POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y empleados de la Bolsa y sus subordinadas que tengan el carácter de supervisadas1, con el propósito de contar con un adecuado Sistema de Control Interno –SCI. Dichos lineamientos deberán adoptarse, atendiendo la naturaleza, magnitud y demás características esenciales de cada una de las entidades. 2. DEFINICIÓN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO Se entiende por Sistema de Control Interno –SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por el Consejo o Junta Directiva, la alta dirección y demás funcionarios de la BOLSA y sus subordinadas que tengan el carácter de supervisadas, para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos: a) Mejorar la eficiencia y eficacia2 en las operaciones. b) Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de la entidad. c) Realizar una gestión adecuada de los riesgos. d) Aumentar la confiabilidad y oportunidad en la Información generada por la organización. e) Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables. En la medida en que se logren los objetivos antes mencionados, el Sistema de Control Interno -SCI brindará mayor seguridad a los diferentes grupos de interés que interactúan con cada entidad. 3. PRINCIPIOS DEL SISTEMA DE CONTROL INTERNO Los principios constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan la efectividad del Sistema de Control Interno –SCI en la BOLSA y sus subordinadas supervisadas por la Superintendencia Financiera de Colombia. Se trata de los siguientes: 3.1. Autocontrol Es la capacidad de todos y cada uno de los empleados, independientemente de su nivel jerárquico para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades. Sin perjuicio de la responsabilidad atribuible a los administradores en la definición de políticas y en la ordenación del diseño de la estructura del SCI, corresponde a todos y cada uno de los empleados de la BOLSA y sus subordinadas, procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los límites por ella establecidos. 3.2. Autorregulación Es la capacidad que deben tener la BOLSA y sus subordinadas para desarrollar en su interior y aplicar métodos, normas y procedimientos que permitan el desarrollo, implementación y 1 Se entiende por entidades supervisadas, de conformidad con la Circular Externa 014 de 2.009 de la Superintendencia Financiera de Colombia, las sometidas a vigilancia o control de dicha entidad de conformidad con lo señalado en los artículos 72 y 73 del Decreto 4327 de 2005 y demás normas que los modifiquen o adicionen. 2 Se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Continuación “Políticas de control interno de la Bolsa de Valores de Colombia S.A.” mejoramiento del Sistema de Control Interno -SCI, dentro del marco de las disposiciones legales aplicables. 3.3. Autogestión Es la capacidad que deben tener la BOLSA y sus subordinadas para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento. Basado en los principios mencionados, el Sistema de Control Interno, implementado por cada una de las entidades, debe establecer las acciones, las políticas, los métodos, procedimientos y mecanismos de prevención, control, evaluación y de mejoramiento continuo, que le permitan a cada entidad tener una seguridad razonable acerca de la consecución de sus objetivos, cumpliendo las normas que la regulan. 4. POLÍTICAS GENERALES DEL SISTEMA DE CONTROL INTERNO Para garantizar un adecuado Sistema de Control Interno -SCI, la BOLSA y sus subordinadas supervisadas por la Superintendencia Financiera de Colombia, deben cumplir con las siguientes políticas: 4.1. Ambiente de control 4.1.1. Enfoque estratégico. La BOLSA y sus subordinadas deben contar con una definición escrita de objetivos y estrategias que permita establecer prioridades y orientar los recursos hacia el logro de los resultados esperados de la administración. Dicha definición deberá ser aprobada por la respectiva Junta o Consejo Directivo, divulgada a todos los empleados y evaluada periódicamente su eficacia. Será igualmente consecuente con el modelo de industria definido conjuntamente por la BOLSA y sus subordinadas. 4.1.2. Estructura. La BOLSA y sus subordinadas deben contar con una estructura organizacional acorde con su tamaño y naturaleza, que garantice el cumplimiento de los fines organizacionales. La estructura definida, así como los roles y responsabilidades deben ser divulgados a toda la organización al ingreso de nuevos funcionarios y cuando se presenten cambios significativos. 4.1.3. Independencia de los órganos de control. Las entidades se asegurarán de facilitar las condiciones que garanticen adecuada independencia y objetividad de los órganos de control así como su acceso irrestricto a la alta dirección y al Consejo Directivo. Dichas condiciones incluyen, cuando aplique, un nivel jerárquico tal dentro de la estructura de la organización que les permita cumplir adecuadamente con sus responsabilidades. 