INFORME PORMENORIZADO SOBRE EL ESTADO DE CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: ANTONIO GÓMEZ CARRANZA Período evaluado NOVIEMBRE 12 DE 2015 A MARZO 12 DE 2016 Fecha de elaboración: MARZO 08 DE 2016 ANTECEDENTES Leasing Bancoldex S.A., es una sociedad de economía mixta, sujeta al régimen de las Empresas Industriales y Comerciales del Estado, bajo el control y supervisión permanente por parte de los organismos del estado, tales como la Contraloría General de la República, la Contaduría General de la Nación y la Superintendencia Financiera de Colombia entre otros. La Oficina de Control Interno se enmarca dentro de la Ley 87 de 1993, en cuanto al ejercicio del control interno en las entidades y organismos del Estado en su doble función asesora, de supervisión y control. Así mismo, responde a las funciones y responsabilidades que la Superintendencia Financiera de Colombia le ha impuesto, en lo que corresponde a la supervisión y cumplimiento de las normas que las entidades financieras deben seguir y las funciones que la Alta Dirección, el Comité de Auditoría y Junta Directiva le han delegado. El Sistema de Control Interno de la Compañía, está fundamentado en el Modelo Estándar de Control Interno MECI 2014, el cual se encuentra en constante proceso de sostenimiento y mejora conforme a los lineamientos impartidos en el decreto 943 de 2014, la Norma Técnica de Calidad NTCGP 1000:2009 e ISO 9001:2008, así como, los lineamientos impartidos en la Circular Externa 038 de 2009, de la Superintendencia Financiera de Colombia y las políticas establecidas por la Junta Directiva y la Alta Dirección; con el propósito de contribuir al logro de los objetivos institucionales y la administración de los riesgos a los que se ve expuesta la Compañía en el desarrollo de su objeto social. Este sistema, más haya de ser una exigencia legal, hace parte de una cultura organizacional y se constituye en una herramienta de gestión que garantice de una manera razonable la generación de los mejores resultados en términos de calidad y eficiencia; así mismo, la Compañía revisó y actualizó los manuales, procedimientos e instructivos que hacen parte del Sistema Integrado de Gestión; en aras de alcanzar la eficiencia, efectividad, eficacia y economía de los procesos. En concordancia con lo anterior, la nueva estructura del Sistema de Control Interno de Leasing Bancoldex S.A. CF., está compuesta por el módulo de Planeación y Gestión, el módulo de Evaluación y Seguimiento y el eje transversal de Información y Comunicación; que se desarrollan a través de componentes y elementos; de igual manera, este modelo es complementado de acuerdo a los lineamientos fijados en la Circular Externa 038 de 2009, relacionada con las instrucciones relativas a la revisión y adecuación del Sistema de Control Interno de las entidades supervisadas por la Superintendencia Financiera de Colombia. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN Dificultades • Ninguna que amerite ser reportada Avances Entre los principales objetivos de este, es introducir en la cultura organizacional, el control a la gestión en los procesos de direccionamiento estratégico, misionales, de apoyo y de evaluación. 1.1 Componente del Talento Humano: Para la gestión del año 2015, en desarrollo del componente de talento humano, se han programado y efectuado las siguientes actividades: En coordinación con la ARL Colmena, el Comité de COPPASST y el proceso de Talento Humano, durante el primer semestre del año 2015, efectuó un estudio de Ergonomía; así mismo, se han adelantado actividades orientadas al bienestar de los funcionarios por medio de pausas activas y estudios relacionados con Higiene Postural. Durante el primer semestre del año 2015, como parte del sostenimiento y fortalecimiento de los acuerdos y compromisos éticos, se actualizó el Código de mejores prácticas corporativas (Buen Gobierno). La Compañía para la elaboración del cronograma de capacitaciones lo establece teniendo en cuenta una periodicidad semestral, las competencias requeridas de los funcionarios y las de carácter obligatorio. A la fecha de este informe, se han efectuado capacitaciones a los funcionarios, en cuanto al manejo, responsabilidad y gestión de los sistemas de administración de riesgos SARO, SARL, SARM, SARC y SARLAFT, Gobierno Corporativo (Código de buen gobierno y Ética), Procedimiento antifraude/anticorrupción, derechos