CAPÍTULO 7.1

DISPOSICIONES GENERALES

REGLAS DE CONDUCTA DE LOS ADMINISTRADORES Y REVISORES FISCALES

Estatuto Financiero

[2–0078] Art. 72. Reglas de conducta y obligaciones legales de las entidades vigiladas, de sus administradores, directores, representantes legales, revisores fiscales y funcionarios. Modificado por la Ley 795 de 2003, art. 12.- Las entidades vigiladas, sus administradores, directores, representantes legales, revisores fiscales y funcionarios, deben obrar no sólo dentro del marco de la ley sino dentro del principio de la buena fe y de servicio al interés público de conformidad con el artículo 335 de la Constitución Política, para lo cual tienen la obligación legal de abstenerse de realizar las siguientes conductas:

  • Concentrar el riesgo de los activos por encima de los límites legales;
  • Celebrar o ejecutar, en cualquier tiempo, contravención a disposiciones legales, operaciones con los accionistas, o con las personas relacionadas o vinculadas con ellos, por encima de los límites legales;
  • Utilizar o facilitar recursos captados del público, para realizar operaciones dirigidas a adquirir el control de otras sociedades o asociaciones sin autorización legal;
  • Invertir en otras sociedades o asociaciones en las cuantías o porcentajes no autorizados por la ley;
  • Facilitar, promover o ejecutar cualquier práctica que tenga como propósito u efecto la evasión fiscal;
  • No suministrar la información razonable o adecuada que a juicio de la Superintendencia Bancaria deba entregarse al público, a los usuarios o a los clientes de las entidades vigiladas para que éstos puedan tomar decisiones debidamente informadas y puedan conocer cabalmente el alcance de sus derechos y obligaciones en las relaciones contractuales que los vinculan o puedan llegar a vincular con aquellas;
  • Ejercer actividades o desempeñar cargos sin haberse posesionado ante la Superintendencia Bancaria cuando la ley así lo exija;
  • No llevar la contabilidad de la entidad vigilada según las normas aplicables, o llevarla en tal forma que impida conocer oportunamente la situación patrimonial o de las operaciones que realiza, o remitir a la Superintendencia Bancaria información contable falsa, engañosa o inexacta;
  • Obstruir las actuaciones de inspección, vigilancia y control de la Superintendencia Bancaria, o no colaborar con las mismas;
  • Utilizar indebidamente o divulgar información sujeta a reserva;
  • Incumplir o retardar el cumplimiento de las instrucciones, requerimientos u órdenes que señale la Superintendencia Bancaria sobre las materias que de acuerdo con la ley son de su competencia, y
  • En general, incumplir las obligaciones y funciones que la ley les imponga, o incurrir en las prohibiciones, impedimentos o inhabilidades relativas al ejercicio de sus actividades.
JUNTA DIRECTIVA

Estatuto Financiero, adicionado por el artículo 65 del Decreto 19 de 2012

[2–0079] Art. 73. Junta Directiva.

(…)

3- Obligaciones. Los directores de las instituciones vigiladas por la Superintendencia Financiera de Colombia, una vez nombrados o elegidos, deberán posesionarse y prestar juramento por el cual se obliguen, mientras estén en ejercicio de sus funciones, administrar diligentemente los negocios de la entidad y a no violar a sabiendas, ni permitir que se violen ninguna de las disposiciones legales a ella aplicables.

Los directores de las instituciones vigiladas cuya designación corresponda al Presidente de la República o su delgado no requieren posesión ante el Superintendente.

(…)

8- Adicionado por la Ley 795 de 2003, art. 13.- Independencia de las juntas directivas, consejos directivos o de administración. Las juntas directivas, consejos directivos o de administración de las instituciones sometidas al control y vigilancia de la Superintendencia Bancaria, según corresponda, no podrán estar integradas por un número de miembros principales y suplentes vinculados laboralmente a la respectiva institución que puedan conformar por sí mismos la mayoría necesaria para adoptar cualquier decisión.

Las entidades vigiladas por la Superintendencia Bancaria deberán ajustar la composición de sus juntas directivas, consejos directivos o de administración a las disposiciones de este numeral dentro del año siguiente a la entrada en vigencia de la presente ley.

REPRESENTACIÓN LEGAL

Estatuto Financiero

[2–0079-01] Art. 74. Representación Legal.

(…)

2- Prueba de la representación. De acuerdo con las modalidades propias de la naturaleza y estructura de las entidades vigiladas, la certificación sobre su representación legal corresponde expedirla a la Superintendencia Bancaria, sin perjuicio de lo dispuesto en el numeral anterior

La misma regla se aplicará sobre la persona que ejerza la gerencia de una sucursal de las entidades mencionadas. Sin embargo, a partir del 30 de Junio de 1993, en relación con las atribuciones de los gerentes de las sucursales se aplicará lo previsto en los artículos 196 y 263 del Código de Comercio y la certificación sobre su representación se sujetará a lo dispuesto en el régimen general de sociedades.

3- Información a la Junta Directiva. Los representantes legales de las entidades vigiladas estarán obligados a dar lectura, en la junta directiva, a aquellas comunicaciones dirigidas por la Superintendencia Bancaria, cuando tal requerimiento se formule, de lo cual se dejará constancia en las respectivas actas.

4- Adicionado por la Ley 795 de 2003, art. 14.- 4 y el Decreto Ley 19 de 2012 Posesión. Quienes tengan la representación legal de las instituciones vigiladas, los gerentes de sucursales, una vez nombrados o elegidos y antes de desempeñar dicha función, deberán posesionarse y prestar juramento por el cual se obliguen, mientras estén en el ejercicio de sus funciones, a administrar diligentemente los negocios de la entidad, a cumplir con las obligaciones legales que les correspondan en desarrollo de las mismas y a cumplir las normas, órdenes e instrucciones que expida la Superintendencia Financiera de Colombia en el ejercicio de sus atribuciones.

