Respuestas a preguntas de los asistentes

1
RESPUESTAS A LAS INQUIETUDES FORMULADAS EN LA SESIÓN DEL 29 DE SEPTIEMBRE DE 2009 EN RELACIÓN CON LA CIRCULAR EXTERNA 014 DE 2009
- SISTEMA DE CONTROL INTERNO -, INCORPORADA EN EL CAPITULO NOVENO, TÍTULO I DE LA CIRCULAR EXTERNA 007 DE 1996, MODIFICADA POR LA
CIRCULAR EXTERNA 038 DE 2009.
N°
PREGUNTA
RESPUESTA
1
Si la entidad tiene procesos en sinergia
con su matriz es necesario que la
evidencia del cumplimiento de las
prácticas repose en la entidad?
Es suficiente con la de la matriz?
De acuerdo con lo dispuesto en el numeral 7.2 de la Circular Externa 014 de 2009, incorporada en el Capítulo Noveno, Título
I de la C.E. 007 de 1996, todas las entidades sometidas a inspección y vigilancia de la Superintendencia Financiera de
Colombia, ya sean matrices o subordinadas deben implementar y ajustar su SCI a los requisitos mínimos establecidos en el
citado Capítulo.
Cuál es el alcance o interpretación que se
debe tener al momento de aplicar la
función del Comité de Auditoria de
aprobar y probar el sistema de Control
Interno?
Si bien, entre las funciones asignadas al Comité de Auditoría en el numeral 7.7.1.2.1. punto i. de la Circular Externa 014 de
2009, incorporada en el Capítulo Noveno, Título I de la C.E. 007 de 1996, se señaló la de "Aprobar la estructura,
procedimientos y metodologías necesarias para el funcionamiento del SCI", dicha función se precisó mediante la Circular
Externa 038 de 2009, quedando en los siguientes términos: "i. Proponer para la aprobación de la junta directiva u órgano que
haga sus veces, la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI."
2
Ahora bien, tratándose de procesos adelantados en sinergia con la matriz no puede perderse de vista que las entidades
deben tener claramente definidos los niveles de responsabilidad que les competen y su participación en el desarrollo y
ejecución de los controles que correspondan a las operaciones propias de cada una de ellas. En tal sentido, en el caso
planteado, tanto la matriz como la subordinada deben contar con la evidencia suficiente que acredite el cumplimiento de los
requisitos mínimos que deben adoptarse en materia de control interno.
Adicionalmente el Comité de Auditoría debe evaluar la estructura de control interno de la entidad, de forma tal que se pueda
establecer si los procedimientos diseñados protegen razonablemente los activos de la misma, así como los de terceros que
administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y
registradas, para lo cual podrá apoyarse en las evaluaciones que corresponde realizar al auditor interno, cuando exista esta
figura en la entidad.
En este sentido, corresponde al Comité de Auditoría evaluar el SCI de la entidad y su mejoramiento continuo.
3
1) En el punto 7.6.1.1 políticas y
procedimientos contables,
cuál es el
objetivo y el alcance del literal x.
Autorizaciones y Establecimiento de
Límites.
1) La previsión contenida en el numeral 7.6.1.1. de la Circular Externa 014 de 2009 modificada por la Circular Externa 038
del mismo año, tiene como objetivo responsabilizar del control interno contable a la junta directiva y a la alta gerencia de las
entidades vigiladas por la Superintendencia Financiera de Colombia y, desde allí, irrigarlo hacia toda la entidad. Para ello, las
entidades deben contar con políticas aprobadas y direccionadas por la junta directiva, y verificadas en su efectividad por el
representante legal con el apoyo de los demás funcionarios de la alta gerencia.
En este orden de ideas, las autorizaciones y establecimiento de límites son actividades de monitoreo o de control de
operaciones que pueden ser ejercidas por la junta directiva, la alta gerencia y por cualquier funcionario dependiendo del
proceso que se esté desarrollando.
2
N°
PREGUNTA
2) En el punto 7.6.1.2 Controles sobre los
sistemas de información contable literal i.,
a qué se refiere y cuál es el alcance de
los controles generales?
RESPUESTA
2) El numeral 7.6.1.2 fue modificado por la Circular Externa 038 de 2009, quedando en los siguientes términos:
“Teniendo en cuenta que la operación del proceso contable depende en gran medida de sus sistemas de información, es
necesario adoptar controles que garanticen la exactitud y validez de la información.
Se pueden usar dos grandes grupos de actividades de control de sistemas de información: Controles generales y controles
de aplicación, según lo definido en el subnumeral 7.5.3 de la presente Circular.”
En este orden de ideas, en cuanto se refiere a los controles generales, en el mencionado subnumeral 7.5.3 punto iii.,
igualmente modificado, se estableció que éstos “… rigen para todas las aplicaciones de sistemas y ayudan a asegurar su
continuidad y operación adecuada. Dentro de éstos se incluyen aquellos que se hagan sobre la administración de la
tecnología de información, su infraestructura, la administración de seguridad y la adquisición, desarrollo y mantenimiento del
software”.
De acuerdo con COSO (Committee of Sponsoring Organizations of the Treadway Comisión), los controles generales que se
deben aplicar respecto a la información financiera que es generada por los sistemas de la organización incluyen lo siguiente:
a. Controles de la operación del centro de datos, tales como establecimiento y programación del trabajo,
procedimientos de respaldo y recuperación, disponibilidad de los sistemas y planeación de contingencias.
b. Controles sobre la adquisición, implementación y el mantenimiento del software del sistema, administración de bases
de datos, software de comunicaciones, software de seguridad y utilitarios.
c. Controles a la seguridad del acceso, para prevenir el uso inapropiado o no autorizado del sistema.
Controles al desarrollo y mantenimiento del sistema de aplicación, bosquejo de fases específicas, requerimientos de
documentación, aprobaciones y puntos de chequeo para controlar el desarrollo o el mantenimiento del proyecto y el control
de las versiones.
4
En
las
responsabilidades
del
representante legal aparece "verificar la
operatividad de los procedimientos de
control para lo cual (…) debe demostrar la
ejecución de acciones concretas para
verificar la veracidad y confiabilidad del
contenido de dichos informes y la eficacia
de los controles". Cuál es el alcance de
esta instrucción? Significa tener una
estructura paralela que le haga auditoría a
la auditoria? Cómo se pretende que el
representante legal haga esa verificación?
Es de anotar que la C.E. 038 de 2009 modificó el numeral 7° del Capitulo Noveno, Título I de la Circular Externa 007 de 1996
y, en cuanto a las responsabilidades del Representante Legal dentro del Sistema de Control Interno precisó en el numeral
7.7.1.3 que en general, el representante legal es el responsable de “dirigir la implementación de los procedimientos de
control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento, para lo
cual debe demostrar la ejecución de los controles que le corresponden”.
Con lo anterior, resulta claro que no se trata de que el representante legal establezca “una estructura paralela que le haga
auditoría a la auditoría”, sino de establecer los controles que a su criterio le permitan asegurarse de que la información
material sea puesta en su conocimiento, establecer la realidad de los informes que se le presentan, evaluar la eficacia de los
controles establecidos y garantizar, en general, razonablemente la eficacia del sistema de control.
3
N°
PREGUNTA
RESPUESTA
5
Si el control interno tiene la mayor
responsabilidad
en
el
Gobierno
Corporativo con la participación de la
administración y todo el personal, por qué
la SFC tiene un "jefe de control interno"?.
Es importante reconocer que lo que se
quiere es contar con la función o actividad
de "Auditoria Interna", parte del SCI.
Las normas para el ejercicio del control interno en las entidades y organismos del Estado en nuestro país, aplicables a la
Superintendencia Financiera de Colombia, están contenidas en la Ley 87 de 1993, en cuyo artículo 6 se señala que “El
establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del
representante legal o máximo directivo correspondiente. No obstante, la aplicación de los métodos y procedimientos al igual
que la calidad, eficiencia y eficacia del Control Interno, también será de responsabilidad de los Jefes de cada una de las
distintas dependencias de las entidades y organismos.”. En cuanto a la Oficina de Control Interno, el artículo 9 de la misma
ley establece que “Es uno de los componentes del Sistema de Control Interno, de nivel gerencial o directivo, encargado de
medir y evaluar la eficiencia, eficacia y economía de los demás controles, asesorando a la dirección en la continuidad del
proceso administrativo, la revaluación de los planes establecidos y en la introducción de los correctivos necesarios para el
cumplimiento de las metas u objetivos previstos.”.
En tal sentido, en el sistema de control interno de la Superintendencia Financiera de Colombia la principal responsabilidad
por el establecimiento y desarrollo del sistema de control interno es del Superintendente y los otros miembros de la alta
dirección de la entidad, y no del Jefe de la Oficina de Control Interno, a quien corresponde actuar como evaluador
independiente respecto del desarrollo, implementación y mantenimiento del mencionado sistema.
Lo anterior resulta armónico con los lineamientos en materia de responsabilidad establecidos en la Circular Externa 014 de
2009, modificada por la Circular Externa 038 del mismo año.