de petición y conflicto de interés; de igual manera, se han efectuado campañas de sensibilización relacionadas con en el uso responsable del papel, la política del medio ambiente y el reporte de eventos de riesgo operativo. Se efectuó la evaluación anual del desempeño, la cual permite alinear los objetivos de los funcionarios con los de la Entidad, facilitar el desarrollo de los empleados, reconocer los logros e identificar necesidades de capacitación; concertar los planes de mejoramiento individuales y efectuar el seguimiento correspondiente para su cumplimiento al cierre del año 2015. En el mes de diciembre de 2015, se adelantaron las siguientes actividades: Una charla taller denominada compórtate como un animal, el origen de la gente extraordinaria, desarrollada por un consultor externo con la participación de todos los funcionarios. Capacitación anual del Sistema de Atención al Consumidor Financiero haciendo un énfasis en la definición y manejo de las solicitudes que pueden enviar nuestros Consumidores Financieros en materia de PQRS y Derechos de Petición. Se dio inicio al ciclo de capacitaciones en IFRS, a los funcionarios de la Compañía y directivos en el Colegio de Estudios Superiores en Administración – CESA. Actividad didáctica infantil de fin de año, la cual comprendió una mañana de esparcimiento y entrega de regalos para los niños de los funcionarios, en coordinación con el museo de los niños. 1.2 Componente de Direccionamiento Estratégico: La Compañía inicio el proceso de construcción de su estrategia para el período 2016 2025, con la ayuda de una consultoría contratada por Bancóldex y en procura de alinearse con el plan estratégico trazado por la matriz. La construcción de este nuevo plan de negocios partió de principios tales como: Entender cuál es el foco de LEASING BANCOLDEX a la luz de la estrategia del conglomerado Bancóldex, hacer explícito nuestro rol y la fórmula para ganar, construir una propuesta de valor que nos haga potentes y relevantes como aliado de los empresarios que crecen. En el mes de diciembre, se realizó una reunión general, en la cual se informó cómo va la Compañía y el desarrollo de la construcción de la nueva estrategia entre otros temas. De acuerdo a lo contemplado en los Decretos 2784 de 2012 y 3024 de 2014, los cuales reglamentan la Ley 1314 de 2009, el 17 de diciembre de 2013, la CGN, expidió la Resolución 743, en la cual establece un grupo de entidades catalogadas como Régimen Especial, dentro de las cuales se encuentra Leasing Bancoldex. Las entidades clasificadas en esta categoría, y que pertenecen al grupo 1, aplazan el periodo de aplicación hasta el año 2016. Por su parte, la Superintendencia Financiera de Colombia, expidió la Circular Externa 033 de 2014 en la cual publicó el Catálogo Único de Información Financiera con Fines de Supervisión agrupando en un solo catálogo a las 10 Superintendencias. Con la firma Ernst & Young, se elaboró el documento Adopción por Primera Vez bajo NIIF 1, el cual es una extensión de las políticas y plasma el cómo serán los registros iniciales de las cuentas del balance. Así mismo, contiene un barrido por todas las excepciones de reconocimiento inicial que tiene la norma para definir su aplicabilidad a Leasing Bancoldex. Los aplicativos que manejan las obligaciones pasivas, las inversiones, las operaciones de factoring y crédito se ajustaron a los requerimientos de IFRS, según la normatividad vigente. Así mismo, se realizó el ejercicio de homologación, a fin de identificar los impactos en los estados financieros; concluyendo que el más significativo, está dado en el incremento del valor de los activos fijos de la entidad por valorización. Siguiendo lo anterior, en el mes de agosto de 2015, se transmitió el Estado Financiero de Apertura, teniendo en cuenta los requerimientos de la SFC, el cual no tuvo glosas materiales significativas y en el mes de octubre se presentó al Comité de Auditoría el estado de situación financiera - ESFA de apertura, con la respectiva opinión por parte de la revisoría fiscal KPMG. Leasing Bancoldex con el objetivo de mantener una efectiva y oportuna comunicación e información con el consumidor financiero y la ciudadanía en general, estableció como canales, la página WEB, correos electrónicos y boletines en general; de igual manera, cuenta con un Sistema de Atención al Consumidor Financiero SAC; el cual se soporta en