INFORME DEL COMITÉ DE AUDITORÍA A LA JUNTA DIRECTIVA RESPECTO DE LAS ACTIVIDADES DESARROLLADAS EN EL AÑO 2012 Y SISTEMA DE CONTROL INTERNO Señores miembros de Junta Directiva y accionistas: En cumplimiento de lo establecido en las normatividad vigente emitida por la Superintendencia Financiera de Colombia, relacionadas con la revisión y adecuación del Sistema de Control Interno (SCI), y el reglamento del Comité de Auditoria de BNP PARIBAS COLOMBIA CORPORACION FINANCIERA, el comité desarrolló sus funciones en tres (3) sesiones durante el año. Las siguientes son las actividades más relevantes de la gestión adelantada: Con relación a la implementación del SCI durante el año se adelantó un seguimiento respecto a la estructuración y aplicación de los elementos del sistema de control interno. En ese orden de ideas se han desarrollado las siguientes actividades: a) Definición y aprobación del Manual del sistema de Control Interno. De acuerdo con los requisitos solicitados en las circulares externas 014 y 038 de 2009, se aprobó el Manual de Control Interno que se elaboró a fin de consolidar y facilitar la articulación del Sistema de Control Interno el cual incluye: la descripción de las políticas, los métodos, procedimientos y mecanismos necesarios para el cumplimiento de la circular. b) Igualmente se aprobó la estructura organizacional del Sistema de Control Interno, y se designó un funcionario responsable que organice el proceso de implantación y monitoreo del sistema, con el apoyo de la presidencia de la Corporación Financiera. c) Para verificar la gestión del Sistema de Control Interno, se implementó en el 2012 el software GCI (Gestión de Control Interno), desarrollado por el proveedor Auge Total, el cual también se encuentra en producción en otra de las entidades del Grupo BNP Paribas en Colombia (Cardif Seguros S.A.) El sistema permite gestionar el control interno de la Corporación Financiera y documentar la gestión respecto a: la estructura organizacional de la entidad, direccionamiento, planeación estratégica, identificación de riesgos, documentación de macro procesos, procesos, y subprocesos. Cuenta con los siguientes módulos: “Cumplimiento” que permite gestionar la normatividad aplicable relacionado con reportes, informes y requerimientos de entes regulatorios o de impuestos entre otros, “Gestión del día a día”: gestiona todos los compromisos y planes de acción que se dan en el curso normal de la operación, además permite gestionar todos los compromisos de actas, reuniones y comités entre otros aspectos, “Gestión y control” que permite ingresar, ejecutar y gestionar todo el proceso de auditoria del cual sea objeto la organización, “Gerenciamiento” que es un módulo para realizar control y gestión de los diferentes informes. El Software ha sido verificado con las diferentes áreas y con las áreas en Latinoamérica para verificar que cumple con los requisitos locales y de Grupo. Para la revisión de la efectividad del sistema de control Interno el Comité de Auditoria realizó las siguientes actividades: • Conocimiento y aprobación del plan de trabajo de Inspección General de la compañía para el periodo 2012. • Conocimiento de los informes, recomendaciones y acciones de las evaluaciones realizadas por la Inspección General y del seguimiento que la administración hizo a las áreas auditadas para la atención de las recomendaciones. • Conocimiento de los oficios recibidos de la Superintendencia Financiera y las respuestas dadas por la administración. • Conocimiento del plan de trabajo de la Revisoría Fiscal y de su cumplimiento para el periodo 2012-2013. • Conocimiento de los informes, las cartas de recomendaciones y las observaciones presentadas por la Revisoría Fiscal y revisión de que la administración haya atendido las recomendaciones, así como haber dado una respuesta oportuna. • En lo referente a los sistemas de administración de riesgo se analizaron los informes generados por la Unidad de Riesgo de la compañía, la Revisoría Fiscal y la Auditoria Interna, para lo cual se emite un informe presentado a la