En cuanto a la auditoría interna, si bien en las circulares mencionadas se expresa que es una actividad que agrega valor y
mejora las operaciones de las organizaciones, ayudándolas a cumplir sus objetivos, no se obliga a las entidades
supervisadas a tener auditoría interna, pues las mismas deben determinar si requieren o no un departamento de auditoría o
dependencia que cumpla funciones equivalentes, en caso negativo, los administradores deben indicar expresamente en el
informe de gestión que presentan al cierre de cada ejercicio al máximo órgano social, las razones por las cuales no se
considera procedente contar con dicho departamento, tal como se dispone en el inciso final del numeral 7.7.1.4.1 ibídem.
6
A la luz de la normatividad sobre sistemas
de control de riesgos y 014 las normas del
SEARS quedan "derogadas" o "desuetas"
En la Circular Externa 038 de 2009 se establece que “En relación con el elemento “Gestión de Riesgos”, las entidades
vigiladas deberán atender los plazos y las condiciones establecidos para la implementación de los sistemas especiales de
gestión exigidos por esta entidad en la Circular Básica Jurídica y en la Circular Básica Financiera y Contable (incluyendo las
normas sobre gestión de riesgos de mercado -SARM-, riesgo de crédito -SARC-, riesgo operativo –SARO-, riesgo de liquidez
–SARL-, riesgo de lavado de activos y de la financiación del terrorismo –SARLAFT- y riesgo de garantías –SARG- Sistema
Especial de Administración de Riesgos de Seguros - SEARS)” (negrilla fuera de texto).
En el mismo sentido, en el numeral 7.5.2 se reitera que los sistemas de gestión de riesgos específicos mencionados, según
resulten aplicables en virtud de la actividad de la entidad, no son independientes del SCI sino que forman parte del mismo,
como uno de los elementos fundamentales para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los
reportes financieros y el cumplimiento de leyes, normas y reglamentos. Los sistemas de control interno y de administración
de riesgos son transversales a todas y cada una de las actividades, procesos y áreas de la entidad, por ello su importancia
en el logro de los objetivos estratégicos y de calidad de la información que genera la organización.
4
N°
PREGUNTA
RESPUESTA
En este orden de ideas, resulta claro que las instrucciones impartidas en relación con el Sistema Especial de Administración
de Riesgos de Seguros – SEARS continúan vigentes.
7
Numeral 7.5.4.1: Por los requerimientos
de información se entiende que se están
adoptando estándares de ISO 20071. Se
requiere tener todos estos estándares
funcionando y montados para todos los
sistemas de información? 31 de diciembre
es un plazo muy corto.
En primer lugar es del caso señalar que si bien la Circular Externa 014 de 2009 se basó en varios estándares
internacionales, no quedó ligada específicamente a ninguno de ellos.
En segundo lugar, aunque en los diversos apartes de la circular se establecen los requisitos que deben ser implementados o
ajustados por las entidades sometidas a inspección y vigilancia de la SFC para efectos de la estructuración, implementación
y puesta en marcha de un sistema de control interno efectivo, la misma disposición señala que las reglas, parámetros
generales y requisitos mínimos allí contemplados, deben ser ajustados o implementados por las entidades de acuerdo con
su tamaño, la naturaleza de sus actividades y la complejidad de sus operaciones, teniendo en cuenta la relación beneficio /
costo. En consecuencia, los administradores de cada entidad deberán analizar y verificar este aspecto teniendo en cuenta
su conocimiento de la misma, del sector económico al cual pertenece y de los riesgos que enfrenta, sin que en ningún caso
el costo de las medidas adoptadas exceda el beneficio que de ellas se deriven.
Finalmente, la Circular Externa 038 de 2009 determinó que los requisitos relacionados con los elementos de Información y
Comunicación y Actividades de Control deben estructurarse e implementarse a más tardar el 30 de junio de 2010, y
certificarse dentro de los 10 días hábiles siguientes al vencimiento del plazo señalado.
8
Las sociedades comisionistas de Bolsa de
la BNA requieren tener auditor interno?
Si bien las Circulares Externas 014 y 038 de 2009 señalan que la auditoría interna es una actividad que agrega valor y
mejora la operación de las organizaciones, ayudándolas a cumplir sus objetivos, no establecen para ninguna de las
entidades vigiladas por la SFC la obligación de contar con auditor interno, dejando a los administradores de cada entidad la
facultad de decidir si la misma va a contar o no con un departamento de auditoría o dependencia que cumpla funciones
equivalentes. De otra parte, en las disposiciones que regulan a la Bolsa Nacional Agropecuaria esta figura no se encuentra
prevista como un órgano de control obligatorio.
En lo demás, remitimos al párrafo final de la respuesta proporcionada a la pregunta número cinco (5).
9
La C.E. 014 también es un cambio de
cultura organizacional y esto requiere de
un proceso y tiempo. Qué pasa si al
término de una fecha de cumplimiento
aún faltan aspectos por desarrollar, por
ejemplo al 30 de septiembre vence el
plazo de Ambiente de Control, si ya está
listo el Código de Conducta, pero aún
falta la difusión del mismo, qué pasa para
la certificación?
A través de la Circular Externa 038 de 2009 se ampliaron algunos de los plazos establecidos en la Circular Externa 014 del
mismo año para la implementación del SCI y se precisaron los requisitos que deberían cumplirse en cada una de las fechas
allí señaladas.
Como se señala expresamente en la Circular Externa 038 citada, en las fechas allí señaladas deberá haber culminado la
estructuración de las políticas, procedimientos y documentos rectores del SCI, pero se reconoce que su aplicación,
consolidación y mantenimiento es un proceso de carácter permanente que claramente no culmina en las fechas de corte
establecidas y que se prolonga en el tiempo en un proceso de mejoramiento continuo.
En lo que hace referencia al elemento Ambiente de Control, el plazo para su estructuración e implementación vence el 31 de
diciembre de 2009, fecha en la cual deben haberse elaborado y promulgado a todos los integrantes de la organización los
5
N°
PREGUNTA
RESPUESTA
siguientes documentos:
- Código de Gobierno Corporativo o documentos que contengan políticas de la entidad.
- Código de Conducta, de ética o documento equivalente.
-Manuales de funciones y los procedimientos de selección, inducción, capacitación, evaluación y sistemas de compensación.
- Organigrama.
- Planeación estratégica.
Si vencido el plazo falta el cumplimiento de alguno de los requisitos exigidos en la circular, este hecho debe informarse en
forma clara y concreta dentro de la certificación que deben expedir el representante legal y el presidente de la junta directiva.
10
Hasta dónde es el alcance o límite de la
Revisoría Fiscal, el Contralor Normativo y
el Auditor Interno. Para evitar la repetición
de funciones y/o controles.
La delimitación de las funciones del revisor fiscal, el contralor normativo y el auditor interno de las entidades supervisadas
por la Superintendencia Financiera de Colombia se encuentra contenida en las Circulares Externa 054 de 2008 y 014 de
2009 modificada mediante la Circular Externa 038 del mismo año. Uno de los objetivos orientadores para la expedición de
las referidas circulares fue precisamente evitar en lo posible la duplicidad de funciones, en el marco de las disposiciones
superiores que regulan las referidas materias.
 En cuanto al tema específico del control interno, el artículo 209, numeral 3 del Código de Comercio, establece que el
informe que debe presentar el Revisor Fiscal a la asamblea o junta de socios, debe expresar, entre otros aspectos, si hay y
son adecuadas las medidas de control interno de la entidad.
En este mismo sentido, en el numeral 4.2.8 de la Circular Externa 054 de 2008, se precisó que el revisor fiscal “… debe
evaluar si el sistema de control interno de la entidad fiscalizada, incluyendo en éste los sistemas de administración de
riesgos implementados o que deban ser implementados de conformidad con las disposiciones que le resulten aplicables,
promueve la eficiencia de la misma, reduce los riesgos de pérdida de activos operacionales y financieros; propicia la
preparación y difusión de información financiera de alta calidad que muestre los resultados de la administración de los
recursos de la entidad y los riesgos relevantes que la afectan, en forma tal que resulte útil para los usuarios de dicha
información, así como analizar si los referidos sistemas le permiten a la administración garantizar el adecuado cumplimiento
de las normas vigentes.”
En armonía con lo anterior, en el numeral 4.4.2.2 de la citada Circular Externa 054 se indicó que la evaluación del control
interno “Obedece a la valoración que efectúa la revisoría fiscal de los sistemas de control interno y administración de riesgos
implementados por las entidades fiscalizadas, con el fin de emitir una opinión profesional sobre su suficiencia y
efectividad…” Esta precisión se reiteró en el numeral 7.7.2.1. de la Circular Externa 014 de 2009, modificada por la Circular
Externa 038 del mismo año.
 El alcance de la labor del auditor interno está determinado por las funciones y responsabilidades que se establezcan en el
correspondiente estatuto o documento interno aprobado por la junta directiva, en concordancia con las funciones señaladas
en el numeral 7.7.1.4.2.2.7 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año.