el aplicativo “WORK FLOW”, para la atención de las Peticiones, Quejas o Reclamos y Solicitudes de Información Comercial; el cual permite al consumidor financiero, realizar el seguimiento al estado de las solicitudes a través de la página web. La Asamblea General de Accionistas en la sesión del 26 de febrero del año en curso, en cumplimiento de los estatutos de la Compañía, aprobó los Estados Financieros de la entidad, el informe de Gestión del Presidente, la Oficina de Control Interno y del Comité de auditoría, con corte a 31 de diciembre del año 2015. En cuanto a la administración del Sistema Integrado de Gestión, cuenta con una estructura documental en la que se estandarizan todos los procesos de la entidad; tales como manuales, procedimientos, instructivos, formatos entre otros. En cumplimiento de la normatividad vigente relacionada con la gestión documental y para facilitar la administración de la documentación, se cuenta con las Tablas de Retención Documental. Leasing Bancoldex como cultura organizacional y mecanismo de control establece que la toma de decisiones se efectúe de manera colegiada y para tal efecto, se tienen constituidos diferentes Comités, con el objetivo de hacer monitoreo y seguimiento al cumplimiento de las directrices. De igual manera, la Junta Directiva se reúne mensualmente, para monitorear tales decisiones, el desempeño de la Compañía y dar asesoramiento. A finales del año 2015, la Junta Directiva aprobó una propuesta del Comité de Presidencia para la creación de un Comité de Riesgos, constituido con miembros de la Junta Directiva, el cual fortalecerá el Gobierno de riesgos a nivel Compañía y Conglomerado. 1.3 Componente administración del riesgo Leasing Bancoldex, por ser entidad financiera, administra riesgos asociados a su operación; dentro de los sistemas de administración de riesgo se encuentran SARC (riesgo crediticio), SARO (riesgo operacional), SARL (riesgo de liquidez), SARM (riesgo de mercado) y SARLAFT (riesgo de lavado de activos y financiación del terrorismo). En tal sentido, los identifica, controla, hace seguimiento y monitorea de acuerdo a las instrucciones impartidas por la Superintendencia Financiera de Colombia y en atención a las directrices, metodologías y modelos definidos por la administración. Dado el dinamismo en las operaciones y en el entorno, la Compañía para el año 2015, efectuó una revisión y actualización de las políticas, directrices y procedimientos para los sistemas de administración de riesgos; de igual manera, para el control, seguimiento y monitoreo se han efectuado sesiones de los diferentes Comités y Junta Directiva. Para el riesgo SARO, se presentaron eventos de riesgo operativo, los cuales a la fecha se han gestionado de acuerdo a los lineamientos normativos y metodologías definidas por la Entidad y se han informado a los órganos de gobierno para su control y monitoreo correspondiente. A finales del año 2015, la administración finalizó el proceso de autoevaluación en la identificación y/o actualización de los riesgos inherentes, causas, controles y su respectiva calificación de todos los procesos de la Compañía; así mismo, se ejecutaron las pruebas de Continuidad del Negocio, en el centro alterno definido por la Compañía, con el propósito de validar su efectividad. De igual forma, la Compañía reconoce la importancia de una adecuada administración de los riesgos a los que se ve expuesta en el giro ordinario de los negocios y por tal razón, publicó en la página WEB el "PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO AÑO 2015"; conforme a los lineamientos impartidos en el Decreto 2641 de 2012, así mismo, cuenta con un MANUAL PARA LA PREVENCIÓN DEL FRAUDE Y LA CORRUPCIÓN el cual tiene como objetivo identificar y formalizar el proceso de prevención, detección y respuesta al fraude; promoviendo un comportamiento organizacional coherente a través de directrices y asignación de responsabilidades para el desarrollo de los controles, la atención y solución de eventos o casos presentados. Siguiendo lo anterior, la Entidad tiene definido un procedimiento para las denuncias de actos de fraude y corrupción, de igual forma, estableció como mecanismo para reportar hechos de corrupción o actuaciones que atenten contra los principios de ética, transparencia y que afecten los productos de la Compañía, una instancia denominada Oficina de Control Disciplinario Interno, la