiende la relación beneficio/costo. Así mismo deberá acreditar que el SCI adoptado es suficiente para el control de sus actividades.

17Es compatible la función de aprobación y asignación de responsabilidades del Comité de Auditoría con la de supervisión y revisión del Sistema de Control Interno?

Mediante la Circular Externa 038 de 2009 se incorporaron modificaciones a los términos en que fueron previstas algunas de las funciones del Comité de Auditoría, ajustándolas a su función de órgano de asesoría y apoyo de la Junta Directiva. En este orden de ideas, el comité de auditoría no cuenta con facultades o funciones de aprobación o toma de decisiones dentro de la estructura de la entidad.

De otra parte, la supervisión de las funciones y actividades de la auditoría interna u órgano que haga sus veces, señalada en el literal viii. continúa vigente y a cargo del Comité de Auditoría.

Así las cosas se tiene que todas las funciones asignadas al Comité son compatibles y se encuentran armónicamente relacionadas, de tal manera que su correcto ejercicio garantizará una efectiva y eficaz labor.

18La figura de Auditor Interno a partir de qué fecha se debe establecer?

Según lo dispuesto en la Circular Externa 014 de 2009 la adecuación de la composición y funcionamiento de los órganos de administración y control se debe realizar a más tardar el 30 de abril de 2010. No obstante, es de advertir que las Circulares

12

N° PREGUNTA RESPUESTAExternas 014 y 038 de 2009, no establecen para ninguna de las entidades vigiladas por la Superintendencia Financiera de Colombia la obligación de contar con auditor interno, tal como se ha indicado anteriormente.

19 La Circular 14 tiene retos especiales al interior de cada entidad, se deben realizar cambios de cultura que requieren tiempo. La norma tiene tiempos cortos - Qué posibilidad hay de aplazar la entrada en vigencia?

A través de la Circular Externa 038 de 2009 se modificaron, entre otros aspectos, algunos de los plazos previstos en el cronograma inicial establecido en la Circular Externa 014 para la implementación y/o adecuación del Sistema de Control Interno por parte de las entidades vigiladas.

En las fechas allí mencionadas deberá haber culminado la estructuración de las políticas, procedimientos y documentos rectores del SCI, pero es claro que la consolidación de los diferentes elementos y muy especialmente de la cultura organizacional sólo se consolida en el mediano plazo y requiere una labor de mantenimiento de carácter permanente.

20 1) Especificar los entregables para cada etapa.

1) A través de la Circular Externa 038 de 2009, que modificó la Circular Externa 014 del mismo año, se especifican los entregables exigibles en cada uno de los plazos allí establecidos, así:

Plazo: 31 de diciembre de 2009

Elemento: Ambiente de ControlRequisitos objeto de la certificación: Establecimiento y promulgación de:

Código de Gobierno Corporativo o documentos que contengan políticas de la entidad. Código de Conducta, de ética o documento equivalente. Manuales de funciones y procedimientos de selección, inducción, capacitación, evaluación y sistemas de

compensación. Organigrama. Planeación estratégica.

Plazo: 30 de junio de 2010

Elementos: Información y Comunicación y Actividades de Control(Incluye SCI de la Gestión Contable y la Gestión de la Tecnología).Requisitos objeto de la certificación:

1. Establecimiento y promulgación de:

Políticas y procedimientos para la generación, divulgación y custodia de la información de la entidad. Políticas y procedimientos contables (Recepción, identificación, medición, clasificación, reconocimiento,

procesamiento, interpretación, análisis y controles establecidos en el numeral 7.6.1.) Políticas y procedimientos para cada uno de los aspectos señalados para la gestión de tecnología a que se refiere el

numeral 7.6.2.

13

N° PREGUNTA RESPUESTA

2) Existirá formulario o formato para reportar el cumplimiento?

Actividades de control (Revisiones de alto nivel, controles generales, controles de aplicación, limitaciones de acceso, acuerdos de confidencialidad, entre otros).

2. Aplicación de las políticas y procedimientos a que se refiere el numeral anterior.

3. Análisis de los sistemas de información contable y de revelaciones, así como de la tecnología que los soporta, identificando las acciones de mejoramiento que resulten pertinentes.