 Finalmente, el alcance de la labor del contralor normativo está definida en los artículos 21 de la Ley 964 de 2005 y en el
Decreto 2175 de 2007, según la labor se realice para una sociedad comisionista de bolsa y/o para una cartera colectiva, y
6
N°
PREGUNTA
RESPUESTA
fue precisada en el numeral 7.7.2.2 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo
año, teniendo en todo caso como fin primordial, el de verificar el adecuado y efectivo cumplimiento de las normas por parte
de la respectiva entidad a efectos de propender porque el funcionamiento interno de la misma se ajuste al marco legal que
rige su actividad.
11
Normalmente una empresa tiene planes,
programas, estructura orgánica, manuales
de funciones y riesgos, etc. Qué se
espera con la Circular, cuándo los
solicita?
Efectivamente la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, contiene
requerimientos que idealmente toda empresa bien organizada ya debería cumplir. No obstante, es del caso reconocer que si
bien sobre los temas de gobierno corporativo y control interno se viene hablando desde hace más de treinta años,
especialmente en el último lustro, su implementación es reciente en la mayoría de las empresas.
Los fraudes que han afectado a importantes empresas colombianas y a personas vinculadas a las mismas, no sólo en el
pasado distante sino también muy recientemente, evidencian claramente las graves consecuencias que puede tener no
contar con un buen gobierno corporativo, que involucre un sólido sistema de control interno y una responsable gestión de
riesgos. En efecto, un deficiente control interno puede afectar seriamente la reputación de una entidad e incluso llevarla a su
liquidación.
Con base en las observaciones realizadas en ejercicio de la labor de vigilancia y control de la Superintendencia Financiera
de Colombia sobre más de 800 empresas de diversos sectores económicos (financieras, industriales, comerciales,
agropecuarias y de servicios) se ha encontrado que en muchas de ellas se presentan las siguientes situaciones:










Poca participación de las juntas directivas en la planeación estratégica de las entidades y en su seguimiento.
Falta de evaluación formal a la gestión de los administradores y de sistemas de remuneración atados a niveles de
riesgo.
Desconocimiento de la responsabilidad de la alta dirección respecto al sistema de control interno.
Insuficiente ilustración para la toma de decisiones, unida a pocos cuestionamientos respecto a las recomendaciones
que formula la administración.
Presencia en las juntas de pocos directivos con los conocimientos y la experiencia requeridos, especialmente en
épocas de crisis.
Inadecuado direccionamiento para la gestión de riesgos.
Mínima gestión en la revisión de la calidad, suficiencia y oportunidad de la información que genera la entidad.
Insuficiente independencia del auditor interno y poco respaldo a su labor.
Presión para cumplir objetivos de rendimiento poco realistas.
Bajo nivel de fiscalización sobre la eficacia del control interno y su cumplimiento.
En conclusión hemos encontrado que, salvo pocas excepciones, el desarrollo del control interno en las empresas
colombianas ha sido bajo, registrando importantes fallas en la planeación estratégica, deficiencias en la calidad, suficiencia y
en ocasiones en la oportunidad de la información; inadecuada administración de riesgos, alta vulnerabilidad a los fraudes,
tanto externos como provenientes de sus propios empleados y frecuente incumplimiento de normas, situación que aumenta
considerablemente los riesgos a los que están expuestas dichas sociedades, sus accionistas, inversionistas y ahorradores.
Como resultado de los análisis efectuados a raíz de la reciente crisis internacional se encontró que en varios casos de
7
N°
PREGUNTA
RESPUESTA
entidades seriamente afectadas, las juntas directivas tomaron decisiones importantes sin haber analizado información
relevante que de haber sido tenida en cuenta probablemente las hubiera llevado a tomar una opción diferente a la que
finalmente escogieron.
Por todo lo anterior, dada la importancia de contar con un sólido sistema de control interno, la Superintendencia Financiera
de Colombia consideró necesario que las entidades sujetas a su vigilancia estructuren, implementen y mantengan un
Sistema de Control Interno o lo adecuen, según el caso, a las mejores practicas internacionales, de tal manera que dicho
sistema contribuya al logro de sus objetivos y fortalezca la apropiada administración de los riesgos a los cuales se ven
expuestas en el desarrollo de su actividad, realizándolas en condiciones de seguridad, transparencia y eficiencia.
Para el efecto, expidió la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del mismo año, de
obligatoria aplicación para todas las entidades sujetas a su vigilancia, las cuales deberán implementar o ajustar su sistema
de control interno a los requisitos mínimos establecidos en la circular, siguiendo las mejores practicas internacionales, en
forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los
activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las
actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación
beneficio/costo.
Dentro del referido sistema de control interno, los planes, programas y manuales de las entidades deben conformar un
cuerpo armónico que facilite la consecución de los siguientes objetivos:
“i. Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspección y vigilancia. Para el efecto, se
entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir
el máximo de resultados con el mínimo de recursos, energía y tiempo.
ii. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones.
iii. Realizar una gestión adecuada de los riesgos.
iv. Aumentar la confiabilidad y oportunidad en la Información generada por la organización.
v. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.”
12
Los numerales iv. Mapa de procesos, xiv,
xv. Políticas de Servicios, Políticas de
Transparencia, Estrategias de servicio al
cliente del literal 7.8 Productos que deben
presentarse… En qué fechas deben ser
presentados, dentro de qué elementos?
Los “DOCUMENTOS MÍNIMOS QUE DEBEN SUSTENTAR LA IMPLEMENTACIÓN DEL SCI” a que se refiere el numeral
7.8. de la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del mismo año, no requieren ser
presentados o enviados a la SFC, salvo en los casos en los cuales ésta los solicite expresamente en desarrollo de las
labores de supervisión in situ o extra situ que realice en ejercicio de sus atribuciones legales.
Los documentos relacionados deben ser expedidos por la administración de la entidad en desarrollo del principio de
autorregulación establecido en el numeral 7.4.2. de las citadas Circulares, para desarrollar en su interior y aplicar métodos,
normas y procedimientos que permitan la estructuración, implementación y mejoramiento del SCI, dentro del marco de las
disposiciones aplicables y estar a disposición del supervisor cuando este los requiera.
Estos entregables no encajan exclusivamente dentro de un solo elemento sino que son el resultado del desarrollo varios de
ellos.
8
N°
PREGUNTA
RESPUESTA
13
FONADE, como Empresa Industrial y
Comercial del Estado debe cumplir con el
MECI (Ley 87/93 - Dec. 1599/05), a través
del cual se determina el establecimiento
del Comité de Coordinación del Sistema
de Control Interno CCSCI, cuyas
funciones (Dec 1826/94) son muy
similares a las funciones que la C.E.
014/09 adiciona al Comité de Auditoria El Comité de Coordinación del Sistema de
Control Interno está conformado "al más
alto nivel jerárquico", concretamente por
los
Directivos de FONADE o sus
delegados. El comité de Auditoría está
conformado por los Delegados de la Junta
Directiva de la Entidad, teniendo en
cuenta que la Junta Directiva de Fonade
la integran: Director DNP. Subdirector
DNP. Delegado Presidencia de la
República. Ministro de Comercio Industria
y Turismo, quien delegará solamente en
el Viceministro. 1. Es posible integrar los
2 comités y llevar uno solo?
2. El comité podría estar integrado por
Delegados
de
Junta
Directiva
y
Delegados de los Directivos?
De conformidad con lo señalado en la Circular Externa 014 de 2009, las entidades supervisadas que pertenezcan al sector
público y estén obligadas a la adopción del Modelo Estándar de Control Interno - MECI según lo establecido en el Decreto
1599 de 2005 y sus reglamentos, deberán complementar dicho modelo con los aspectos incluidos en dicha Circular,
modificados por la Circular Externa 038 de 2009, en cuanto no se encuentren previstos dentro del MECI.
En este sentido, es de señalar que de acuerdo con lo dispuesto en el artículo 13 de la Ley 87 de 1993, en armonía con lo
previsto en el artículo 5 de la misma Ley, FONADE entre otras entidades, debe contar con un Comité de Coordinación del
Sistema de Control Interno, el cual se encuentra reglamentado por el Decreto 1826 de 1994 y cuyas funciones previstas en
el artículo 5 de este Decreto, son de coordinación y apoyo.
De otra parte, es de advertir que el comité de auditoría se encuentra previsto como uno de los órganos internos
responsables de garantizar un eficaz Sistema de Control en las entidades vigiladas y en los términos del artículo 7.7.1.2 de
la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, dicho comité depende de la junta
directiva y es el encargado de la evaluación del control interno y de su mejoramiento continuo, desarrollando funciones de
carácter eminentemente de asesoría y apoyo, contempladas en el numeral 7.7.1.2.1 ibídem.
Respecto del Comité de Auditoría se deben atender, entre otros, los siguientes requerimientos: estar integrado por tres
miembros de junta directiva u órgano equivalente, ser en su mayoría independientes, esto último para aquellas entidades
que por disposición legal o estatutaria cuenten con miembros independientes en el referido órgano de administración, tener
un reglamento interno, reunirse por lo menos cada tres meses (consignando en actas sus decisiones y actuaciones) y
presentar informes especiales cuando éstos sean necesarios.