Los representantes legales de las instituciones vigiladas cuya designación corresponda al Presidente de la República o su delegado, no requieren posesión ante el Superintendente.

INDEPENDENCIA DE LA JUNTA DIRECTIVA, RÉGIMEN DE INCOMPATIBILIDADES E INHABILIDADES Y LIMITACIONES Y PROHIBICIONES EN LA CONFORMACIÓN DE JUNTAS DIRECTIVAS

 Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria) 

[2–0080] TIT I, CAP 3, NUM  1, SUBNUM 1.2

1.2.1. Régimen de incompatibilidades e inhabilidades

El régimen de incompatibilidades e inhabilidades aplicable a los establecimientos de crédito, sociedades de servicios financieros, sociedades comisionistas de bolsa, sociedades de capitalización, aseguradoras e intermediarios de seguros y reaseguros, y sociedades de servicios técnicos o administrativos, está previsto en los arts. 75, 76, 77 y 78 del EOSF, respectivamente.

De otra parte, de conformidad con el art. 20 de la Ley 964 de 2005, las inhabilidades establecidas para los administradores de las bolsas de valores se aplican de manera extensiva a los administradores de las sociedades administradoras de sistemas de negociación y a los administradores de las bolsas de productos agropecuarios y agroindustriales o de otros commodities.

Dado que las reglas sobre inhabilidades e incompatibilidades tienen carácter restrictivo, no es viable hacer extensiva su aplicación a entidades diferentes de las aquí mencionadas, a menos que exista soporte en norma de carácter superior.

1.2.2. Independencia de las juntas directivas

Para efectos de lo dispuesto en el art. 73 numeral 8 del EOSF, las entidades vigiladas no pueden designar como miembros principales y suplentes de sus juntas directivas o consejos de administración a un número de personas vinculadas laboralmente a la respectiva entidad que, reunidas en sesión y en ejercicio de los cargos de miembros de tales órganos, puedan conformar, entre ellas, mayorías decisorias generales o especiales, de acuerdo con la ley y los respectivos estatutos.

De la misma forma, tratándose de bolsas de valores, sistemas de negociación de valores, bolsas de futuros y opciones, bolsas de bienes y productos agropecuarios, agroindustriales o de otros commodities, así como de los depósitos centralizados de valores y de las cámaras de riesgo central de contraparte, debe atenderse lo que sobre el particular ha señalado el Gobierno Nacional en relación con las mayorías de miembros independientes que deben tener los consejos directivos, juntas directivas y/o cámaras disciplinarias, las calidades de los mismos, así como el procedimiento que habrá de seguirse para su elección, acorde con las facultades otorgadas en el art. 4, literal k. de la Ley 964 de 2005.

A continuación se señala, a manera de ejemplo, el número máximo de miembros vinculados laboralmente con la entidad que puede tener una junta o consejo, en función de la regla anterior:

Número de integrantes Quórum deliberatorio

art. 437 C.Co

Mayoría de los miembros

art. 437 C.Co

Número de renglones máximos posibles con miembros vinculados
5 3 3 2
6 4 4 3
7 4 4 3
8 5 5 4
9 5 5 4
10 6 6 5

En aquellos eventos en los cuales en la ley o los estatutos de la entidad se establezca un quórum especial superior, de acuerdo con lo previsto en el art. 437 C.Cio, es obligación de las entidades vigiladas velar porque la regla en mención sea acatada.

1.2.3. Limitaciones y prohibiciones en la conformación de juntas directivas

Son aplicables a las entidades vigiladas por la SFC las prohibiciones contenidas de manera general en los arts. 202 y 435 del C.Cio, en cuanto no pugnen con disposiciones especiales propias a su naturaleza o a su condición de emisores de valores, en cuyo caso le son aplicables las reglas contenidas en el art. 44 de la Ley 964 de 2005 y sus reglamentos.

DELEGACIÓN DE LA REPRESENTACIÓN LEGAL MEDIANTE EL OTORGAMIENTO DE PODERES Y DESIGNACIÓN DE REPRESENTANTES LEGALES

 Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0081] TIT I, CAP 3, NUM 1, SUBNUM 1.3.

1.3. Representación legal

1.3.1. Delegación de la representación legal mediante el otorgamiento de poderes

La representación voluntaria de personas naturales y jurídicas a través de actos de apoderamiento constituye una facultad legítima, al amparo de los arts. 832 y siguientes del C.Cio. Estos actos de representación, tratándose de entidades vigiladas pueden conferirse a un tercero ajeno a la institución, al igual que pueden recaer en empleados o funcionarios de la misma, entre ellos los directores de agencia.

Sin embargo, el otorgamiento de poderes es viable bajo el entendido que los mismos no originen una delegación de la representación legal que, en virtud de lo dispuesto en el art. 440 C.Cio, ostenta quien ejerce un cargo que tiene funciones representativas de acuerdo con la ley o los estatutos sociales. En el mismo sentido, la representación voluntaria derivada de este tipo de apoderamiento tampoco tiene los alcances prescritos en el art. 196 y siguientes del C.Cio.

Por ello, los poderes que se confieran en nombre de las entidades vigiladas deben señalar de manera clara las operaciones para las cuales los apoderados tienen la facultad de representar a la institución ante terceros, debiendo los apoderados (incluyendo los directores de agencia), en todos los documentos, actos y negocios que celebren, registrar expresamente la calidad de tales, aún en aquellos actos en los cuales tal aclaración no sea requerida por la ley.

Con todo, el otorgamiento de poderes de carácter general o de poderes especiales de gran amplitud a personas que, habiendo sido designadas en cargos que conlleven facultades de representación legal, no han cumplido con el requisito legal de tomar posesión del cargo constituye una forma de obviar el cumplimiento de este deber, lo cual es calificado como una práctica no autorizada.

1.3.2. Designación de representantes legales

De conformidad con lo dispuesto en los arts. 198 y 440 C.Cio, los representantes legales de las sociedades sometidas a la vigilancia y control de la SFC deben ser elegidos por las asambleas o por las juntas directivas de las entidades, lo que implica que tal facultad no puede delegarse ni atribuirse al representante legal de la sociedad ni a otros funcionarios.