Plazo: 30 de septiembre de 2010

Elemento: MonitoreoRequisitos objeto de la certificación: Establecimiento y promulgación de políticas y procedimientos para la realización del monitoreo por parte de los jefes

de área y alta dirección.

Aplicación de las políticas y procedimientos de monitoreo mencionadas anteriormente.

Plazo: 31 de diciembre de 2010

Elemento: Evaluación IndependienteRequisitos objeto de la certificación: Realización de la verificación sobre la efectividad del sistema de control interno adoptado por la respectiva entidad,

realizada por evaluadores independientes.

Este requisito se cumple a través de evaluaciones de auditores internos, el revisor fiscal o auditores externos.

Informes presentados por los evaluadores independientes.

Cronograma para la realización de las acciones correctivas y preventivas necesarias para el mantenimiento, mejoramiento y consolidación del SCI, determinadas como resultado de las evaluaciones efectuadas.

2) No se adoptó formulario o formato para reportar el cumplimiento de cada etapa. Las entidades deberán certificar el cumplimiento de las metas atendiendo el elemento que corresponda y los requisitos objeto de la certificación, los cuales fueron precisados en la Circular Externa 038 de 2009.

21 Es viable que las entidades públicas con ocasión de la implementación del SCI tramiten ampliación de planta, con el fin de cumplir con las nuevas obligaciones?

La ampliación de la planta de personal, así como las demás adecuaciones organizacionales necesarias para implementar el SCI, corresponden a una decisión discrecional y autónoma de cada entidad. En todo caso, las estructuras y la organización y distribución de funciones dentro de las mismas deben asegurar el adecuado funcionamiento del Sistema de Control Interno.

22 En los estatutos internos de un emisor de Respecto de los emisores de valores sometidos al control exclusivo de la Superintendencia Financiera de Colombia, es de

14

N° PREGUNTA RESPUESTAvalores que establece que el Presidente de la Junta Directiva tendrá un suplente, quien lo reemplazará en sus faltas o ausencias ¿Puede el suplente del presidente de la junta, realizar todas las certificaciones que exigen la circular externa 014 de 2009?

advertir que entre otras modificaciones efectuadas a la Circular Externa 014 de 2009 a través de la Circular Externa 038 del mismo año, se ajustó el ámbito de aplicación de las instrucciones impartidas en relación con la revisión y adecuación del SCI. En consecuencia los emisores de valores sujetos al control exclusivo, deberán atender en materia de control interno lo dispuesto en el numeral 7.9 del citado instructivo, relacionado con los principios de autocontrol, autogestión y autorregulación.

Tratándose de emisores sometidos al control concurrente, deberán atender las normas y disposiciones que sobre el SCI haya emitido o llegue a emitir el Gobierno Nacional y las demás entidades competentes.

Sin perjuicio de lo anterior, es de advertir que las funciones asignadas en las diferentes disposiciones al representante legal de una sociedad sólo pueden ser asumidas por su suplente en aquellos casos en los cuales se presente ausencia temporal o definitiva del titular.

23 Uno de los objetivos del SCI es aumentar la confiabilidad y oportunidad en la información generada por la organización. A qué tipo de información se refiere? (financiera, operativa, lo que es base para toma de decisiones gerenciales, etc.)

En el numeral 7.5.4. de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, se hace referencia de manera general a toda la información generada por la entidad y de la cual depende la operación de la misma o que permite dirigir y controlar el negocio, a saber, la información contable, financiera, administrativa, operativa, así como la información que la organización deba proporcionar a esta Superintendencia, a otras entidades del Estado, a los diferentes agentes del mercado y al público en general.

Como se señala expresamente en la norma citada, los sistemas de información y comunicación son la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal de la organización cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción de las decisiones que les corresponde en relación con la respectiva entidad.

24 La función de promoción del mercado se olvidó?

Las Circulares Externas 014 y 038 de 2009 de la Superintendencia Financiera de Colombia establece que las entidades sometidas a su supervisión deben estructurar, implementar y mantener un SCI ajustado a las mejores prácticas internacionales, que les permita el logro de sus objetivos, realizando sus actividades en condiciones de eficiencia, seguridad y transparencia.

Como se reconoce a nivel internacional, la calidad, oportunidad, veracidad, suficiencia y en general la credibilidad de la información que se revela al público, constituyen la esencia de la transparencia como principio medular de los mercados de valores.