En este orden de ideas, se observa que dada la naturaleza de FONADE como empresa industrial y comercial del Estado
obligada a contar con un Comité de Coordinación del Control Interno cuyas funciones se complementan con las previstas
para el Comité de Auditoría, esta Superintendencia considera que bajos los parámetros antes expuestos, resulta viable que
el citado Comité de Coordinación asuma las funciones asignadas al Comité de Auditoría por la Circular Externa 014 de 2009
modificada por la Circular Externa 038 del mismo año, siempre y cuando la conformación del referido Comité de
Coordinación se ajuste a los requisitos del numeral 7.7.1.2.2, es decir, esté integrado directa y exclusivamente por miembros
de la Junta, y además cumpla en su totalidad con las funciones del numeral 7.7.1.2.1 de la referida circular.
Es de recordar que en todo caso el comité deberá contar con el correspondiente reglamento interno, reunirse con la
periodicidad requerida y presentar los informes que sean de su competencia a la junta directiva de la entidad.
14
1) Los requerimientos de diseñar e
implantar estrategias y mecanismos para
administrar la seguridad de la información
implicaría seguir el estándar 27001?
1) El requerimiento de diseñar e implementar estrategias y mecanismos para administrar la seguridad de la información de
acuerdo con lo previsto en el numeral 7.5.4.1 de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del
mismo año, no está sujeto a la aplicación de estándares específicos como el de la norma ISO 27001. Corresponde por lo
tanto a la administración de la entidad determinar la conveniencia de su aplicación, si los mismos resultan razonables de
acuerdo con la naturaleza, tamaño, características y/o necesidades de la entidad.
9
N°
PREGUNTA
RESPUESTA
2) Cuando se habla de un programa de
calidad para la auditoria se está
requiriendo que este proceso este
certificado?
2) Las instrucciones impartidas en el numeral 7 de la citada Circular, no exigen la certificación de ningún proceso o
programa, la decisión de obtener la certificación correspondiente depende de lo que determine la administración de las
entidades vigiladas.
3) A qué clase
cumplimiento hace
Circular?
de objetivos de
referencia a la
3) Según lo señalado en el punto v. del numeral 7.5.1 de la Circular Externa 014 de 2009, el cual fue complementado por la
Circular Externa 038 de 2009, los objetivos de cumplimiento se refieren a aquellos encaminados a asegurar razonablemente
el cumplimiento por parte de la entidad de las normas legales y los reglamentos que le sean aplicables.
4) Los indicadores de rendimiento se
asimilarían a indicadores de gestión?
4) Los indicadores de rendimiento también se pueden entender como indicadores de gestión, los cuales en lo que hace
referencia al numeral 7.5.3 ibídem, buscan medir si las instrucciones de la administración en relación con sus riesgos y
controles se están cumpliendo en todos los niveles y funciones de la organización. Dichos indicadores pueden ser de
cumplimiento, de calidad o de oportunidad en el desarrollo de las actividades de control.
5) Cuál considera la Superfinanciera que
es la dependencia o área que debe
coordinar
la
implementación
y
mantenimiento de la C.E. 014? La
estructura organizacional para soportar el
alcance del SCI, implica definir un líder de
implementación o instancias para el
seguimiento?
5) Si bien son funciones de la junta directiva como máximo órgano de administración, entre otras, definir y adoptar las
estrategias y políticas generales relacionadas con el SCI, fijar las directrices sobre la estructura, procedimientos y
metodologías inherentes al mismo y hacerle seguimiento, la implementación de las mismas corresponde al representante
legal de la entidad, de acuerdo con las funciones asignadas en el numeral 7.7.1.3 de la citada Circular y, por lo tanto, es éste
el encargado de liderar dicha implementación, con el apoyo de los jefes de las diferentes áreas de la organización.
6) El plazo establecido para la
implementación de un Sistema de
Seguridad
de
la
Información
es
insuficiente. Se puede definir un
cronograma para su implementación para
que sea desarrollado durante todo el
2010?
6) De conformidad con lo establecido en la Circular Externa 038 de 2009, el plazo previsto para la implementación de los
Elementos de Información y Comunicación y Actividades de Control fue ampliado hasta el 30 de junio de 2010, plazo que se
ha considerado suficiente para cumplir con los siguientes requisitos.
Por otra parte es de señalar que todos los funcionarios de la entidad juegan un papel importante en el mantenimiento y
mejoramiento continuo de su SCI. Es por ello, que el artículo 7.4.1. hace referencia al autocontrol como uno de los principios
del SCI, el cual consiste en la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de
su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y
cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades.
1. Establecimiento y promulgación de:
Políticas y procedimientos para la generación, divulgación y custodia de la información de la entidad.
Políticas y procedimientos contables (Recepción, identificación, medición, clasificación, reconocimiento, procesamiento,
interpretación, análisis y controles establecidos en el numeral 7.6.1.)
Políticas y procedimientos para cada uno de los aspectos señalados para la gestión de tecnología a que se refiere el
numeral 7.6.2.
10
N°
PREGUNTA
RESPUESTA
Actividades de control (Revisiones de alto nivel, controles generales, controles de aplicación, limitaciones de acceso,
acuerdos de confidencialidad, entre otros).
2. Aplicación de las políticas y procedimientos a que se refiere el numeral anterior.
3. Análisis de los sistemas de información contable y de revelaciones, así como de la tecnología que los soporta,
identificando las acciones de mejoramiento que resulten pertinentes.
7) Dentro del numeral 7.5.3 Actividades
de Control, a qué hace referencia el ítem ii
"Gestión
directa
de
funciones
o
actividades” y cómo se demuestra su
cumplimiento?
7) “Las actividades de control son las políticas y procedimientos que deben seguirse para lograr que las instrucciones de la
administración con relación a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo
ancho de la organización en todos los niveles y funciones”. Para realizar estas actividades, la SFC estableció unas
actividades obligatorias para todas las áreas y procesos de las entidades entre las que se menciona la denominada “Gestión
directa de funciones o actividades”. Esta actividad de control no es otra que la supervisión que hace el superior jerárquico de
las funciones y actividades encomendadas a los funcionarios que dependen de él, encaminadas a lograr los objetivos de los
cuales es responsable y debe controlar.
Ahora bien, su cumplimiento puede acreditarse a través de las metodologías y herramientas definidas en la organización
para hacer la evaluación que se realizará respecto de los principios de autocontrol, autorregulación y autogestión; de los
documentos de monitoreo correspondientes o de la evaluación independiente que se efectúe.
8) Las asesorías de Control Interno o
Contralorías estarían o están impedidas
para liderar la implementación de la C.E.
014?
8) Las asesorías de que trata el numeral 7.7.1.4.2.1.3 están llamadas a servir de apoyo y asistencia al auditor interno y a su
equipo de trabajo en aquellas áreas especializadas respecto de las cuales él o su personal no tengan los conocimientos
necesarios, por lo tanto, y en armonía con lo señalado en la respuesta contenida en el numeral 5 precedente, no son las
llamadas a liderar la implementación de las instrucciones impartidas por esta Superintendencia en relación con el SCI.
De otra parte, si bien la junta directiva y el representante legal pueden contar con el apoyo de asesores internos o externos
que los ayuden en el ejercicio de sus funciones, la responsabilidad que les corresponde de conformidad con lo establecido
en los numerales 7.7.1.1.1. y 7.7.1.3. de la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038 del
mismo año, no puede ser transferida a dichos asesores.
15
Por favor comente sobre la diferencia
existente en el SCI teniendo en cuenta
distintos tamaños y estrategias de las
entidades vigiladas.
Las instrucciones impartidas por esta Superintendencia en materia de SCI, reconocen las diferencias existentes entre los
distintos sectores y entidades sujetas a vigilancia de la SFC, por lo cual en el numeral 7.2, respecto del alcance de la Circular
Externa 014 de 2009, se señaló que las entidades supervisadas “deberán implementar o ajustar su SCI a los requisitos
mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización
(en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales
o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por
cuenta de terceros, teniendo en cuenta la relación beneficio/costo. “
En tal sentido, no se creó una estructura rígida que deba ser aplicada uniformemente a todas las entidades, sino que se
permite explícitamente que los directivos de cada entidad (en lo cual pueden colaborar también los gremios correspondientes
11
N°
PREGUNTA
RESPUESTA
cuando existan) diseñen el sistema que resulte apropiado para sus características específicas (así una empresa muy grande
deberá tener un sistema de control interno complejo, mientras que una pequeña podrá tener uno muy sencillo), siempre y
cuando se acredite ante el supervisor que se cumplen los mínimos allí señalados y que con dicho sistema se asegura que se
logren los siguientes objetivos:
- Mejorar la eficiencia y eficacia en las operaciones de la respectiva entidad.
- Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la organización.
- Realizar una gestión adecuada de los riesgos.
- Aumentar la confiabilidad y oportunidad en la Información generada por la organización, especialmente con destino al
mercado financiero (incluyendo en éste el mercado de valores).
- Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.
16
¿Cómo pueden las entidades determinar
el alcance específico de cada uno de los
ítems señalados en cada elemento del
Sistema de Control Interno definido en la
Circular, para estar alineados con la
Superintendencia y sus expectativas?
La estructura del Sistema de Control Interno establecida por la Superintendencia Financiera de Colombia mediante la
Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, está conformada por los elementos
denominados Ambiente de Control, Gestión de Riesgos, Actividades de Control, Información y Comunicación, Monitoreo y
Evaluación Independiente, además de las áreas especiales y los responsables dentro del sistema de control.