cual se encarga de realizar la investigación correspondiente y analizar las pruebas que aporten quienes efectúen la denuncia. Como parte del seguimiento efectuado por la Oficina de control Interno a la ejecución del plan en mención, la entidad efectúo mejoramiento y rediseño del Manual y procedimientos que atañen a este riesgo. MÓDULO DE CONTROL DE EVALUACIÓN Y SEGUIMIENTO Dificultades • Ninguna que amerite ser reportada Avances Como parte del mejoramiento continuo, en este se consideran aspectos que permiten valorar en forma permanente la efectividad del Control Interno de la Compañía; la eficiencia, eficacia y efectividad de los procesos; el nivel de ejecución de los Planes, Programas y Proyectos, los resultados de la gestión, con el propósito de detectar desviaciones, establecer tendencias y generar recomendaciones para orientar las acciones de mejoramiento. El SCI no puede ser estático, sino dinámico, ajustándose en forma permanente a las nuevas situaciones del entorno. Con tal fin, es importante que se establezcan controles o alarmas tanto en los sistemas que se lleven en forma manual como en los que lleve en forma computarizada, de manera que permanentemente se valore la calidad y el desempeño del sistema en el tiempo y se realicen las acciones de mejoramiento necesarias, pues ello equivale a una actividad de supervisión y administración. Para efectos de lo anterior, dicho monitoreo se debe realizar en todas las etapas de los procesos y en tiempo real en el curso de las operaciones. 2.1 Componente Auto Evaluación Institucional La Cultura organizacional emanada por la Alta Dirección, orientada a la interiorización de los principios del Sistema de Control Interno (Autocontrol, Autogestión y Autorregulación) y mantener un ambiente de control encauzado a la importancia en la aplicación de los controles. Las decisiones se efectúan de manera colegiada; para tal efecto, se tienen constituidos diferentes Comités, con el objetivo de hacer seguimiento al cumplimiento de las directrices y evaluar los modelos de riesgo; de igual manera, la Junta Directiva se reúne mensualmente, para monitorear tales decisiones y asesorar e impartir directrices. La Entidad durante el primer trimestre del año 2015, realizó el proceso de autoevaluación del Sistema de Control Interno y el Modelo Estándar de Control Interno – MECI y NTCGP 1000, con el fin de medir el grado de cumplimiento, percepción, entendimiento y conocimiento que tienen los funcionarios de la Compañía del SCI; a la fecha, se socializó el informe a todos los funcionarios. Como proceso de autoevaluación, seguimiento y sostenibilidad del Sistema de Gestión de Calidad, en el mes de octubre de 2015, la entidad contrato con la firma SGS internacional, la ejecución de las Auditorías Internas de Calidad; como parte de la preparación para la visita de seguimiento del ente calificador externo Bureau Veritas en el mes de diciembre; con resultados satisfactorios. Como parte de la primera línea de defensa de cara a la administración del riesgo, la Compañía efectuó una revisión a nivel de cada proceso de los riesgos causas y controles, en coordinación con los líderes el analista de riesgo y el acompañamiento de la Oficina de Control Interno desde su rol de asesoramiento y consulta. De igual forma, promueve un comportamiento organizacional coherente a través de directrices y asignación de responsabilidades para el desarrollo de los controles, la atención y solución de eventos o casos presentados relacionados con fraude y corrupción. La Compañía, como parte del control, monitoreo y seguimiento, semanalmente realiza un Comité de Presidencia, en donde se presenta la gestión adelantada por cada vicepresidencia. 2.2 Componente de Auditoría Interna En cumplimiento de lo contemplado en el Decreto 2641 de 2012, en el mes de enero, abril, agosto y diciembre de 2015, la Oficina de Control Interno, efectuó el seguimiento y control al Plan Anticorrupción y de Atención al Ciudadano definido y publicado por la entidad; así mismo, los resultados han sido publicados en la página web. Durante el primer trimestre del año 2015, se evaluó el Sistema de Control Interno, para cada uno de los componentes, en cuanto a su existencia, actualización y funcionalidad en el tiempo, ratificando la observancia a los lineamientos normativos emanados por la SFC, en la Circular Externa 038, lo definido por el DAFP en lo que