Es por lo anterior que en el numeral 7.5.4.1 de la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del mismo año, se señala que las entidades deben contar con sistemas que garanticen que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (efectividad, eficiencia, confiabilidad) y cumplimiento, para lo cual deberán establecer controles generales y específicos, con el fin de brindar a los accionistas, tanto actuales como potenciales, tenedores de títulos de deuda y demás participantes en el mercado público de valores, todos los elementos de juicio necesarios para la adopción de las decisiones que les corresponden.

15

N° PREGUNTA RESPUESTA

En tal sentido, resulta evidente que entre otros objetivos las Circulares Externas 014 y 038 de 2009 buscan la promoción del mercado de valores, considerando que la implementación de un adecuado sistema de control interno lo fortalecerá, toda vez que la confiabilidad en la calidad y transparencia de la información generará un impacto favorable en el mismo.

25 Fechas para certificar control interno en la gestión contable y gestión de la tecnología.

De acuerdo con los nuevos plazos establecidos en la Circular Externa 038 de 2009 para la implementación del SCI, los requisitos relacionados con los elementos de Información y Comunicación y Actividades de Control, que incluyen el SCI de la Gestión Contable y la Gestión de la Tecnología deben cumplirse al 30 de junio de 2010, por lo tanto, la correspondiente certificación deberá ser envida a esta Superintendencia dentro de los diez (10) días hábiles del mes de julio del mismo año.

26En el numeral 7.6.2 se establece: “Instalación y acreditación de los sistemas" a qué hace referencia?

Con qué personas de la Superintendencia nos podemos contactar para solucionar inquietudes?

La instalación y acreditación de los sistemas hace referencia a la necesidad de realizar pruebas a los sistemas nuevos o modificados para que trabajen sin problemas relevantes después de la instalación en el ambiente de producción.

Esto requiere probar que la infraestructura sea apropiada para el propósito deseado y esté libre de errores como también planear las liberaciones a producción.

Todo esto se puede lograr estableciendo una metodología de pruebas, evaluar y aprobar los resultados de las pruebas y realizar revisiones posteriores a la implementación.

Para cualquier inquietud por favor comunicarse con el Centro de Contacto de esta Superintendencia, teléfono 419-7100.

27 Cuál es el alcance del punto 7.6.2.2. literal i. "programas para establecer una cultura de calidad de la tecnología en toda la entidad"

El establecimiento de una cultura de calidad de la tecnología se refiere a todas aquellas actividades que tienden a interiorizar y facilitar el cumplimiento de los requerimientos, políticas y procedimientos de calidad definidos por una entidad, con el fin de que las características de los productos o servicios tecnológicos cumplan con las necesidades y expectativas establecidas por los clientes internos y externos de una organización.

En desarrollo de lo anterior, las entidades deberán elaborar programas en los que se definan las actividades (charlas, talleres, actividades lúdicas, avisos, mensajes, etc.) para sensibilizar a todos los empleados sobre la importancia de llevar a cabo sus funciones de acuerdo con las políticas y procedimientos de tecnología establecidos con el fin de lograr y mantener los estándares de calidad.

28 Cuál es el ente al que debe reportar el corredor de Reaseguros que no tiene Junta Directiva? Es decir el equivalente a la Junta Directiva, teniendo en cuenta que por resolución de la Superfinanciera no está obligado a tenerla.

Teniendo en cuenta que las entidades corredoras de reaseguros constituidas como sociedades de responsabilidad limitada no están obligadas a contar con junta directiva, corresponde a la junta de socios, como máxima autoridad social, asumir en cuanto resulte pertinente las funciones asignadas a dicho órgano de administración.

En este sentido, será la junta de socios la encargada y la competente para tomar todas las decisiones y ejecutar las actuaciones que se produzcan en desarrollo de las actividades de control, constituyéndose en la máxima autoridad dentro de la entidad en materia de Control Interno.

16

N° PREGUNTA RESPUESTASin perjuicio de lo anterior, es de precisar que si bien sólo para las sociedades anónimas se encuentra legalmente prevista la obligación de contar con junta directiva, estatutariamente las sociedades de responsabilidad limitada pueden prever su existencia cuando así lo consideren conveniente o necesario para su adecuado funcionamiento.