Respecto de las entidades de naturaleza cooperativa vigiladas por la SFC, la designación de los mencionados representantes legales debe efectuarse por el consejo de administración, conforme a lo establecido en el art. 37 de la ley 79 de 1988.

Lo anterior se entiende sin perjuicio del régimen especial aplicable a las entidades públicas.

CERTIFICACIÓN DE EXISTENCIA Y REPRESENTACIÓN LEGAL DE LAS ENTIDADES VIGILADAS

 Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0081–01] PARTE I, TIT IV, CAP I, NUM 3. Certificación de la existencia y representación legal de las entidades sometidas a la vigilancia de la Superintendencia Bancaria.

Atendiendo las funciones de certificación y publicidad que tiene la SFC, le corresponde expedir los certificados de existencia y representación legal de las sociedades vigiladas, bajo el entendido que dichos documentos tienen carácter probatorio y no suplen el sistema de publicidad mercantil a cargo de la Cámaras de Comercio, cuya función es la de brindar oponibilidad frente a terceros a los actos sujetos a registro.

En consecuencia, para todos los efectos legales basta la certificación que expida la SFC para acreditar y probar la existencia y representación legal de las entidades sujetas a su inspección y vigilancia, en tanto que los certificados que expiden las Cámaras de Comercio únicamente acreditan que el acto mediante el cual se constituyó la entidad o mediante el cual se dio posesión a los representantes legales fue debidamente inscrito en el registro mercantil.

En todo caso, los representantes legales de las entidades vigiladas deben, dentro de los 5 días siguientes a la inscripción de nombramientos de nuevos representantes legales de sucursales, informar a SFC dichas modificaciones, indicando el documento contentivo del nombramiento, la fecha y el número de inscripción.

POSESIÓN DE FUNCIONARIOS

Ley 35 de 1993

[2–0082] Art. 13. Posesión de funcionarios. En adelante sólo estarán obligados a posesionarse y tomar juramento ante la Superintendencia Bancaria los miembros de las juntas o consejos directivos, los revisores fiscales y los representantes legales de las instituciones vigiladas, excepto los gerentes de sucursales.

TRÁMITE DE POSESIÓN DE REPRESENTANTE LEGAL, DIRECTORES Y REVISOR FISCAL

Decreto  Ley 2150 de 1995

[2–0083] Art. 28. Posesión de Particulares ante Organismos de Control.  El acto de posesión de directores, administradores, representantes legales y revisores fiscales de las entidades vigiladas por el Estado, no requerirá de la presentación personal ante la entidad pública correspondiente.

La posesión se entenderá surtida con la autorización que imparta el  funcionario competente, una vez solicitada por el interesado. Con el mismo acto se entiende cumplido el juramento requerido por la ley,

POSESIÓN DE ADMINISTRADORES, REVISORES FISCALES Y DEFENSORES DEL CONSUMIDOR FINANCIERO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 036 de 2017 de la Superintendencia Financiera

[2–0084] PARTE I, TIT IV, CAP II, NUM 1. Posesión de Cargos de Dirección y Control

1.1. Cargos en los que se requiere posesión ante la SFC

En cumplimiento a lo dispuesto en los arts. 45 B numeral 3, 73 numeral 3, 74 numeral 4, 79 numeral 3 y 326 numeral 2 literal g., del EOSF, art. 22 de la Ley 964 de 2005, art. 21 de la Ley 45 de 1990, art. 40 de la Ley 454 de 1998, art. 18 de la Ley 1328 de 2009, y arts. 11.2.1.5.1, 2.19.1.1.11, 4.1.1.1.11 y 2.34.2.1.2 del Decreto 2555 de 2010, entre otros, deben tomar posesión del cargo para el cual sean designados las siguientes personas:

1.1.1. Los representantes legales, principales y suplentes de las entidades vigiladas, con excepción de aquellos designados por el Presidente de la República.

1.1.2. Miembros de junta directiva, consejo directivo o de administración, principales y suplentes de las entidades vigiladas, con excepción de aquellos designados por el Presidente de la República o su delegado.

1.1.3. Los representantes de las oficinas de representación de instituciones financieras, reaseguradoras y del mercado de valores del exterior.

1.1.4. Los representantes designados para Colombia de las instituciones financieras, de reaseguradoras o del mercado de valores del exterior que decidan acogerse a las excepciones establecidas en los numerales 7 y 8 del art. 4.1.1.1.3 del Decreto 2555 de 2010.

1.1.5. Los revisores fiscales, principales y suplentes, de las entidades vigiladas.

1.1.6. Los oficiales de cumplimiento para la prevención de lavado de activos, principales y suplentes, de las entidades vigiladas.

1.1.7. Los representantes o delegados de los funcionarios públicos que por disposición legal deban hacer parte de una junta directiva, consejo directivo o de administración de alguna entidad vigilada, con excepción de aquellos designados por el Presidente de la República o su delegado.

1.1.8. Los defensores del consumidor financiero, principales y suplentes, de las entidades vigiladas.

1.1.9. Los apoderados en el país de los bancos o compañías de seguros del exterior ampliamente autorizados para que los represente, con todas las facultades legales, en desarrollo de la actividad de las sucursales.

Para el ejercicio válido de los anteriores cargos se requiere la designación junto con la posesión ante esta Entidad. En tal virtud, el ejercicio de cualquier cargo sin haber tomado posesión del mismo, cuando las normas aplicables así lo exijan dará lugar a las sanciones correspondientes, sin perjuicio de que por este sólo hecho la SFC se abstenga de autorizar la posesión.