Junta Directiva. • En el año 2012, los requerimientos mínimos de seguridad en los sistemas fue modificada por la Circular Externa 042 de octubre 4 de 2012. No hubo efectos dentro de la gestión del riesgo de seguridad de la información. La Corporación Financiera durante el 2012 continuó con el monitoreo y gestión de los requisitos mínimos de seguridad exigidos y aplicables a los diferentes servicios ofrecidos. Estos se cumplen en su totalidad para todos los productos ofrecidos. Asimismo se hicieron monitoreos en las instalaciones para el cumplimiento de la política de escritorio seguro, sin mayores inconvenientes. • En cuanto al Sistema de Atención al Consumidor (SAC) se encuentra en funcionamiento, debidamente documentado especialmente el procedimiento de atención de peticiones, quejas y reclamos; se realizó la capacitación a todo el personal involucrado. Igualmente se definió la estructura organizacional del Sistema de Atención, y se designó al área de Facilities como responsable operativo del sistema y su monitoreo, dependiendo del representante legal de la compañía. El sistema está listo y divulgado para atender correctamente estas solicitudes. Informes mensuales sobre el sistema se han presentado al Comité de Riesgo y a la Junta Directiva. Igualmente se radicado debidamente los reportes de quejas del Defensor del Consumidor Financiero y de la entidad ante la Superintendencia Financiera de Colombia. • En lo concerniente a los estados financieros y al dictamen del revisor fiscal sobre los estados financieros con corte al 31 de diciembre de 2012, el Comité estudió el dictamen y los estados financieros con sus notas y consideró que éstos están en concordancia con la realidad de BNP PARIBAS COLOMBIA y revelan la situación económica y el valor de los activos de la empresa, así como la transparencia de la información financiera. • Conocidas las recomendaciones y oportunidades de mejora no se identificaron deficiencias materiales que puedan afectar los estados financieros o el informe de gestión. De otra parte y de acuerdo con los informes presentados por el Oficial de Cumplimiento, se pudo observar que la Corporación durante el periodo 2012, desarrolló las actividades para la aplicación de las políticas, procedimientos y capacitaciones encaminados a prevenir el lavado de activos al interior de la entidad; cumpliendo, entre otras actividades, con los reportes mensuales de información a la Unidad Administrativa Especial de Información y Análisis Financiero “UIAF. Como consecuencia de lo anterior y verificada toda la información incluida dentro de los comités de auditoria, las grabaciones de las reuniones de Junta Directiva y Comité de Riesgo, (incluidas en el archivo ubicado en el siguiente link: Q:\COMITES) y enviados por correo electrónico al miembro de Junta Directiva independiente, la conclusión del comité es que la Corporación Financiera cumple con los requisitos legales establecidos en Colombia para tener un Sistema de Control Interno y de gestión de riesgos adecuado. Igualmente se han realizado las actividades pertinentes pro parte de la Administración para gestionar los hallazgos de los diferentes órganos de control. No obstante lo anterior, hay planes que tendrán su cumplimiento final durante el año, razón por la cual el comité estará pendiente de la evolución y cumplimiento de todos los temas pendientes. Por último, la auditoria interna presentó para el 2013 la planeación de las auditorias según la medición del riesgo de cada uno de los procesos. PERFIL DE RIESGO DE LA CORPORACION Finalmente el perfil de riesgo de la Corporación se encuentra dentro de lo normal y no encontramos elementos relevantes para reportar. El resumen es el siguiente: Todos los riesgo en medio cuentan con tratamientos y sus planes de acción están siendo monitoreados. El anterior informe fue aprobado por unanimidad según consta en el acta No. 6 del Comité de Auditoria reunido el día 6 de febrero de 2013. Miembros del Comité (FIRMADO) DIDIER VUILLET Presidente (FIRMADO) MARCELLO SELLAN (FIRMADO) CARLOS FRADIQUE-MENDEZ LOPEZ