29 Cómo se interpreta la independencia y objetividad del Contralor Interno (o Auditor Interno)

A efectos de determinar el alcance e interpretación de los principios de independencia y objetividad del contralor interno, consideramos pertinente transcribir las definiciones que sobre el particular traen las Normas para el Ejercicio Profesional de la Auditoría Interna emitidas por el Instituto de Auditores Internos (IIA) y a las cuales se remite el numeral 7.7.1.4.1 del Capítulo Noveno, Título Primero de la C.E. 007 de 1996.

“El término independencia hace referencia a que el auditor a cargo del área debe responder ante un nivel jerárquico tal en la organización que le permita emitir opiniones imparciales y equilibradas, lo cual es esencial para realizar adecuadamente una auditoría. Así mismo, esa función independiente dentro de la Organización le permite estar libre de injerencias al momento de determinar el alcance de la auditoría, durante la ejecución de la misma y al momento de comunicar sus resultados.La objetividad, se refiere a que el auditor interno debe tener una actitud imparcial y neutral, y debe evitar los conflictos de intereses.”. (negrilla fuera de texto).

Así, la independencia supone una actitud mental que permita al auditor actuar con libertad, de acuerdo con su criterio profesional y las normas éticas, para lo cual debe encontrarse libre de cualquier predisposición, vínculo, situación o relación con las personas o áreas auditadas que limite su imparcialidad en la consideración de los hechos, así como en la formulación de sus conclusiones. Por su parte, la objetividad implica que el auditor debe realizar su análisis únicamente con base en las evidencias encontradas y no en consideraciones subjetivas u otros elementos que carezcan de un adecuado soporte.

De acuerdo con los estándares internacionales, se considera una práctica de buen gobierno corporativo que el auditor interno sea designado por la Junta Directiva u órgano equivalente, a efectos de propender por su independencia y objetividad y así se recomendó en el numeral 7.7.1.4.2.1.2 de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año.

30 Cuáles son los criterios específicos para homologar la evaluación del SCI por la SFC.

La Circular Externa 038 de 2009, mediante la cual se modificó la Circular Externa 014 de 2009, precisó los requisitos específicos que deberán cumplir las entidades vigiladas para efectos de acreditar ante esta Superintendencia la estructuración e implementación de los principales elementos del sistema de control interno.

Por otra parte, es de recordar que la evaluación del sistema de control interno corresponde principalmente a la administración de la respectiva organización. Así, es función de la junta directiva definir y aprobar las estrategias y políticas generales relacionadas con el SCI, de acuerdo con la naturaleza y tamaño de la compañía, la complejidad de sus operaciones y la relación costo/beneficio, entre otros aspectos, con fundamento en las recomendaciones del Comité de Auditoría y los informes del auditor interno, quien tiene la responsabilidad de realizar una evaluación detallada de la efectividad y adecuación del SCI, en las áreas, procesos y transacciones de la organización que resulten relevantes, abarcando v.gr. los relacionados con la administración de riesgos de la entidad, los sistemas de información, administrativos,

17

N° PREGUNTA RESPUESTAfinancieros y tecnológicos, incluyendo los sistemas electrónicos de información y los servicios electrónicos.

Sin perjuicio de lo anterior, es de señalar que actualmente la SFC está desarrollando una metodología para el seguimiento del SCI de las entidades vigiladas, para efectos de homologar los criterios de supervisión del Sistema.

31 Es deber de las entidades adjuntar todos los manuales de procedimientos al certificado que firman el Representante Legal y el Presidente de la Junta Directiva?

En principio, el representante legal y el presidente de la junta directiva de las entidades vigiladas no deberán anexar ningún documento a la certificación que expidan para acreditar el cumplimiento de los requisitos establecidos en la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año e incorporada al Capítulo Noveno, Título Primero de la Circular Externa 007 de 1996.

Lo anterior, sin perjuicio de que los documentos mínimos que deben sustentar la implementación del SCI, de acuerdo con lo previsto en el numeral 7.8 de la citada Circular, se encuentren a disposición de esta Superintendencia, quien podrá exigirlos en cualquier momento, en ejercicio de sus funciones de supervisión in situ o extra situ.

32 En síntesis y considerando la independencia, cuál es la responsabilidad del Auditor o Contralor Interno respecto al SCI.