Los funcionarios públicos que por disposición legal deban hacer parte de una junta o consejo directivo de alguna entidad vigilada y que ejerzan personalmente dicha función no requieren adelantar el trámite de posesión. En todo caso, corresponde al responsable del trámite de posesión a que se refiere el subnumeral 1.3 del presente Capítulo informar tal situación a la SFC. En el evento en que los funcionarios públicos no ejerzan personalmente dicha función, sus representantes o delegados se entienden posesionados solamente con el cumplimiento de los requisitos de los subnumerales 1.3.1 y 1.3.2 presente Capítulo, y la confirmación de recibo por parte de la SFC, la cual debe ser comunicada al responsable del trámite a través del Grupo de Registro.

De conformidad con lo dispuesto en el inciso 2, numeral 2 del art. 74 del EOSF, los gerentes de sucursales no deben adelantar el trámite de posesión ante la SFC y la certificación de su representación se sujeta a lo dispuesto en el régimen general de sociedades. Igualmente, los representantes designados exclusivamente para adelantar funciones judiciales, es decir, para actuar ante las autoridades jurisdiccionales, no requieren de posesión ante esta Entidad.

1.2. Eventos en los que no se requiere de nueva posesión

1.2.1 Los funcionarios públicos que por disposición legal deban hacer parte de una junta o consejo directivo de alguna entidad vigilada y que ejerzan personalmente dicha función no requieren adelantar el trámite de posesión. En todo caso, corresponde al responsable del trámite de posesión a que se refiere el subnumeral 1.3 del presente Capítulo informar tal situación a la SFC.

1.2.2 De conformidad con lo dispuesto en el inciso 2, numeral 2 del art. 74 del EOSF, los gerentes de sucursales no deben adelantar el trámite de posesión ante la SFC y la certificación de su representación se sujeta a lo dispuesto en el régimen general de sociedades. Igualmente, los representantes designados exclusivamente para adelantar funciones judiciales, es decir, para actuar ante las autoridades jurisdiccionales, no requieren de posesión ante esta Entidad.

1.3. Funciones del responsable del trámite de posesión

El secretario general o vicepresidente jurídico de la entidad vigilada, o en su defecto, en aquellas entidades que no cuenten con dichos cargos, un representante legal principal designado expresamente para tal efecto por la junta directiva, es la persona responsable de adelantar el trámite de posesión de funcionarios ante la SFC, para lo cual debe:

1.3.1. Exigir al postulado la información que soporta su trayectoria e idoneidad profesional y moral, con el fin de proceder a la revisión y posterior incorporación de los datos exigidos en la proforma “Hoja de Vida”, certificando la coincidencia de la información con los documentos aportados.

1.3.2. Diligenciar en su integridad las proformas electrónicas “Hoja de Vida” y “Certificado de Trámite de Posesión Abreviada”, cuando sea el caso, de acuerdo con su correspondiente instructivo.

1.3.3. Firmar electrónicamente las proformas “Hoja de vida” y “Certificado de Trámite de Posesión Abreviada”, cuando sea el caso, y  transmitirlas vía electrónica a la SFC.

1.3.4. Conservar un ejemplar físico del trámite de posesión, debidamente firmado por él y el postulado, en los términos previstos en la ley para la conservación de documentos.

1.3.5. Archivar y custodiar la documentación que soporta el diligenciamiento de las proformas “Hoja de vida” y “Certificado de Trámite de Posesión Abreviada”, cuando sea el caso, de acuerdo con las normas que regulan los términos y plazos para la conservación de documentos.

Con la firma y transmisión de las proformas correspondientes a la SFC, se entiende que el funcionario responsable de dicho trámite hace constar que la información allí consignada fue revisada, coincide con los documentos suministrados por el postulado y que éstos reposan en los archivos de la entidad.

Es deber del responsable del trámite de posesión garantizar en todo momento la confidencialidad de la información que conozca en desarrollo de sus funciones.

1.4. Reglas relativas al trámite de posesión

Es deber de cada entidad vigilada, a través del funcionario responsable del trámite de posesión en los términos previstos en el subnumeral anterior, solicitar ante la SFC la posesión dentro de los 45 días corrientes siguientes a la fecha de designación del respectivo aspirante. Vencido tal plazo sin que se haya presentado la solicitud de posesión, es necesario que el órgano nominador correspondiente ratifique la designación del aspirante para surtir el trámite.

La posesión de los funcionarios podrá surtirse a través del Procedimiento Abreviado o del Procedimiento Ordinario. Los dos procedimientos indicados se adelantan digitalmente, de acuerdo con las reglas contenidas en la presente circular.

1.4.1. Trámite de Posesión con Procedimiento Abreviado

Este trámite procede exclusivamente para la autorización de posesión en los cargos que se listan en la presente circular. En el evento de que el postulado no cumpla con los requisitos para acudir al trámite de posesión con procedimiento abreviado, debe surtir el trámite de posesión bajo el procedimiento ordinario.  

Para la aplicación del presente trámite las entidades vigiladas deben verificar: i) los estatutos sociales y las normas aplicables al cargo, ii) la experiencia y trayectoria profesional del postulado, iii) la formación académica y conocimiento del sector o área correspondiente a la prestación de los servicios de que se trate y, en general, iv) la capacidad del candidato para asumir las responsabilidades propias del cargo.  

La  entidad debe establecer criterios, condiciones mínimas o recomendaciones para las personas que sean postuladas en los cargos sujetos al trámite de posesión con procedimiento abreviado ante la SFC, en consideración a la naturaleza de las funciones desempeñadas, el tipo de actividad que desarrolla la vigilada y la responsabilidad que demanda el ejercicio de las mismas. Dichos criterios, condiciones o recomendaciones deben estar a disposición de la SFC.  

Adicionalmente, las entidades deben verificar , a través del funcionario responsable del trámite de posesión, que el postulado no se encuentre incurso en inhabilidades o incompatibilidades previstas en la ley, o en eventuales conflictos de interés, para lo cual le exigirán a éste una declaración mediante la cual manifieste que conforme a las disposiciones legales y estatutarias aplicables a la investidura, no se encuentra incurso en ninguna causal que le impida ejercer el cargo para el cual fue designado. La información suministrada por el postulado se entiende bajo la gravedad de juramento.