4.1.4. Tercerización. De conformidad con lo establecido en la normatividad vigente, resulta viable que la BOLSA o sus subordinadas contraten externamente la realización de actividades propias de la auditoría –total o parcialmente. En tal situación, el tercero deberá cumplir con la normatividad vigente para el ejercicio de la actividad de auditoría interna mientras que la administración de la entidad se encargará del direccionamiento, administración, seguimiento y control de la actividad realizada por el tercero. 4.1.5. Mejores prácticas gerenciales. Para el eficaz desarrollo de su objeto y para facilitar el ejercicio del control, la BOLSA y sus subordinadas tendrán en cuenta las siguientes directrices generales de gestión: 4.1.5.1. Enfoque al cliente: En el desarrollo de las tareas y la consecución de los resultados, los empleados y administradores tendrán en cuenta como propósito Página 2 de 5 Continuación “Políticas de control interno de la Bolsa de Valores de Colombia S.A.” fundamental la satisfacción de los clientes, siempre en el marco del cumplimiento de los requisitos legales y reglamentarios. 4.1.5.2. Trabajo por procesos: La BOLSA y sus subordinadas gestionarán sus actividades a través de procesos con objetivos claramente definidos, interdependientes e interrelacionados. Los resultados de los procesos deben garantizar efectiva contribución al cumplimiento de los fines de la empresa y a la satisfacción de los clientes. 4.1.5.3. Calidad y mejoramiento continuo: Las actividades desarrolladas en las diferentes áreas o procesos deben satisfacer los requisitos establecidos. Los problemas u oportunidades de mejora detectados, deben tener tratamiento por parte de los empleados de las distintas áreas o procesos. Debe garantizarse un ambiente adecuado para la mejora continua, así como las herramientas y capacitación requeridas para hacer viable y sostenible este enfoque. 4.1.5.4. Gestión humana basada en competencias: La BOLSA y sus subordinadas, deben contar con una política integral en materia de gestión del talento humano con procedimientos de selección, formación, capacitación y desarrollo alineados a un modelo de competencias. Se deben medir periódicamente las competencias del personal, estableciendo planes de acción para cierre de las brechas detectadas. 4.1.5.5. Trabajo en equipo y comunicación efectiva: Para garantizar la consolidación del enfoque de procesos y la entrega de resultados con calidad, los jefes y funcionarios de la BOLSA y sus subordinadas deben fomentar el trabajo en equipo, el liderazgo personal y una comunicación fluida entre todos los niveles de la organización. 4.1.5.6. Seguimiento y medición: Para la evaluación del cumplimiento de la estrategia y de los objetivos de áreas y procesos en todos los niveles, la BOLSA y sus subordinadas definirán indicadores de medición, los cuales aplicarán y analizarán a intervalos planificados. NOTA: La implementación de un Sistema de Gestión de la Calidad se considera una herramienta pertinente para el mejoramiento del ambiente de control de las entidades. 4.1.6. Ética y conducta. Los empleados y administradores de la BOLSA y sus subordinadas deberán cumplir con el Manual de ética y conducta establecido. Para el efecto, deberán divulgar y promover su filosofía y contenido así como evaluar periódicamente su acatamiento. La alta dirección de cada entidad deberá transmitir a todos los niveles de la organización su compromiso y liderazgo respecto de los controles internos y los valores éticos, involucrando a todos los funcionarios para que asuman la responsabilidad que les corresponde frente al Sistema. 4.2. Gestión de Riesgos 4.2.1. Coordinación. De conformidad con la normatividad vigente, la BOLSA y sus subordinadas deberán garantizar la debida implementación de los sistemas de gestión de riesgos que les sean aplicables, de conformidad con los plazos y condiciones establecidas por la Superintendencia Financiera de Colombia y las respectivas juntas o consejos directivos. Deberán propender por la adecuada coordinación de dichos sistemas de manera que se asegure la eficacia global y se minimicen potenciales duplicidades. Para tal efecto se debe contar con los recursos idóneos para la identificación, medición y control de cada uno de los riesgos aplicables al negocio. 