La responsabilidad del auditor o contralor interno está determinada por las funciones que se establezcan en el correspondiente estatuto o documento interno aprobado por la junta directiva, en concordancia con las funciones señaladas en el numeral 7.7.1.4.2.2.7 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año.

Al respecto, adicionalmente debe considerarse que según se precisó en el numeral 7.7.1.4.1. de la mencionada Circular, la auditoría está concebida para agregar valor y mejorar las operaciones de una organización, ayudándola a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

33 Cómo supone la SFC que el Comité de Auditoría debe cumplir con las funciones de hacer? Con qué herramientas deben contar, dado que por lo general el comité se reúne una vez al trimestre?

En el Sistema de Control Interno reglamentado por la SFC para las entidades sujetas a su vigilancia, el comité de auditoría está previsto como un órgano dependiente de la junta directiva y debe estar integrado por lo menos con tres (3) miembros de dicho órgano de administración, quienes deberán tener experiencia y ser conocedores de los temas relacionados con las funciones asignadas al referido órgano social, y podrán contar con el apoyo de funcionarios de la misma organización o de asesores externos para el adecuado cumplimiento de sus funciones.

Así mismo, sirven como insumo para la labor del comité de auditoría los informes del auditor interno y otros órganos colegiados de la organización, así como del revisor fiscal y las observaciones que formulen las entidades de control.

Adicionalmente, el Comité de Auditoría cuenta con facultades para solicitar los informes que considere convenientes para el adecuado cumplimiento de sus funciones. De otra parte, en relación con la periodicidad de las reuniones del comité de auditoría, en el numeral 7.7.1.2.4 de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, se precisa que “deberá reunirse cada tres (3) meses, o con una frecuencia mayor si así lo establece su reglamento o lo ameritan los resultados de las evaluaciones de SCI”.

18

N° PREGUNTA RESPUESTAAsí las cosas, es potestativo de la junta directiva de las entidades vigiladas, determinar en el reglamento de funcionamiento de su Comité de Auditoría, si conforme a sus necesidades específicas, considera pertinente que éste se reúna con una mayor periodicidad, a efectos de desarrollar adecuadamente las funciones de hacer asignadas, y todas las demás señaladas en el numeral 7.7.1.2.1 de la Circular citada.

Lo anterior no obsta, para que el mismo Comité, de considerarlo necesario o pertinente, decida igualmente reunirse con una mayor frecuencia.

Ahora bien, independientemente de la periodicidad prevista para las reuniones del comité de auditoría, no puede perderse de vista que el cumplimiento de su labor es de carácter permanente.

34 Las entidades que ya tienen implementado el MECI, pueden aplicarlo en el cumplimiento de la CE 014? O sea, al cumplir con MECI se está cumpliendo con la CE 014?

El Modelo Estándar de Control Interno – MECI, adoptado mediante el Decreto 1599 de 2005 es válido como sistema de control interno de las entidades públicas sometidas a la vigilancia de esta Superintendencia.

No obstante, según se señala en la Circular Externa 014 de 2009, las entidades supervisadas que pertenezcan al sector público y estén obligadas a la adopción del MECI, deberán complementar dicho modelo con los aspectos incluidos en dicha Circular, modificada por la Circular Externa 038 de 2009, en aquello que no se encuentre previsto en el MECI.

35 El buen gobierno es fundamental. La Junta Directiva es un órgano clave que debe estar al tanto y discutiendo la estrategia de la compañía. Sin embargo hoy en día está dedicada a revisar temas de control y supervisión, aprobación de manuales y documentos y no a analizar la estrategia y la gestión con visión del futuro de la entidad. No debería la junta directiva dedicarse a la estrategia y los manuales de riesgo ser órbita de la administración?

Como bien se señala, la Junta Directiva es el órgano encargado de delinear, discutir y aprobar la estrategia, y, también le corresponde velar porque esa estrategia se cumpla y porque todas las políticas y directrices que imparta también sean cumplidas a lo largo de la organización. En este orden de ideas, la Junta Directiva es un órgano de administración y control.

Uno de los factores más importantes para la sostenibilidad de cualquier organización, independientemente de su naturaleza, es contar con una junta directiva comprometida, conformada por personas altamente calificadas y con experiencia gerencial, que se involucren seriamente y de manera profesional en la gestión de la entidad y en la solución de los problemas importantes que se presenten.