A continuación se relaciona  la documentación que, como mínimo, la entidad debe tener en cuenta para establecer que el postulado cumple con las calidades requeridas para el ejercicio idóneo y responsable del cargo.

1.4.1.1. Documentación para la verificación de antecedentes 

El responsable del trámite de posesión debe verificar que el postulado no presenta ninguna de las siguientes situaciones:

1.4.1.1.1. Sanciones en firme proferidas por la SFC, la Superintendencia de la Economía Solidaria o la Superintendencia de Sociedades, así como por los órganos disciplinarios de los organismos de autorregulación.

1.4.1.1.2. Sanciones disciplinarias impuestas por los organismos que ejercen la supervisión y/o control sobre el adecuado ejercicio de la profesión cuyo título acredite el postulado.

1.4.1.1.3. Reportes negativos de operadores de información financiera, crediticia y comercial.

1.4.1.1.4. Antecedentes de la Procuraduría General de la Nación, Fiscalía general de la Nación, Contraloría General de la República, Dirección de Impuestos y Aduanas Nacionales (DIAN), antecedentes penales,

1.4.1.1.5. Reportes  en la lista OFAC y lista del Consejo de Seguridad de las Naciones Unidas.

1.4.1.1.6 Si el aspirante presenta al menos un antecedente en los registros antes señalados debe adelantar el Trámite de posesión con Procedimiento Ordinario.

1.4.1.1.7. La entidad vigilada o el funcionario responsable del trámite de posesiones debe informar a la SFC, de manera inmediata, cualquier situación conozca y que afecte las condiciones y requisitos que permitieron formarse el criterio favorable del postulado que fue objeto de Procedimiento Abreviado para el ejercicio del cargo.

1.4.1.2. Cargos a los que aplica

Este trámite procede exclusivamente para la autorización de posesión en los cargos que se listan en el presente subnumeral. En cada caso se señala la información adicional que la entidad debe verificar respecto de cada postulado.

1.4.1.2.1 Defensores del Consumidor Financiero principales y  suplentes: Verificar que el postulado cuente con la infraestructura necesaria y suficiente para el adecuado cumplimiento de sus funciones. Si éste desempeña el cargo en más de 3 entidades, debe tramitar el procedimiento de posesión mediante trámite ordinario. 

1.4.1.2.2 Representantes Legales Regionales o de Zona. Verificar que el candidato acredita formación académica,  título de pregrado, mínimo cuatro (4) años de experiencia en cargos de gestión o responsabilidad financiera en el sector para el cual postula y que esté inscrito en el Registro Nacional de Profesionales del Mercado de Valores – RNPMV.  

1.4.1.2.3 Representantes legales de sociedades comisionistas de bolsa con facultades exclusivas para actuar en rueda, en renta variable, en renta fija, en operaciones a plazo, de cumplimiento financiero. Verificar que el postulado esté inscrito en el Registro Nacional de Profesionales del Mercado de Valores – RNPMV.

1.4.1.2.4 Representantes legales de sociedades comisionistas de bolsa con facultades exclusivas para actuar en el mercado cambiario.

1.4.1.2.5 Representante legal de la Bolsa Mercantil para presidir la rueda de negocios. Verificar que el postulado esté inscrito en el Registro Nacional de Profesionales del Mercado de Valores – RNPMV.

1.4.1.2.6 Representantes legales para asuntos de tecnología. Verificar además que el candidato acredita formación académica y título de pregrado y mínimo tres (3) años de experiencia en cargos relacionados con el que se postula.

1.4.1.2.7 Representantes legales del Banco de la República.

1.4.1.2.8  Representantes o delegados de los funcionarios públicos que por disposición legal deban hacer parte de una junta o consejo directivo de alguna entidad vigilada  y que no ejerzan personalmente dicha función.

1.4.1.2.9 Los revisores fiscales, miembros de junta directiva, consejo directivo o de administración y representantes legales, que hayan sido posesionados a través del procedimiento ordinario y que sean reelegidos para el ejercicio del mismo cargo,  con independencia de la condición de principal o suplente.

1.4.1.3. Procedimiento

1.4.1.3.1. Para el trámite de posesión con Procedimiento Abreviado, el funcionario responsable de presentar las solicitudes de posesión ante la SFC debe diligenciar y remitir a esta Superintendencia la proforma electrónica “Hoja de Vida” de acuerdo con su correspondiente instructivo, la proforma electrónica “Certificado de Trámite de Posesión Abreviada” y adjuntar el acta de designación del postulado en el cargo.

Utilizar el trámite de posesión con Procedimiento Abreviado supone una actuación comprometida, responsable, y estricta de la entidad y del postulado al cargo. 

1.4.1.3.2. La autorización de posesión con Procedimiento Abreviado se entiende impartida cuando se hayan cumplido todos los requisitos exigidos para el efecto en esta circular y una vez sea informado tal hecho al postulado mediante el  correspondiente oficio, con la indicación de la fecha a partir de la cual queda posesionado; tendrá vigencia durante el período inicial de designación establecido por los estatutos o la ley.

1.4.1.3.3. Si un candidato posesionado mediante este procedimiento es reelegido para el mismo cargo, debe surtir nuevamente el procedimiento de posesión.

1.4.1.3.4. Toda información falsa, engañosa, inexacta o incompleta suministrada da lugar a las acciones penales y civiles a que haya lugar, con independencia de las sanciones administrativas que imponga esta Superintendencia en ejercicio de sus atribuciones legales. En estos eventos, esto es, cuando la SFC encuentre que se ha reportado información falsa, engañosa, inexacta o incompleta, debe informar a las autoridades competentes para que se adelanten las investigaciones a que hubiere lugar. En cualquier momento la SFC puede solicitar y verificar, en las entidades vigiladas, las solicitudes de posesión tramitadas con sus respectivos documentos soporte.