Así, las entidades vigiladas por la Superintendencia Financiera de Colombia deben implementar o ajustar su SCI a los
requerimientos mínimos de que trata la citada reglamentación con el alcance y características específicas que se determine
como resultado de la evaluación que la administración efectúe respecto de las necesidades y situaciones particulares de
cada organización y de su entorno, aspecto éste que deberá ser verificado internamente por la junta directiva, con el apoyo
de la alta dirección y la auditoría interna, y ser evaluado de manera independiente por el revisor fiscal.
En cada caso la administración de la respectiva entidad deberá estar en capacidad de acreditar que la implementación de los
elementos antes citados se ajusta al tamaño, naturaleza y características de las mismas y atiende la relación beneficio/costo.
Así mismo deberá acreditar que el SCI adoptado es suficiente para el control de sus actividades.
17
Es compatible la función de aprobación y
asignación de responsabilidades del
Comité de Auditoría con la de supervisión
y revisión del Sistema de Control Interno?
Mediante la Circular Externa 038 de 2009 se incorporaron modificaciones a los términos en que fueron previstas algunas de
las funciones del Comité de Auditoría, ajustándolas a su función de órgano de asesoría y apoyo de la Junta Directiva. En
este orden de ideas, el comité de auditoría no cuenta con facultades o funciones de aprobación o toma de decisiones dentro
de la estructura de la entidad.
De otra parte, la supervisión de las funciones y actividades de la auditoría interna u órgano que haga sus veces, señalada en
el literal viii. continúa vigente y a cargo del Comité de Auditoría.
Así las cosas se tiene que todas las funciones asignadas al Comité son compatibles y se encuentran armónicamente
relacionadas, de tal manera que su correcto ejercicio garantizará una efectiva y eficaz labor.
18
La figura de Auditor Interno a partir de qué
fecha se debe establecer?
Según lo dispuesto en la Circular Externa 014 de 2009 la adecuación de la composición y funcionamiento de los órganos de
administración y control se debe realizar a más tardar el 30 de abril de 2010. No obstante, es de advertir que las Circulares
12
N°
PREGUNTA
RESPUESTA
Externas 014 y 038 de 2009, no establecen para ninguna de las entidades vigiladas por la Superintendencia Financiera de
Colombia la obligación de contar con auditor interno, tal como se ha indicado anteriormente.
19
La Circular 14 tiene retos especiales al
interior de cada entidad, se deben realizar
cambios de cultura que requieren tiempo.
La norma tiene tiempos cortos - Qué
posibilidad hay de aplazar la entrada en
vigencia?
A través de la Circular Externa 038 de 2009 se modificaron, entre otros aspectos, algunos de los plazos previstos en el
cronograma inicial establecido en la Circular Externa 014 para la implementación y/o adecuación del Sistema de Control
Interno por parte de las entidades vigiladas.
1) Especificar los entregables para cada
etapa.
1) A través de la Circular Externa 038 de 2009, que modificó la Circular Externa 014 del mismo año, se especifican los
entregables exigibles en cada uno de los plazos allí establecidos, así:
20
En las fechas allí mencionadas deberá haber culminado la estructuración de las políticas, procedimientos y documentos
rectores del SCI, pero es claro que la consolidación de los diferentes elementos y muy especialmente de la cultura
organizacional sólo se consolida en el mediano plazo y requiere una labor de mantenimiento de carácter permanente.
Plazo: 31 de diciembre de 2009
Elemento: Ambiente de Control
Requisitos objeto de la certificación:
Establecimiento y promulgación de:





Código de Gobierno Corporativo o documentos que contengan políticas de la entidad.
Código de Conducta, de ética o documento equivalente.
Manuales de funciones y procedimientos de selección, inducción, capacitación, evaluación y sistemas de
compensación.
Organigrama.
Planeación estratégica.
Plazo: 30 de junio de 2010
Elementos: Información y Comunicación y Actividades de Control
(Incluye SCI de la Gestión Contable y la Gestión de la Tecnología).
Requisitos objeto de la certificación:
1. Establecimiento y promulgación de:



Políticas y procedimientos para la generación, divulgación y custodia de la información de la entidad.
Políticas y procedimientos contables (Recepción, identificación, medición, clasificación, reconocimiento,
procesamiento, interpretación, análisis y controles establecidos en el numeral 7.6.1.)
Políticas y procedimientos para cada uno de los aspectos señalados para la gestión de tecnología a que se refiere
13
N°
PREGUNTA

RESPUESTA
el numeral 7.6.2.
Actividades de control (Revisiones de alto nivel, controles generales, controles de aplicación, limitaciones de
acceso, acuerdos de confidencialidad, entre otros).
2. Aplicación de las políticas y procedimientos a que se refiere el numeral anterior.
3. Análisis de los sistemas de información contable y de revelaciones, así como de la tecnología que los soporta,
identificando las acciones de mejoramiento que resulten pertinentes.
Plazo: 30 de septiembre de 2010
Elemento: Monitoreo
Requisitos objeto de la certificación:

Establecimiento y promulgación de políticas y procedimientos para la realización del monitoreo por parte de los
jefes de área y alta dirección.

Aplicación de las políticas y procedimientos de monitoreo mencionadas anteriormente.
Plazo: 31 de diciembre de 2010
Elemento: Evaluación Independiente
Requisitos objeto de la certificación:

Realización de la verificación sobre la efectividad del sistema de control interno adoptado por la respectiva
entidad, realizada por evaluadores independientes.
Este requisito se cumple a través de evaluaciones de auditores internos, el revisor fiscal o auditores externos.
2) Existirá formulario o formato para
reportar el cumplimiento?
21
Es viable que las entidades públicas con
ocasión de la implementación del SCI
tramiten ampliación de planta, con el fin
de cumplir con las nuevas obligaciones?

Informes presentados por los evaluadores independientes.

Cronograma para la realización de las acciones correctivas y preventivas necesarias para el mantenimiento,
mejoramiento y consolidación del SCI, determinadas como resultado de las evaluaciones efectuadas.
2) No se adoptó formulario o formato para reportar el cumplimiento de cada etapa. Las entidades deberán certificar el
cumplimiento de las metas atendiendo el elemento que corresponda y los requisitos objeto de la certificación, los cuales
fueron precisados en la Circular Externa 038 de 2009.
La ampliación de la planta de personal, así como las demás adecuaciones organizacionales necesarias para implementar el
SCI, corresponden a una decisión discrecional y autónoma de cada entidad. En todo caso, las estructuras y la organización y
distribución de funciones dentro de las mismas deben asegurar el adecuado funcionamiento del Sistema de Control Interno.
14
N°
22
PREGUNTA
En los estatutos internos de un emisor de
valores que establece que el Presidente
de la Junta Directiva tendrá un suplente,
quien lo reemplazará en sus faltas o
ausencias ¿Puede el suplente del
presidente de la junta, realizar todas las
certificaciones que exigen la circular
externa 014 de 2009?
RESPUESTA
Respecto de los emisores de valores sometidos al control exclusivo de la Superintendencia Financiera de Colombia, es de
advertir que entre otras modificaciones efectuadas a la Circular Externa 014 de 2009 a través de la Circular Externa 038 del
mismo año, se ajustó el ámbito de aplicación de las instrucciones impartidas en relación con la revisión y adecuación del
SCI. En consecuencia los emisores de valores sujetos al control exclusivo, deberán atender en materia de control interno lo
dispuesto en el numeral 7.9 del citado instructivo, relacionado con los principios de autocontrol, autogestión y
autorregulación.
Tratándose de emisores sometidos al control concurrente, deberán atender las normas y disposiciones que sobre el SCI
haya emitido o llegue a emitir el Gobierno Nacional y las demás entidades competentes.
Sin perjuicio de lo anterior, es de advertir que las funciones asignadas en las diferentes disposiciones al representante legal
de una sociedad sólo pueden ser asumidas por su suplente en aquellos casos en los cuales se presente ausencia temporal o
definitiva del titular.
23
Uno de los objetivos del SCI es aumentar
la confiabilidad y oportunidad en la
información generada por la organización.
A qué tipo de información se refiere?
(financiera, operativa, lo que es base para
toma de decisiones gerenciales, etc.)
En el numeral 7.5.4. de la Circular Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, se hace
referencia de manera general a toda la información generada por la entidad y de la cual depende la operación de la misma o
que permite dirigir y controlar el negocio, a saber, la información contable, financiera, administrativa, operativa, así como la
información que la organización deba proporcionar a esta Superintendencia, a otras entidades del Estado, a los diferentes
agentes del mercado y al público en general.
Como se señala expresamente en la norma citada, los sistemas de información y comunicación son la base para identificar,
capturar e intercambiar información en una forma y período de tiempo que permita al personal de la organización cumplir con
sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción
de las decisiones que les corresponde en relación con la respectiva entidad.
24
La función de promoción del mercado se
olvidó?