4.2.2. Cultura preventiva. Los empleados y administradores de la BOLSA y sus subordinadas deberán promover la toma de acciones orientadas a prevenir la materialización de riesgos que afecten el desempeño del negocio y de acciones correctivas eficaces para impedir la recurrencia de eventos ya presentados. Página 3 de 5 Continuación “Políticas de control interno de la Bolsa de Valores de Colombia S.A.” 4.2.3. Gestión de los riesgos. Para una adecuada gestión de los riesgos, la BOLSA y sus subordinadas incentivarán entre los empleados la definición de acciones de control y mitigación para riesgos identificados, la revisión periódica de su efectividad, el registro permanente de eventos y la definición de escenarios formales de análisis y decisión en materia de acciones preventivas y correctivas. 4.3. Actividades de control 4.3.1. Tipo y alcance de las actividades de control. La BOLSA y sus subordinadas implementarán las políticas y los procedimientos necesarios para asegurar que las decisiones de la dirección se lleven a cabo y que las acciones necesarias para gestionar los riesgos y alcanzar los objetivos establecidos, se implementen. Las actividades de control se implementarán en todos los niveles y en todas las funciones. Incluirán asuntos tales como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de desempeño operativo, controles de los sistemas de información, seguridad de activos –incluida la información y segregación de funciones. La implementación de actividades de control tomará en cuenta el tamaño y naturaleza de las entidades. 4.3.2. Áreas especiales de control interno. La BOLSA y sus subordinadas garantizarán el desarrollo de las actividades de control requeridas en todas las áreas, procesos y niveles de la entidad. No obstante, pondrán especial énfasis en las actividades de control interno contable y tecnológico. Dichas actividades comprenderán las políticas, procedimientos y actividades que aseguren que dichas áreas especiales se controlan adecuadamente. 4.3.3. Documentación. Las entidades deberán garantizar que las actividades de control de las diferentes áreas y procesos se documentan de forma escrita. Igualmente asegurarán que se identifican y preservan de forma ordenada, los registros que dan evidencia de la aplicación de tales controles. 4.4. Información y comunicación 4.4.1. Gestión de la seguridad de la información. De conformidad con los requerimientos legales, la Bolsa y sus subordinadas supervisadas por la Superintendencia Financiera de Colombia deberán gestionar la seguridad de la información utilizando como referencia el estándar internacional ISO 27001. Para ello deberán establecer las fases de implementación que sean pertinentes, teniendo en cuenta el tamaño y naturaleza de cada una de las entidades. 4.5. Monitoreo y evaluación 4.5.1. Actividades continuas y puntuales. Los jefes o líderes de cada área o proceso en todos los niveles deben, como parte habitual de sus responsabilidades, ejecutar procesos de supervisión continua de las actividades de los empleados para garantizar que las mismas se cumplan con arreglo a lo planificado y se detecten y corrijan en tiempo las desviaciones que se presenten. El alcance y la frecuencia de supervisión dependerán sobre todo de la evaluación de riesgos y de la eficacia de los procedimientos de supervisión desarrollados. Las actividades puntuales o periódicas serán desarrolladas por la Auditoría Interna – cuando se cuente con dicha área y por la Revisoría Fiscal de conformidad con los planes elaborados por las mismas. Las deficiencias de control interno se deben comunicar de manera ascendente en la organización y las cuestiones de importancia se deben informar a la Alta Dirección y al Consejo o Junta Directiva. Página 4 de 5 Continuación “Políticas de control interno de la Bolsa de Valores de Colombia S.A.” 4.5.2. Evaluaciones independientes. Aunque la supervisión continua, así como la autoevaluación de cada área o proceso proporcionan una retroalimentación importante, es necesario que personas independientes de los procesos realicen evaluaciones adicionales sobre la efectividad del Sistema de Control Interno -SCI, lo que otorga imparcialidad y objetividad sobre los resultados. Dichas evaluaciones pueden ser realizadas por la Auditoría interna o la revisoría fiscal siempre que el alcance de las mismas cubra suficientemente todos los requisitos del Sistema de Control Interno previstos en la normatividad. En el caso en que las evaluaciones sean realizadas por auditores externos, contratados especialmente para el efecto, dicha situación deberá ser informada al Consejo o Junta Directiva y en todo caso, las mismas deberán cumplir con los requisitos de alcance definidos por la normatividad. Página 5 de 5 Firmado digitalmente por Vicepresidencia Juridica Nombre de reconocimiento (DN): cn=Vicepresidencia Juridica, c=CO, o=Bolsa de Valores de Colombia S.A., ou=Vicepresidencia Juridica, [email protected] Fecha: 2009.11.04 10:05:08 -05'00'