1.4.1.3.5.  El Procedimiento Abreviado podrá ser utilizado por entidades vigiladas transcurridos dos años después de la autorización para su funcionamiento. No puede ser utilizado por entidades sometidas a alguno de los Institutos de Salvamento previstos en el estatuto Orgánico del Sistema Financiero, ni durante los seis (6) meses siguientes a su levantamiento.

1.4.1.3.6. El Trámite de Posesión con Procedimiento Abreviado no restringe la facultad de la Superintendencia para determinar en cualquier momento las posesiones que deben adelantarse siguiendo el Trámite de Posesión con Procedimiento Ordinario, para cuyo efecto es suficiente con el requerimiento a la respectiva entidad y/o a los candidatos informando dicha circunstancia.

1.4.2. Una vez diligenciada la mencionada proforma, corresponde al responsable del trámite firmarla electrónicamente con un certificado digital emitido por una entidad de certificación digital abierta debidamente autorizada por la Superintendencia de Industria y Comercio, y transmitirla a la SFC. Transmitida la proforma, se entiende que el responsable del trámite ha revisado la información aportada, por lo tanto no se pueden hacer modificaciones a la misma, salvo autorización expresa de la SFC. Con dicha transmisión se entiende iniciado formalmente el trámite de posesión. La información suministrada por el postulado se entiende bajo la gravedad de juramento.

1.4.3. La entidad debe recibir un registro electrónico con el número asignado al trámite. De la proforma diligenciada debe conservarse en la entidad un soporte físico debidamente suscrito por el responsable del trámite y por el postulado. Con el número asignado se puede hacer el seguimiento al estado del trámite a través de la página web.

1.4.4. En el evento de existir inconsistencias en la información consignada en la proforma, se debe requerir al responsable del trámite para que efectúe las aclaraciones a que haya lugar.

1.4.5. El Comité de Posesiones debe evaluar y decidir sobre las solicitudes de posesión sometidas a su consideración en el orden de presentación de las mismas. El Secretario del Comité de Posesiones debe elaborar un acta con las decisiones adoptadas.

1.4.6. La decisión tomada por el Comité de Posesiones se comunica al responsable del trámite. En caso de negarse la posesión debe, además, notificarse personalmente al postulado.

En cualquier estado del trámite, la SFC puede solicitar documentos y aclaraciones adicionales, los cuales deben remitirse a más tardar dentro del mes siguiente a la solicitud. Transcurrido dicho plazo sin que el responsable haya suministrado la información solicitada, se entiende que se ha desistido de la solicitud y se tiene por finalizado el trámite, en los términos del art. 17 del CPACA.

Para retirar una solicitud de posesión ya transmitida a la SFC, y siempre que el comité de posesiones no haya tomado una decisión al respecto, el responsable del trámite debe ingresar a la página web de la SFC y seleccionar la opción “Cancelar Trámite”, explicando brevemente el motivo de tal decisión. Utilizada dicha opción el trámite se da por finalizado. Si la entidad desea tramitar nuevamente la solicitud de posesión del mismo postulado puede hacerlo una vez transcurridos 10 días corrientes contados a partir del día siguiente de la fecha de retiro de la anterior solicitud.

Toda información falsa, engañosa, inexacta o incompleta suministrada da lugar a las acciones penales y civiles a que haya lugar, con independencia de las sanciones administrativas que imponga esta Superintendencia en ejercicio de sus atribuciones legales. En estos eventos, esto es, cuando la SFC encuentre que se ha reportado información falsa, engañosa, inexacta o incompleta, debe informar a las autoridades competentes para que se adelanten las investigaciones a que hubiere lugar. En cualquier momento la SFC puede solicitar y verificar, en las entidades vigiladas, las solicitudes de posesión tramitadas con sus respectivos documentos soporte.

1.5. Situaciones que ponen fin al ejercicio de los cargos que requieren posesión ante la SFC

Las personas que se encuentren debidamente posesionadas y registradas en la base de datos del Grupo de Registro de esta Superintendencia para los cargos de que trata el presente Capítulo mantienen tal condición para todos los efectos legales, hasta tanto ocurra uno de los siguientes eventos: i) se registre el nombramiento y posesión de una nueva persona; ii) el responsable del trámite informe que el cargo ha sido suprimido, o iii) la SFC lleve a cabo la actualización del registro, conforme a las reglas que a continuación se indican:

1.5.1. Renuncias

Corresponde al responsable del trámite de posesión informar a esta Superintendencia las renuncias de las personas que ejerzan los cargos indicados en la presente Circular, dentro de los 45 días corrientes siguientes a la aceptación de la misma. Para tal efecto, el responsable del trámite debe diligenciar la proforma “Hoja de vida”. El responsable del trámite debe conservar los soportes respectivos que acrediten tal hecho.

En caso de renuncia al cargo, y si en los estatutos sociales no se prevé expresamente un término dentro del cual deba proveerse el reemplazo del saliente, los órganos sociales encargados de llevar a cabo el nombramiento deben iniciar el trámite de posesión dentro de un plazo de 45 días corrientes, contados a partir de la fecha de presentación de la renuncia, so pena de las sanciones a que haya lugar.

Vencido el término anterior sin que se haya designado y posesionado el reemplazo del saliente, corresponde a las personas posesionadas ante la SFC para el ejercicio de los cargos señalados y que hayan presentado renuncia, informar tal situación mediante comunicación dirigida al Grupo de Registro de la SFC, adjuntando el soporte respectivo en el cual se acredite la fecha en que la misma fue presentada con el fin de que se actualice el registro conforme a lo resuelto por la Corte Constitucional en Sentencia C-621 de 2003.

1.5.2. Remoción

En caso de remoción u otra circunstancia que ponga fin al ejercicio del cargo producto de una decisión tomada por la entidad vigilada, el responsable del trámite debe informar a la Superintendencia dentro de los 45 días corrientes siguientes a la decisión el contenido de la misma, así como las razones que la motivaron, junto con los documentos de soporte respectivos. Para el efecto, el responsable del trámite debe diligenciar la proforma electrónica “Hoja de vida”. En todo caso, corresponde al responsable del trámite conservar los soportes que acrediten tal decisión.