Tras la reciente crisis que llevó a la liquidación de varias de las más importantes empresas, a nivel mundial se están revisando las prácticas de gobierno corporativo de las empresas y se está cuestionando el desempeño que hasta el momento han tenido los distintos órganos del mismo. Si bien todos los miembros de la organización son importantes para un adecuado sistema control interno, algunos como el Representante Legal, los miembros del Comité de Auditoría y la Auditoría Interna desempeñan un rol esencial en el mismo, correspondiendo su liderazgo a la Junta Directiva u órgano equivalente.

Recordemos que de conformidad con lo establecido en el artículo 23 de la Ley 222 de 1995 los miembros de junta directiva, como administradores, deben obrar de buena fe, con lealtad y con la diligencia de un buen hombre de negocios, teniendo en cuenta los intereses de todos los asociados. Cuando la ley hace referencia a la diligencia de un buen hombre de negocios, se refiere al cuidado que pondría en la ejecución de sus propios negocios o actividades una persona conocedora de las técnicas actuales de administración o de gerencia, lo cual implica entre otros aspectos, actuar con responsabilidad, proactividad, disciplina y competencia técnica, realizando una evaluación seria e informada de las principales opciones de que dispone en el momento de tomar determinaciones.

19

N° PREGUNTA RESPUESTADentro de este contexto, la citada Circular establece que de la junta directiva u órgano equivalente debe provenir la autoridad, orientación y vigilancia al personal directivo superior en temas estratégicos y de gran importancia para la entidad, correspondiéndole entre otras las siguientes funciones:

i. Participar activamente en la planeación estratégica de la entidad y su seguimiento, determinando las necesidades de redireccionamiento estratégico cuando se requiera.

ii. Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones del Comité de Auditoría.

iii. Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control o supervisión e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.

Por lo tanto, corresponde a este órgano colegiado no sólo participar activamente en la planeación estratégica y aprobarla, sino también hacer seguimiento al cumplimiento de la misma. Así mismo, le corresponde analizar los procesos de gestión de riesgos de la entidad y ejercer las demás funciones asignadas en el numeral 7.7.1.1.1. de la citada circular

36 Por qué le asignaron las mismas funciones a la Junta Directiva, al Comité de Auditoría y al Representante Legal en relación con el Sistema de Control Interno?

Una lectura juiciosa de las funciones asignadas a la junta directiva, al comité de auditoría y al representante legal en la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, permite evidenciar que las funciones de cada uno de estos órganos tienen un alcance y un enfoque fundamentalmente distinto.

En forma muy resumida podemos indicar que la junta directiva es la encargada de definir y aprobar las estrategias y políticas generales relacionadas con el SCI, correspondiéndole tomar las decisiones relevantes que resulten necesarias para lograr el adecuado funcionamiento de dicho sistema, con fundamento en las recomendaciones del Comité de Auditoría, el cual debe evaluar el control interno de la organización, así como su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde a la junta directiva en la materia. Por su parte, al representante legal es el encargado de implementar y poner en funcionamiento las estrategias y políticas de control interno aprobadas por la junta directiva, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento.

Así las cosas, dentro de la estructura del SCI cada órgano tiene unas responsabilidades puntuales y diferentes.

37 ¿Qué se espera sobre la documentación que debe dejar como constancia el representante legal sobre el seguimiento de procesos y cumplimiento y en general del control interno? Tomado de la aclaración a las responsabilidades del representante legal.

Con ocasión de la expedición de la C.E. 038 de 2009 se precisó el alcance de las funciones del representante legal de las entidades vigiladas por la SFC en cuanto al SCI, advirtiendo que “En general el representante legal es el responsable de dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento, para lo cual debe demostrar la ejecución de los controles que le corresponden.” (Negrilla del texto)

En este sentido, la documentación debe acreditar suficientemente la gestión adelantada por el representante legal en el direccionamiento de la implementación de los procedimientos de control y revelación, así como la ejecución de los controles pertinentes.

Por ello, el representante legal debe dejar constancia de sus actuaciones en esta materia mediante memorandos, cartas,

20

N° PREGUNTA RESPUESTAactas de reuniones y demás documentos que acrediten en forma satisfactoria el cumplimiento de sus funciones, en cuanto a la ejecución de los controles que le corresponden.