corresponde al Modelo Estándar de Control Interno – MECI 2014; así como, los lineamientos establecidos por la Alta Dirección. En cumplimiento al plan de trabajo del año 2015, aprobado por el Comité de auditoría, a la fecha de corte del presente informe la Oficina de Control Interno ha ejecutado las siguientes evaluaciones: Auditoría independiente del SCI, con el objetivo de evaluar los lineamientos normativos emanados por la SFC - Circular Externa 038; así como, lo definido por el Departamento Administrativo de la Función Pública en lo que corresponde al Modelo Estándar de Control Interno – MECI. Auditoría a los Sistemas de Administración de Riesgos (SARO, SARL, FRAUDE Y CORRUPCIÓN, SARLAFT y SARM), así como, el Sistema de Atención al Consumidor Financiero SAC. Auditoría al proceso de Fondeo, Colocación, Gestión de Talento Humano, contabilidad y la evaluación del proceso de Gestión de TI, por parte de un auditor externo. En su rol de asesoramiento, efectuó acompañamiento en la autoevaluación de la matriz de riesgos de la Compañía a nivel de cada proceso. Producto de las auditorías, se hicieron recomendaciones orientadas a acciones de mejora y/o buenas prácticas y de acuerdo a estas, la Entidad estableció Planes de Mejoramiento Institucional; los cuales están documentados en cada informe y sus respectivos formatos de acciones correctivas y preventivas y de acuerdo al ciclo de auditoría, se realiza el seguimiento respectivo del plan de mejoramiento. En desarrollo de las funciones establecidas al Comité de Auditoría, durante el año 2015, se realizaron 5 sesiones en las cuales realizó seguimiento a las evaluaciones efectuadas por parte de la Oficina de Control Interno. En el mes de febrero de 2016, se presentó electrónicamente la encuesta MECI, así como el Informe Ejecutivo Anual de Control Interno correspondiente a la vigencia 2015, firmados por el Presidente y la Jefe de la Oficina de Control Interno; conforme a los lineamientos definidos en la Circular 100-09 de 2013, emanada por el Consejo Asesor del Gobierno Nacional en Materia de Control Interno. 2.3 Componente Planes de Mejoramiento Corresponde a las acciones necesarias para corregir las desviaciones encontradas en el Sistema de Control Interno y en la gestión de los procesos, como resultado de la Autoevaluación realizada por cada líder de proceso, las Auditorías efectuadas por la Oficina de Control Interno, y de las observaciones formales provenientes de los Órganos de Control Dentro del ciclo de auditoria interna, la Oficina de Control Interno tiene establecido un procedimiento de seguimiento al cumplimiento de las acciones definidas por la administración, como producto de las evaluaciones efectuadas; este se efectúa con una periodicidad quincenal y los resultados son informados al Comité de Control interno (Presidencia) y al Comité de Auditoría. Para los evento de riesgo operativo presentados, en el Comité de SARO (Presidencia), se efectúa seguimiento al tratamiento y cierre de las acciones definidas por los gestores como plan de mejoramiento del sistema. Eje transversal Información y Comunicación Es transversal a los Módulos de Control del Modelo, dado que en la práctica la entidad lo utiliza durante toda la ejecución del ciclo PHVA; de tal manera, que complementa y hace parte esencial de la implementación y fortalecimiento de los Módulos en su integridad. La Información y Comunicación tiene una dimensión estratégica fundamental por cuanto vincula a la entidad con su entorno y facilita la ejecución de sus operaciones internas, dándole al usuario una participación directa en el logro de los objetivos. Es un factor determinante, siempre y cuando se involucre a todos los niveles y procesos de la organización. En el Sistema Integrado de Gestión, se encuentran las políticas, directrices impartidas por la Alta Dirección y las normas vigentes, documentadas a través de manuales, procedimientos e instructivos disponibles para la consulta de todos los funcionarios; de igual manera, como mecanismo de divulgación, dispone en la página WEB la información de interés para el consumidor financiero y la ciudadanía en general en desarrollo de la Ley de Transparencia y de acceso a la información. En desarrollo del eje transversal, en el mes de febrero del año 2016, la Administración de Leasing Bancoldex presentó a la Asamblea General de Accionistas el Informe de Gestión correspondiente al año 