Vencido el término anterior sin que la entidad vigilada haya informado acerca de tal circunstancia, la persona interesada puede adelantar el trámite indicado en el párrafo final del subnumeral 1.5.1. del presente Capítulo en lo que resulte pertinente.

1.5.3. Reglas en caso de vacancia

De acuerdo con lo señalado en el numeral 4 del art. 73 del EOSF, la ausencia injustificada de un miembro de junta directiva, consejo directivo o de administración en las entidades destinatarias de tal disposición por un período mayor de 3 meses produce la vacancia del cargo. En este evento, el responsable del trámite debe comunicar dicha situación a la SFC dentro de los 45 días corrientes siguientes a su configuración diligenciando la proforma electrónica “Hoja de vida”. Corresponde al responsable del trámite conservar los soportes respectivos que acrediten la ocurrencia de esa situación.

Como quiera que por disposición legal en caso de vacancia el suplente ocupa el puesto del principal, de existir un único suplente, la entidad vigilada debe adelantar el trámite de posesión respecto del nuevo suplente dentro de los 45 días corrientes siguientes a la configuración de la vacancia.

1.5.4. Incumplimiento de los requisitos relativos al Trámite de Posesión con Procedimiento Abreviado

En el evento en que la Superintendencia evidencie que una persona posesionada mediante el Procedimiento Abreviado no cumplía, al momento de adelantar el trámite, con los requisitos necesarios para el ejercicio del cargo procederá a revocar la posesión realizada con el Procedimiento Abreviado. Dicha decisión será informada a la entidad vigilada y notificada al posesionado, con la indicación de que sólo procede el recurso de reposición contra la misma.

El incumplimiento de alguno de los requisitos previstos para el trámite de posesión con Procedimiento Abreviado por parte de una entidad vigilada conllevará la imposibilidad de acudir a éste, durante los dos años siguientes, contados a partir de la información de la decisión al respecto por parte de la Superintendencia o de la decisión del recurso de reposición, según se presente.

1.6. Posesión del revisor fiscal

Dado que la revisoría fiscal de las entidades vigiladas por lo general es ejercida por sociedades, asociaciones o firmas de contadores constituidas para tal fin, la diligencia de posesión se surte en relación con el contador público que aquella designe para desempeñar personalmente las funciones del revisor fiscal. Sin perjuicio de lo anterior, como quiera que las personas jurídicas que prestan servicios de revisoría fiscal actúan por intermedio o a través de las personas naturales, de conformidad con lo dispuesto en el art. 215 del C.Cio., en armonía con el art. 4 de la Ley 43 de 1990, la labor realizada por el contador público que actúe en nombre y representación de la firma de auditoría que le encomienda las funciones de revisoría fiscal es indivisible de la propia responsabilidad que a ésta le compete.

La SFC autoriza la posesión una vez se cerciore acerca del carácter, la idoneidad y la experiencia de la persona designada por el órgano social competente para ejercer la revisoría fiscal.

Lo anterior por cuanto, la revisoría fiscal es una institución que trasciende la defensa de las expectativas individuales, en la medida en que está llamada a velar por intereses superiores que afectan al Estado y a la comunidad en general; que no se reduce al cumplimiento de ciertos requisitos de idoneidad técnica, como los exigidos al contador profesional para que pueda desplegar la actividad que le es propia, sino que demanda probidad y compromiso con valores sociales que busca proteger el legislador al establecer ciertos mecanismos de control sobre las entidades, y al exigir la presencia de funcionarios que vigilen el desarrollo de las mismas.

Para la posesión de un aspirante a revisor fiscal de una entidad vigilada, la SFC tiene en cuenta tanto requisitos objetivos como calidades subjetivas. Los primeros se relacionan con la verificación de los requisitos exigidos en las normas aplicables, tales como el cumplimiento del régimen de inhabilidades e incompatibilidades correspondiente y la obtención de la tarjeta profesional; las segundas, incluyen claramente una facultad discrecional, que concede a la SFC atribuciones para determinar los criterios y elementos de juicio que considere procedente utilizar para evaluar la conducta de los candidatos a revisores fiscales, su capacidad y trayectoria profesional, seriedad, responsabilidad y moralidad.

En cuanto a la experiencia es necesario que los aspirantes se hayan desempeñado en cargos similares, exigiéndose mayor experiencia a medida que aumenta el tamaño de la respectiva entidad y la complejidad de sus negocios. Si bien parte de dicha experiencia puede haber sido adquirida en otros sectores empresariales, es necesario que los aspirantes cuenten con experiencia previa en el sector, dada la especialización de las actividades que desarrollan las referidas entidades, con una normatividad y sistemas operativos que difieren considerablemente de los aplicables a la generalidad de las empresas. No obstante, no se exige que la experiencia en el sector provenga del desempeño de cargos del mismo nivel, admitiéndose por ejemplo, la experiencia como contadores, auditores o contralores de otras entidades vigiladas.

1.6.1. Ejercicio del suplente

La responsabilidad del suplente es igual a la del principal respecto del adecuado cumplimiento de sus funciones, cuando deba reemplazarlo, de acuerdo con lo previsto en el presente Capítulo y en el marco normativo vigente.

No obstante, es de advertir que la revisoría fiscal no puede ser ejercida de manera simultánea por las personas designadas para dicho cargo como titular y suplente, por cuanto tal situación conlleva a diluir la responsabilidad inherente al control y fiscalización de la gestión de los negocios sociales, en expresa contravención a la previsión consagrada en el art. 215 del C.Cio., que exige el desempeño personal del cargo.

El suplente sólo debe ejercer las funciones del titular del cargo ante la falta definitiva o temporal de éste, y debe abstenerse de expedir dictámenes, informes, certificaciones y demás documentos relacionados con el ejercicio de la revisoría, salvo cuando se encuentre reemplazando al titular, por las razones antes mencionadas.