Las Circulares Externas 014 y 038 de 2009 de la Superintendencia Financiera de Colombia establece que las entidades
sometidas a su supervisión deben estructurar, implementar y mantener un SCI ajustado a las mejores prácticas
internacionales, que les permita el logro de sus objetivos, realizando sus actividades en condiciones de eficiencia, seguridad
y transparencia.
Como se reconoce a nivel internacional, la calidad, oportunidad, veracidad, suficiencia y en general la credibilidad de la
información que se revela al público, constituyen la esencia de la transparencia como principio medular de los mercados de
valores.
Es por lo anterior que en el numeral 7.5.4.1 de la Circular Externa No. 014 de 2009, modificada por la Circular Externa 038
del mismo año, se señala que las entidades deben contar con sistemas que garanticen que la información cumpla con los
criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (efectividad, eficiencia, confiabilidad) y
cumplimiento, para lo cual deberán establecer controles generales y específicos, con el fin de brindar a los accionistas, tanto
actuales como potenciales, tenedores de títulos de deuda y demás participantes en el mercado público de valores, todos los
15
N°
PREGUNTA
RESPUESTA
elementos de juicio necesarios para la adopción de las decisiones que les corresponden.
En tal sentido, resulta evidente que entre otros objetivos las Circulares Externas 014 y 038 de 2009 buscan la promoción del
mercado de valores, considerando que la implementación de un adecuado sistema de control interno lo fortalecerá, toda vez
que la confiabilidad en la calidad y transparencia de la información generará un impacto favorable en el mismo.
25
Fechas para certificar control interno en la
gestión contable y gestión de la
tecnología.
De acuerdo con los nuevos plazos establecidos en la Circular Externa 038 de 2009 para la implementación del SCI, los
requisitos relacionados con los elementos de Información y Comunicación y Actividades de Control, que incluyen el SCI de la
Gestión Contable y la Gestión de la Tecnología deben cumplirse al 30 de junio de 2010, por lo tanto, la correspondiente
certificación deberá ser envida a esta Superintendencia dentro de los diez (10) días hábiles del mes de julio del mismo año.
En el numeral 7.6.2 se establece:
“Instalación y acreditación de los
sistemas" a qué hace referencia?
La instalación y acreditación de los sistemas hace referencia a la necesidad de realizar pruebas a los sistemas nuevos o
modificados para que trabajen sin problemas relevantes después de la instalación en el ambiente de producción.
26
Esto requiere probar que la infraestructura sea apropiada para el propósito deseado y esté libre de errores como también
planear las liberaciones a producción.
Todo esto se puede lograr estableciendo una metodología de pruebas, evaluar y aprobar los resultados de las pruebas y
realizar revisiones posteriores a la implementación.
27
Con qué personas de la Superintendencia
nos podemos contactar para solucionar
inquietudes?
Para cualquier inquietud por favor comunicarse con el Centro de Contacto de esta Superintendencia, teléfono 419-7100.
Cuál es el alcance del punto 7.6.2.2. literal
i. "programas para establecer una cultura
de calidad de la tecnología en toda la
entidad"
El establecimiento de una cultura de calidad de la tecnología se refiere a todas aquellas actividades que tienden a interiorizar
y facilitar el cumplimiento de los requerimientos, políticas y procedimientos de calidad definidos por una entidad, con el fin de
que las características de los productos o servicios tecnológicos cumplan con las necesidades y expectativas establecidas
por los clientes internos y externos de una organización.
En desarrollo de lo anterior, las entidades deberán elaborar programas en los que se definan las actividades (charlas,
talleres, actividades lúdicas, avisos, mensajes, etc.) para sensibilizar a todos los empleados sobre la importancia de llevar a
cabo sus funciones de acuerdo con las políticas y procedimientos de tecnología establecidos con el fin de lograr y mantener
los estándares de calidad.
28
Cuál es el ente al que debe reportar el
corredor de Reaseguros que no tiene
Junta Directiva? Es decir el equivalente a
la Junta Directiva, teniendo en cuenta que
por resolución de la Superfinanciera no
Teniendo en cuenta que las entidades corredoras de reaseguros constituidas como sociedades de responsabilidad limitada
no están obligadas a contar con junta directiva, corresponde a la junta de socios, como máxima autoridad social, asumir en
cuanto resulte pertinente las funciones asignadas a dicho órgano de administración.
En este sentido, será la junta de socios la encargada y la competente para tomar todas las decisiones y ejecutar las
actuaciones que se produzcan en desarrollo de las actividades de control, constituyéndose en la máxima autoridad dentro de
16
N°
PREGUNTA
está obligado a tenerla.
RESPUESTA
la entidad en materia de Control Interno.
Sin perjuicio de lo anterior, es de precisar que si bien sólo para las sociedades anónimas se encuentra legalmente prevista la
obligación de contar con junta directiva, estatutariamente las sociedades de responsabilidad limitada pueden prever su
existencia cuando así lo consideren conveniente o necesario para su adecuado funcionamiento.
29
Cómo se interpreta la independencia y
objetividad del Contralor Interno (o Auditor
Interno)
A efectos de determinar el alcance e interpretación de los principios de independencia y objetividad del contralor interno,
consideramos pertinente transcribir las definiciones que sobre el particular traen las Normas para el Ejercicio Profesional de
la Auditoría Interna emitidas por el Instituto de Auditores Internos (IIA) y a las cuales se remite el numeral 7.7.1.4.1 del
Capítulo Noveno, Título Primero de la C.E. 007 de 1996.
“El término independencia hace referencia a que el auditor a cargo del área debe responder ante un nivel jerárquico tal en la
organización que le permita emitir opiniones imparciales y equilibradas, lo cual es esencial para realizar adecuadamente una
auditoría. Así mismo, esa función independiente dentro de la Organización le permite estar libre de injerencias al momento
de determinar el alcance de la auditoría, durante la ejecución de la misma y al momento de comunicar sus resultados.
La objetividad, se refiere a que el auditor interno debe tener una actitud imparcial y neutral, y debe evitar los conflictos de
intereses.”. (negrilla fuera de texto).
Así, la independencia supone una actitud mental que permita al auditor actuar con libertad, de acuerdo con su criterio
profesional y las normas éticas, para lo cual debe encontrarse libre de cualquier predisposición, vínculo, situación o relación
con las personas o áreas auditadas que limite su imparcialidad en la consideración de los hechos, así como en la
formulación de sus conclusiones. Por su parte, la objetividad implica que el auditor debe realizar su análisis únicamente con
base en las evidencias encontradas y no en consideraciones subjetivas u otros elementos que carezcan de un adecuado
soporte.
De acuerdo con los estándares internacionales, se considera una práctica de buen gobierno corporativo que el auditor
interno sea designado por la Junta Directiva u órgano equivalente, a efectos de propender por su independencia y
objetividad y así se recomendó en el numeral 7.7.1.4.2.1.2 de la Circular Externa 014 de 2009 modificada por la Circular
Externa 038 del mismo año.
30
Cuáles son los criterios específicos para
homologar la evaluación del SCI por la
SFC.
La Circular Externa 038 de 2009, mediante la cual se modificó la Circular Externa 014 de 2009, precisó los requisitos
específicos que deberán cumplir las entidades vigiladas para efectos de acreditar ante esta Superintendencia la
estructuración e implementación de los principales elementos del sistema de control interno.
Por otra parte, es de recordar que la evaluación del sistema de control interno corresponde principalmente a la
administración de la respectiva organización. Así, es función de la junta directiva definir y aprobar las estrategias y políticas
generales relacionadas con el SCI, de acuerdo con la naturaleza y tamaño de la compañía, la complejidad de sus
operaciones y la relación costo/beneficio, entre otros aspectos, con fundamento en las recomendaciones del Comité de
Auditoría y los informes del auditor interno, quien tiene la responsabilidad de realizar una evaluación detallada de la
efectividad y adecuación del SCI, en las áreas, procesos y transacciones de la organización que resulten relevantes,
17
N°
PREGUNTA
RESPUESTA
abarcando v.gr. los relacionados con la administración de riesgos de la entidad, los sistemas de información, administrativos,
financieros y tecnológicos, incluyendo los sistemas electrónicos de información y los servicios electrónicos.
Sin perjuicio de lo anterior, es de señalar que actualmente la SFC está desarrollando una metodología para el seguimiento
del SCI de las entidades vigiladas, para efectos de homologar los criterios de supervisión del Sistema.
31
32
33
Es deber de las entidades adjuntar todos
los manuales de procedimientos al
certificado que firman el Representante
Legal y el Presidente de la Junta
Directiva?
En principio, el representante legal y el presidente de la junta directiva de las entidades vigiladas no deberán anexar ningún
documento a la certificación que expidan para acreditar el cumplimiento de los requisitos establecidos en la Circular Externa
014 de 2009, modificada por la Circular Externa 038 del mismo año e incorporada al Capítulo Noveno, Título Primero de la
Circular Externa 007 de 1996.
En
síntesis
y
considerando
la
independencia, cuál es la responsabilidad
del Auditor o Contralor Interno respecto al
SCI.
La responsabilidad del auditor o contralor interno está determinada por las funciones que se establezcan en el
correspondiente estatuto o documento interno aprobado por la junta directiva, en concordancia con las funciones señaladas
en el numeral 7.7.1.4.2.2.7 de la Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año.