2015, así como, el dictamen de la revisoría fiscal, los estados financieros para este mismo periodo, el Informe de Gestión y Evaluación del Sistema de Control Interno, el Informe del Comité de Auditoria, el Informe de Riesgos, el Informe del Desarrollo Obtenido en Materia de Buen Gobierno y el Informe del Defensor del Consumidor Financiero. Así mismo, se adelantó la consulta para determinar la fecha en la cual se llevaría a cabo la rendición de cuentas a la ciudadanía correspondiente a la vigencia 2015; la cual se llevará a cabo el día 30 de marzo de 2016. ESTADO GENERAL DEL SISTEMA DE CONTROL INTERNO Los exámenes y revisiones efectuadas por la Oficina de Control Interno, se aplicaron conforme a las Normas de Auditoría Generalmente Aceptadas en Colombia; desarrollados sobre la base de pruebas selectivas; por lo anterior, no se pueden identificar todas las deficiencias que pudieren ocurrir en los diferentes procesos; solo lo que se detectó en las muestras evaluadas. Conforme a las evidencias obtenidas en la Evaluación del Sistema de Control Interno de la Compañía, se pudo constatar la existencia y funcionamiento de los elementos requeridos por la CE 038 de 2009 y el Modelo MECI; de igual manera, se estableció que durante el año 2015, ha dado cumplimiento a las normas que rigen la operación, las políticas y directrices definidas por la Administración y la Junta Directiva. Se observa que el SCI se mantiene y los procesos de control, gestión de riesgo y gobierno permiten a la entidad garantizar de manera razonable la consecución de los objetivos en cada una de las categorías a nivel estratégico, operacional, de información y cumplimiento. La Administración de Riesgos, cumple con los requerimientos definidos por la SFC y las políticas impartidas por la Alta Dirección, evidenciando que los riesgos están identificados, incluidos en la matriz de riesgos y administrados; de igual manera, se identificaron controles establecidos para su mitigación de acuerdo a su diseño. Siguiendo lo anterior, se evidenció la instrumentación a través de los documentos tales como manuales, procedimientos e instructivos; la gestión y operatividad a través de los procesos y las actas de los órganos de gobierno los cuales monitorearon y realizaron el seguimiento correspondiente; cada uno desde su ámbito de aplicación. Para cada uno de los aspectos evaluados, se constató el flujo y seguridad de la información, oportunidad de los reportes a nivel interno y externo, la consistencia de los datos conforme a su fuente, los riesgos y controles significativos y el soporte tecnológico. De acuerdo a la evaluación se determinó el estado de madurez para los riesgos evaluados; el cual se indica a continuación: Valor a los interesados Modelo de Madurez Sistema de Administración de Riesgo Leasing Bancoldex 2015 Inteligencia al Riesgo Integrado De arriba hacia abajo Fragmentado Inicial Madurez del Sistema de Administración de Riesgo No obstante, se identificaron desviaciones de control u oportunidades de mejora, orientadas a las mejores prácticas en algunos de los temas anteriormente mencionados; que dada su importancia, requieren de un tratamiento en aras de fortalecer los sistemas. La evaluación independiente del SCI para el proceso de gestión de tecnología, fue realizada por un Auditor Externo con el objetivo de verificar su efectividad frente a los requerimientos de la Superintendencia Financiera de Colombia en lo relacionado con el Sistema de Control Interno y de la seguridad de la información; la cual en su informe concluye lo siguiente: CONCEPTO FINAL DEL SISTEMA DE CONTROL INTERNO DE TI Como resultado de nuestras labores de auditoría a la gestión de tecnología de Leasing Bancoldex basada en el cumplimiento de las Circulares Externas 038-2009 y 052-2007 emitidas por la Superintendencia Financiera de Colombia, y conforme al alcance del trabajo mencionado en el presente informe, conceptuamos que el sistema de control interno de tecnología implementado por la Entidad para el período 2014 – 2015 es adecuado. Las oportunidades de mejora presentadas en el informe de auditoría buscan fortalecer aún más el sistema de control interno existente y para las cuales se recomienda la atención de la Administración, junto con la adopción otras medidas alternas que a su juicio se consideren convenientes. ORIGINAL FIRMADO. ANTONIO GOMEZ CARRANZA Jefe de la Oficina de Control Interno