38 Cuál es el plazo de implementación del numeral 7.5.4 "Información y Comunicación" y Cuál es el plazo de implementación del SCI para la gestión de tecnología?

De conformidad con lo establecido en la Circular Externa 038 de 2009, el plazo previsto para la implementación de los Elementos de Información y Comunicación y Actividades de Control, el cual incluye el SCI de la Gestión Contable y la Gestión de Tecnología, fue ampliado hasta el 30 de junio de 2010.

39 Para la aplicación de la Circular 14 la Superintendencia, tendrá en cuenta la naturaleza especial de las entidades, cuál será el mecanismo? - Expedirá regulación especial? - La entidad especial podrá proponer a la Superintendencia sus propios mecanismos según su naturaleza especial?

En efecto, de acuerdo con las instrucciones impartidas por esta Superintendencia en materia de SCI, las entidades supervisadas “deberán implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo." Esta Superintendencia no expedirá una regulación especial, porque precisamente la Circular permite que se enmarquen dentro de ellas todas las entidades. Por lo tanto, corresponde a los directivos de cada entidad diseñar el sistema que resulte apropiado para sus características específicas (así una empresa muy grande deberá tener un sistema de control interno mas estructurado que el de una empresa pequeña), siempre y cuando se acredite ante el supervisor que se cumplen los mínimos allí señalados y que con dicho sistema se asegura que se logren los siguientes objetivos:

- Mejorar la eficiencia y eficacia en las operaciones de la respectiva entidad. - Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la organización.- Realizar una gestión adecuada de los riesgos.- Aumentar la confiabilidad y oportunidad en la Información generada por la organización, especialmente con destino al mercado financiero (incluyendo en éste el mercado de valores). - Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.

40 Si la entidad cuenta con un sistema de gestión de calidad certificado y con un MECI implementado: Cuál sería el alcance o la interpretación que debe darse al numeral 7.7.1.4.2.1.4 Programa de Aseguramiento? Es suficiente con las auditorías internas y las externas que realiza la firma certificadora? ¿Puede entenderse que estas actividades son de aseguramiento de la actividad de auditoría

El Modelo Estándar de Control Interno – MECI adoptado para las entidades públicas colombianas mediante el Decreto 1599 de 2005 tiene esencialmente los mismos fundamentos conceptuales que el Sistema de Control Interno establecido por la Superintendencia Financiera de Colombia para sus entidades vigiladas, mediante la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año e incorporada al Capitulo IX Título Primero de la Circular Externa 007 de 1996.

En tal sentido, dentro del Subsistema de Control de Evaluación del MECI se encuentra el componente de “Evaluación Independiente” (numeral 3.2.), cuyos elementos son la evaluación independiente del sistema de control interno y la auditoría interna, los cuales ejecutados de conformidad con las instrucciones impartidas por el Departamento Administrativo de la Función Pública, cumplen con los requisitos establecidos en el numeral 7.5.6 de la mencionada Circular Externa 014 de 2009.

21

N° PREGUNTA RESPUESTAinterna? Así, la auditoría interna es el elemento de control que permite realizar un examen sistemático, objetivo e independiente de

los procesos, actividades, operaciones y resultados de una entidad pública. Así mismo, permite emitir juicios basados en evidencias sobre los aspectos más importantes de la gestión, los resultados obtenidos y la satisfacción de los diferentes grupos de interés.

De conformidad con lo establecido en el Manual de implementación del MECI, el ejercicio de la auditoría interna comprende básicamente cuatro fases, a saber: planeación, ejecución, informe y seguimiento. Su ejecución se soporta en el conjunto de Normas de Auditoria Generalmente Aceptadas, las cuales buscan estandarizar los procesos auditores y formalizar el trabajo de auditoría propiamente dicho.

Las auditorias deben realizarse con base en un programa de auditoria interna, documento de trabajo detallado que se constituye en la guía para la ejecución del Plan de Auditoría Interna por parte de la Oficina de Control Interno, o quien haga sus veces. Dicho programa de auditoría interna resulta equivalente al Programa de Aseguramiento de Calidad y Cumplimiento a que se refiere el numeral 7.7.1.4.2.1.4 de la mencionada Circular Externa 014 de 2009.