Cómo supone la SFC que el Comité de
Auditoría debe cumplir con las funciones
de hacer? Con qué herramientas deben
contar, dado que por lo general el comité
se reúne una vez al trimestre?
En el Sistema de Control Interno reglamentado por la SFC para las entidades sujetas a su vigilancia, el comité de auditoría
está previsto como un órgano dependiente de la junta directiva y debe estar integrado por lo menos con tres (3) miembros de
dicho órgano de administración, quienes deberán tener experiencia y ser conocedores de los temas relacionados con las
funciones asignadas al referido órgano social, y podrán contar con el apoyo de funcionarios de la misma organización o de
asesores externos para el adecuado cumplimiento de sus funciones.
Lo anterior, sin perjuicio de que los documentos mínimos que deben sustentar la implementación del SCI, de acuerdo con lo
previsto en el numeral 7.8 de la citada Circular, se encuentren a disposición de esta Superintendencia, quien podrá exigirlos
en cualquier momento, en ejercicio de sus funciones de supervisión in situ o extra situ.
Al respecto, adicionalmente debe considerarse que según se precisó en el numeral 7.7.1.4.1. de la mencionada Circular, la
auditoría está concebida para agregar valor y mejorar las operaciones de una organización, ayudándola a cumplir sus
objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno.
Así mismo, sirven como insumo para la labor del comité de auditoría los informes del auditor interno y otros órganos
colegiados de la organización, así como del revisor fiscal y las observaciones que formulen las entidades de control.
Adicionalmente, el Comité de Auditoría cuenta con facultades para solicitar los informes que considere convenientes para el
adecuado cumplimiento de sus funciones.
De otra parte, en relación con la periodicidad de las reuniones del comité de auditoría, en el numeral 7.7.1.2.4 de la Circular
Externa 014 de 2009 modificada por la Circular Externa 038 del mismo año, se precisa que “deberá reunirse cada tres (3)
meses, o con una frecuencia mayor si así lo establece su reglamento o lo ameritan los resultados de las evaluaciones de
SCI”.
18
N°
PREGUNTA
RESPUESTA
Así las cosas, es potestativo de la junta directiva de las entidades vigiladas, determinar en el reglamento de funcionamiento
de su Comité de Auditoría, si conforme a sus necesidades específicas, considera pertinente que éste se reúna con una
mayor periodicidad, a efectos de desarrollar adecuadamente las funciones de hacer asignadas, y todas las demás señaladas
en el numeral 7.7.1.2.1 de la Circular citada.
Lo anterior no obsta, para que el mismo Comité, de considerarlo necesario o pertinente, decida igualmente reunirse con una
mayor frecuencia.
Ahora bien, independientemente de la periodicidad prevista para las reuniones del comité de auditoría, no puede perderse de
vista que el cumplimiento de su labor es de carácter permanente.
34
35
Las
entidades
que
ya
tienen
implementado el MECI, pueden aplicarlo
en el cumplimiento de la CE 014?
O sea, al cumplir con MECI se está
cumpliendo con la CE 014?
El Modelo Estándar de Control Interno – MECI, adoptado mediante el Decreto 1599 de 2005 es válido como sistema de
control interno de las entidades públicas sometidas a la vigilancia de esta Superintendencia.
El buen gobierno es fundamental. La
Junta Directiva es un órgano clave que
debe estar al tanto y discutiendo la
estrategia de la compañía. Sin embargo
hoy en día está dedicada a revisar temas
de control y supervisión, aprobación de
manuales y documentos y no a analizar la
estrategia y la gestión con visión del
futuro de la entidad. No debería la junta
directiva dedicarse a la estrategia y los
manuales de riesgo ser órbita de la
administración?
Como bien se señala, la Junta Directiva es el órgano encargado de delinear, discutir y aprobar la estrategia, y, también le
corresponde velar porque esa estrategia se cumpla y porque todas las políticas y directrices que imparta también sean
cumplidas a lo largo de la organización. En este orden de ideas, la Junta Directiva es un órgano de administración y control.
No obstante, según se señala en la Circular Externa 014 de 2009, las entidades supervisadas que pertenezcan al sector
público y estén obligadas a la adopción del MECI, deberán complementar dicho modelo con los aspectos incluidos en dicha
Circular, modificada por la Circular Externa 038 de 2009, en aquello que no se encuentre previsto en el MECI.
Uno de los factores más importantes para la sostenibilidad de cualquier organización, independientemente de su naturaleza,
es contar con una junta directiva comprometida, conformada por personas altamente calificadas y con experiencia gerencial,
que se involucren seriamente y de manera profesional en la gestión de la entidad y en la solución de los problemas
importantes que se presenten.
Tras la reciente crisis que llevó a la liquidación de varias de las más importantes empresas, a nivel mundial se están
revisando las prácticas de gobierno corporativo de las empresas y se está cuestionando el desempeño que hasta el
momento han tenido los distintos órganos del mismo. Si bien todos los miembros de la organización son importantes para un
adecuado sistema control interno, algunos como el Representante Legal, los miembros del Comité de Auditoría y la Auditoría
Interna desempeñan un rol esencial en el mismo, correspondiendo su liderazgo a la Junta Directiva u órgano equivalente.
Recordemos que de conformidad con lo establecido en el artículo 23 de la Ley 222 de 1995 los miembros de junta directiva,
como administradores, deben obrar de buena fe, con lealtad y con la diligencia de un buen hombre de negocios, teniendo en
cuenta los intereses de todos los asociados. Cuando la ley hace referencia a la diligencia de un buen hombre de negocios,
se refiere al cuidado que pondría en la ejecución de sus propios negocios o actividades una persona conocedora de las
técnicas actuales de administración o de gerencia, lo cual implica entre otros aspectos, actuar con responsabilidad,
proactividad, disciplina y competencia técnica, realizando una evaluación seria e informada de las principales opciones de
que dispone en el momento de tomar determinaciones.
19
N°
PREGUNTA
RESPUESTA
Dentro de este contexto, la citada Circular establece que de la junta directiva u órgano equivalente debe provenir la
autoridad, orientación y vigilancia al personal directivo superior en temas estratégicos y de gran importancia para la entidad,
correspondiéndole entre otras las siguientes funciones:
i. Participar activamente en la planeación estratégica de la entidad y su seguimiento, determinando las necesidades de
redireccionamiento estratégico cuando se requiera.
ii. Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones
del Comité de Auditoría.
iii. Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control o
supervisión e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.
Por lo tanto, corresponde a este órgano colegiado no sólo participar activamente en la planeación estratégica y aprobarla,
sino también hacer seguimiento al cumplimiento de la misma. Así mismo, le corresponde analizar los procesos de gestión de
riesgos de la entidad y ejercer las demás funciones asignadas en el numeral 7.7.1.1.1. de la citada circular
36
Por qué le asignaron las mismas
funciones a la Junta Directiva, al Comité
de Auditoría y al Representante Legal en
relación con el Sistema de Control
Interno?
Una lectura juiciosa de las funciones asignadas a la junta directiva, al comité de auditoría y al representante legal en la
Circular Externa 014 de 2009, modificada por la Circular Externa 038 del mismo año, permite evidenciar que las funciones de
cada uno de estos órganos tienen un alcance y un enfoque fundamentalmente distinto.
En forma muy resumida podemos indicar que la junta directiva es la encargada de definir y aprobar las estrategias y políticas
generales relacionadas con el SCI, correspondiéndole tomar las decisiones relevantes que resulten necesarias para lograr el
adecuado funcionamiento de dicho sistema, con fundamento en las recomendaciones del Comité de Auditoría, el cual debe
evaluar el control interno de la organización, así como su mejoramiento continuo, sin que ello implique una sustitución a la
responsabilidad que de manera colegiada le corresponde a la junta directiva en la materia. Por su parte, al representante
legal es el encargado de implementar y poner en funcionamiento las estrategias y políticas de control interno aprobadas por
la junta directiva, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento.
Así las cosas, dentro de la estructura del SCI cada órgano tiene unas responsabilidades puntuales y diferentes.
37
¿Qué se espera sobre la documentación
que debe dejar como constancia el
representante legal sobre el seguimiento
de procesos y cumplimiento y en general
del control interno? Tomado de la
aclaración a las responsabilidades del
representante legal.
Con ocasión de la expedición de la C.E. 038 de 2009 se precisó el alcance de las funciones del representante legal de las
entidades vigiladas por la SFC en cuanto al SCI, advirtiendo que “En general el representante legal es el responsable de
dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la
correspondiente entidad y su adecuado funcionamiento, para lo cual debe demostrar la ejecución de los controles que le
corresponden.” (Negrilla del texto)
En este sentido, la documentación debe acreditar suficientemente la gestión adelantada por el representante legal en el
direccionamiento de la implementación de los procedimientos de control y revelación, así como la ejecución de los controles
pertinentes.
Por ello, el representante legal debe dejar constancia de sus actuaciones en esta materia mediante memorandos, cartas,
20
N°
PREGUNTA
RESPUESTA
actas de reuniones y demás documentos que acrediten en forma satisfactoria el cumplimiento de sus funciones, en cuanto a
la ejecución de los controles que le corresponden.