En consecuencia, si en virtud de la adopción del MECI la entidad ya cuenta con un proceso de auditoría interno ajustado a las disposiciones vigentes, se entenderá cumplido en ese aspecto el  elemento de evaluaciones independientes exigido en el numeral 7.5.6 de la mencionada circular.

De otra parte, es de señalar que la auditoría que realizan las firmas certificadoras se clasifica como una auditoría externa o de tercera parte, cuyo propósito es certificar el cumplimiento de la NTC GP 1000, no del MECI.

41 Cuál es el alcance de la función del Comité de Auditoría sobre efectuar el seguimiento a los niveles de exposición de riesgo, sus implicaciones y las medidas por lo menos cada 3 meses? No se están duplicando funciones con el Comité de Riesgo?

De conformidad con lo dispuesto en el numeral 7.7.1.2. de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año e incorporada al Capitulo IX Título Primero de la Circular Externa 007 de 1996, al comité de auditoría como órgano de asesoría y apoyo de la junta directiva, le corresponde, entre otras funciones, hacer seguimiento sobre los niveles de exposición de riesgo, sus implicaciones para la entidad y las medidas adoptadas para su control o mitigación, presentando a la junta directiva informes periódicos sobre los aspectos más importantes de las gestiones realizadas.

Por su parte, el comité de riesgos tiene a su cargo la gestión misma de los riesgos, por lo cual no se presenta duplicidad.

Adicionalmente y tal como se reiteró en el inciso final del numeral 7.5.2 ibídem, los sistemas de gestión de riesgos específicos a saber: SARM, SARC, SARO, SARL, SARLAFT, SARG y SEARS, no son independientes del Sistema de Control Interno, sino que forman parte del mismo.

42 Tomando como base los elementos de "cargos según naturaleza de la entidad" y "mejores prácticas internacionales" del enfoque y estrategia de la regulación, no se debería considerar que las oficinas de representación de reaseguradores

De conformidad con lo dispuesto en los numerales 7.1 y 7.2 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año e incorporadas en el Capítulo Noveno, Título I de la Circular Externa 007 de 1996, las disposiciones previstas en el numeral 7° - Sistema de Control Interno - de dicho capítulo resultan aplicables a las oficinas de representación de organismos financieros del exterior, en cuanto se encuentran sujetas a la vigilancia de esta Superintendencia.

Ahora bien, para esta Superintendencia es claro que las oficinas de representación forman parte de organizaciones que por

22

N° PREGUNTA RESPUESTAextranjeros ya cuentan con sistemas integrales de control interno (tipo E.R.M) y por ende, están cumpliendo con los requerimientos de la Circular Externa 014, es decir no duplicar esquemas localmente que ya se hacen, siguen y controlan en las casas matrices?

regla general tienen sistemas de control interno que responden a las mejores practicas internacionales (COSO, SOX, Turnball, etc.), los cuales se ajustan a los lineamientos generales de la referida Circular Externa 014 de 2009 a través de la cual se modificó el mencionado numeral 7°.

En este sentido, las oficinas de representación deben contar con un Sistema de Control Interno que responda al modelo adoptado por la entidad del exterior a la cual pertenecen, complementado en aquellos aspectos incluidos en la Circular Externa 014 de 2009 que no se encuentren contemplados en el mismo.

Así las cosas, es de señalar que precisamente teniendo en consideración las particularidades de las diferentes entidades vigiladas por esta entidad, en el numeral 7.2 citado se estableció lo siguiente:“Todas las entidades supervisadas, ya sean matrices o subordinadas, deberán implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo.” Por lo tanto, en atención al tamaño y operaciones de las oficinas de representación éstas pueden adoptar un SCI sencillo, que cumpla unos parámetros mínimos.

En este orden de ideas, esta Superintendencia ha considerado que en estos casos debe acreditarse que con dicho sistema se cumplen los presupuestos mínimos señalados en la citada circular y se asegura el logro de los siguientes objetivos:

1. Mejorar la eficiencia y eficacia en las operaciones o actividades de la respectiva entidad.2. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la organización.3. Realizar una gestión adecuada de los riesgos asociados a su actividad.4. Aumentar la confiabilidad y oportunidad en la información generada por la organización, en especial la suministrada a esta Superintendencia.5. Dar un adecuado cumplimiento a la normatividad y regulaciones aplicables a la entidad.