38
Cuál es el plazo de implementación del
numeral
7.5.4
"Información
y
Comunicación" y Cuál es el plazo de
implementación del SCI para la gestión de
tecnología?
De conformidad con lo establecido en la Circular Externa 038 de 2009, el plazo previsto para la implementación de los
Elementos de Información y Comunicación y Actividades de Control, el cual incluye el SCI de la Gestión Contable y la
Gestión de Tecnología, fue ampliado hasta el 30 de junio de 2010.
39
Para la aplicación de la Circular 14 la
Superintendencia, tendrá en cuenta la
naturaleza especial de las entidades, cuál
será el mecanismo? - Expedirá regulación
especial? - La entidad especial podrá
proponer a la Superintendencia sus
propios mecanismos según su naturaleza
especial?
En efecto, de acuerdo con las instrucciones impartidas por esta Superintendencia en materia de SCI, las entidades
supervisadas “deberán implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente capítulo, en forma
tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los
activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros.) y la naturaleza de las
actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación
beneficio/costo."
Esta Superintendencia no expedirá una regulación especial, porque precisamente la Circular permite que se enmarquen
dentro de ellas todas las entidades. Por lo tanto, corresponde a los directivos de cada entidad diseñar el sistema que resulte
apropiado para sus características específicas (así una empresa muy grande deberá tener un sistema de control interno mas
estructurado que el de una empresa pequeña), siempre y cuando se acredite ante el supervisor que se cumplen los mínimos
allí señalados y que con dicho sistema se asegura que se logren los siguientes objetivos:
- Mejorar la eficiencia y eficacia en las operaciones de la respectiva entidad.
- Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la organización.
- Realizar una gestión adecuada de los riesgos.
- Aumentar la confiabilidad y oportunidad en la Información generada por la organización, especialmente con destino al
mercado financiero (incluyendo en éste el mercado de valores).
- Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.
40
Si la entidad cuenta con un sistema de
gestión de calidad certificado y con un
MECI implementado: Cuál sería el
alcance o la interpretación que debe
darse al numeral 7.7.1.4.2.1.4 Programa
de Aseguramiento? Es suficiente con las
auditorías internas y las externas que
realiza la firma certificadora? ¿Puede
entenderse que estas actividades son de
aseguramiento de la actividad de auditoría
El Modelo Estándar de Control Interno – MECI adoptado para las entidades públicas colombianas mediante el Decreto 1599
de 2005 tiene esencialmente los mismos fundamentos conceptuales que el Sistema de Control Interno establecido por la
Superintendencia Financiera de Colombia para sus entidades vigiladas, mediante la Circular Externa 014 de 2009,
modificada por la Circular Externa 038 del mismo año e incorporada al Capitulo IX Título Primero de la Circular Externa 007
de 1996.
En tal sentido, dentro del Subsistema de Control de Evaluación del MECI se encuentra el componente de “Evaluación
Independiente” (numeral 3.2.), cuyos elementos son la evaluación independiente del sistema de control interno y la auditoría
interna, los cuales ejecutados de conformidad con las instrucciones impartidas por el Departamento Administrativo de la
Función Pública, cumplen con los requisitos establecidos en el numeral 7.5.6 de la mencionada Circular Externa 014 de
2009.
21
N°
PREGUNTA
interna?
RESPUESTA
Así, la auditoría interna es el elemento de control que permite realizar un examen sistemático, objetivo e independiente de
los procesos, actividades, operaciones y resultados de una entidad pública. Así mismo, permite emitir juicios basados en
evidencias sobre los aspectos más importantes de la gestión, los resultados obtenidos y la satisfacción de los diferentes
grupos de interés.
De conformidad con lo establecido en el Manual de implementación del MECI, el ejercicio de la auditoría interna comprende
básicamente cuatro fases, a saber: planeación, ejecución, informe y seguimiento. Su ejecución se soporta en el conjunto de
Normas de Auditoria Generalmente Aceptadas, las cuales buscan estandarizar los procesos auditores y formalizar el trabajo
de auditoría propiamente dicho.
Las auditorias deben realizarse con base en un programa de auditoria interna, documento de trabajo detallado que se
constituye en la guía para la ejecución del Plan de Auditoría Interna por parte de la Oficina de Control Interno, o quien haga
sus veces. Dicho programa de auditoría interna resulta equivalente al Programa de Aseguramiento de Calidad y
Cumplimiento a que se refiere el numeral 7.7.1.4.2.1.4 de la mencionada Circular Externa 014 de 2009.
En consecuencia, si en virtud de la adopción del MECI la entidad ya cuenta con un proceso de auditoría interno ajustado a
las disposiciones vigentes, se entenderá cumplido en ese aspecto el elemento de evaluaciones independientes exigido en el
numeral 7.5.6 de la mencionada circular.
De otra parte, es de señalar que la auditoría que realizan las firmas certificadoras se clasifica como una auditoría externa o
de tercera parte, cuyo propósito es certificar el cumplimiento de la NTC GP 1000, no del MECI.
41
Cuál es el alcance de la función del
Comité de Auditoría sobre efectuar el
seguimiento a los niveles de exposición
de riesgo, sus implicaciones y las
medidas por lo menos cada 3 meses? No
se están duplicando funciones con el
Comité de Riesgo?
De conformidad con lo dispuesto en el numeral 7.7.1.2. de la Circular Externa 014 de 2009, modificada por la Circular
Externa 038 del mismo año e incorporada al Capitulo IX Título Primero de la Circular Externa 007 de 1996, al comité de
auditoría como órgano de asesoría y apoyo de la junta directiva, le corresponde, entre otras funciones, hacer seguimiento
sobre los niveles de exposición de riesgo, sus implicaciones para la entidad y las medidas adoptadas para su control o
mitigación, presentando a la junta directiva informes periódicos sobre los aspectos más importantes de las gestiones
realizadas.
Por su parte, el comité de riesgos tiene a su cargo la gestión misma de los riesgos, por lo cual no se presenta duplicidad.
Adicionalmente y tal como se reiteró en el inciso final del numeral 7.5.2 ibídem, los sistemas de gestión de riesgos
específicos a saber: SARM, SARC, SARO, SARL, SARLAFT, SARG y SEARS, no son independientes del Sistema de
Control Interno, sino que forman parte del mismo.
42
Tomando como base los elementos de
"cargos según naturaleza de la entidad" y
"mejores prácticas internacionales" del
enfoque y estrategia de la regulación, no
se debería considerar que las oficinas de
representación
de
reaseguradores
De conformidad con lo dispuesto en los numerales 7.1 y 7.2 de la Circular Externa 014 de 2009, modificada por la Circular
Externa 038 del mismo año e incorporadas en el Capítulo Noveno, Título I de la Circular Externa 007 de 1996, las
disposiciones previstas en el numeral 7° - Sistema de Control Interno - de dicho capítulo resultan aplicables a las oficinas de
representación de organismos financieros del exterior, en cuanto se encuentran sujetas a la vigilancia de esta
Superintendencia.
Ahora bien, para esta Superintendencia es claro que las oficinas de representación forman parte de organizaciones que por
22
N°
PREGUNTA
extranjeros ya cuentan con sistemas
integrales de control interno (tipo E.R.M) y
por ende, están cumpliendo con los
requerimientos de la Circular Externa 014,
es decir no duplicar esquemas localmente
que ya se hacen, siguen y controlan en
las casas matrices?
RESPUESTA
regla general tienen sistemas de control interno que responden a las mejores practicas internacionales (COSO, SOX,
Turnball, etc.), los cuales se ajustan a los lineamientos generales de la referida Circular Externa 014 de 2009 a través de la
cual se modificó el mencionado numeral 7°.
En este sentido, las oficinas de representación deben contar con un Sistema de Control Interno que responda al modelo
adoptado por la entidad del exterior a la cual pertenecen, complementado en aquellos aspectos incluidos en la Circular
Externa 014 de 2009 que no se encuentren contemplados en el mismo.
Así las cosas, es de señalar que precisamente teniendo en consideración las particularidades de las diferentes entidades
vigiladas por esta entidad, en el numeral 7.2 citado se estableció lo siguiente:
“Todas las entidades supervisadas, ya sean matrices o subordinadas, deberán implementar o ajustar su SCI a los requisitos
mínimos establecidos en el presente capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización
(en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales
o agencias, entre otros.) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por
cuenta de terceros, teniendo en cuenta la relación beneficio/costo.”
Por lo tanto, en atención al tamaño y operaciones de las oficinas de representación éstas pueden adoptar un SCI sencillo,
que cumpla unos parámetros mínimos.
En este orden de ideas, esta Superintendencia ha considerado que en estos casos debe acreditarse que con dicho sistema
se cumplen los presupuestos mínimos señalados en la citada circular y se asegura el logro de los siguientes objetivos:
1. Mejorar la eficiencia y eficacia en las operaciones o actividades de la respectiva entidad.
2. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la organización.
3. Realizar una gestión adecuada de los riesgos asociados a su actividad.
4. Aumentar la confiabilidad y oportunidad en la información generada por la organización, en especial la suministrada a esta
Superintendencia.
5. Dar un adecuado cumplimiento a la normatividad y regulaciones aplicables a la entidad.