1.6.2. Efectos de la renuncia, inscripción en el registro mercantil y entrega del cargo

De conformidad con lo dispuesto en el art. 164 del C.Cio., las personas inscritas en la Cámara de Comercio del domicilio social como revisores fiscales de una sociedad, conservan tal carácter para todos los efectos legales, mientras no se cancele dicha inscripción mediante el registro de un nuevo nombramiento o elección o la inscripción de su renuncia, previo cumplimiento de los requisitos exigidos para el efecto.

En consecuencia, las personas que se encuentren debidamente posesionadas e inscritas en la Cámara de Comercio como revisores fiscales, mantienen tal condición para todos los efectos legales, hasta tanto ocurra uno de los siguientes eventos: i) se registre un nuevo nombramiento y posesión de una persona diferente, o ii) se proceda a la actualización del registro mercantil, inscribiendo su renuncia, conforme a las siguientes reglas:

1.6.2.1. En caso de remoción o renuncia, presentada ante quien actúe como secretario en las reuniones del máximo órgano social, el responsable del trámite de posesión debe proceder de conformidad con las instrucciones impartidas en el subnumeral 1.5.1 del presente Capítulo.

1.6.2.2. Si en los estatutos sociales no se prevé expresamente un término dentro del cual deba proveerse el reemplazo del revisor fiscal saliente, los órganos encargados de llevar a cabo el nombramiento deben iniciar el trámite de posesión dentro de 30 días comunes, contados a partir de la fecha de presentación de la renuncia, so pena de las sanciones a que haya lugar.

Vencido este término sin que se haya designado y posesionado el reemplazo, corresponde al revisor fiscal saliente informar tal situación mediante comunicación dirigida a la Cámara de Comercio respectiva, adjuntando el soporte correspondiente en el que acredite la fecha en que la misma fue presentada con el fin de que se actualice el registro.

De igual manera, los revisores fiscales deben remitir a la SFC, para los fines legales pertinentes, copia del certificado expedido por la Cámara de Comercio en el cual conste la inscripción de la renuncia, remoción o circunstancia que ponga fin al ejercicio del cargo.

Sin perjuicio de lo anterior, se recomienda que el revisor fiscal saliente formalice la entrega del cargo mediante un documento en el cual informe sobre los principales aspectos de la entidad, el trabajo realizado hasta dicha fecha, los proyectos en curso y los planes pendientes.

1.7. Posesión e información que deben suministrar las entidades vigiladas a la SFC sobre el Defensor del Consumidor Financiero – DCF

De conformidad con el art. 18 de la Ley 1328 de 2009 concordante con el art. 2.34.2.1.4 del Decreto 2555 de 2010 los DCF designados por la asamblea general de accionistas de las respectivas entidades vigiladas, deben estar inscritos en el Registro de Defensores del Consumidor Financiero y posesionarse ante la SFC, para lo cual debe atenderse lo dispuesto en este subnumeral.

Para tal efecto, las entidades obligadas a tener DFC deben remitir a la SFC la siguiente información:

1.7.1. Al Grupo de Registro, la información necesaria para iniciar el trámite de posesión del Defensor ante la SFC y de inscripción de la identificación completa del titular y suplente en el Registro de Defensores de esta Superintendencia, en especial la relativa al nombre, identificación, ubicación física (dirección, teléfono y fax) y dirección electrónica, tanto de su DFC como del respectivo suplente. Así mismo, el tipo, fecha y número del documento mediante el cual se hicieron las respectivas designaciones y la vigencia del nombramiento. Una vez se ha surtido el trámite de posesión ante esta Superintendencia, el mencionado registro debe incluir la fecha de posesión. La información debe remitirse inmediatamente ocurran las designaciones y, en todo caso, dentro de un término que no debe superar los 3 días hábiles siguientes a la fecha en la cual hayan tenido lugar.

1.7.2. Al Grupo de Registro, cualquier modificación que ocurra respecto de la información mencionada en el numeral anterior, tantas veces como cambios se presenten, a efectos de mantener actualizadas las bases de datos y la información suministrada al público. Este deber implica el reporte de la información sobre todas las decisiones relacionadas directamente con el DCF y su suplente (vb.gr. remoción, reelección, designación de uno diferente, etc.), lo cual debe ser informado inmediatamente y, en todo caso, dentro de un término que no debe superar los 3 días hábiles siguientes a la fecha en la cual se hayan producido.

1.7.3. A la Dirección de Protección al Consumidor Financiero, un informe del representante legal de la entidad, sobre las actuaciones adelantadas o consideraciones efectuadas por la entidad frente a las recomendaciones o sugerencias en caso de que el defensor las hubiere realizado. Igual deber tiene la administración de la entidad respecto de los casos y asuntos que el defensor hubiere solicitado llevar al conocimiento de la junta directiva o del consejo de administración.

El término máximo para la remisión de estos informes es de 3 meses contados a partir de la fecha de su presentación a la entidad y desde la fecha del escrito en el cual el defensor solicitó llevar a conocimiento de la junta determinado caso o situación.

1.7.4. A la Dirección de Protección al Consumidor Financiero, copia de los pronunciamientos del defensor que hayan hecho públicos acorde con lo dispuesto en el art. 2.34.2.1.8 del Decreto 2555 de 2010..Tal remisión debe realizarse dentro del mes siguiente a la publicación de tales decisiones.

1.7.5. La información que la Superintendencia tenga a bien solicitar en cualquier momento.

[2–0085 – 2–0086] Reservados

SOLICITUD DE POSESIÓN

Circular Externa 100 de 1995 de la Superintendencia Bancaria, modificada por las Circulares Externas 029 de 2006 y 016 de 2010 de la Superintendencia Financiera 

[2–0086-01] Anexo I.  Proforma F0000-19. Hoja de vida Sistematizada – Solicitud de posesión.

NOTA DE FASECOLDA.– No se transcribe el Formato dada su extensión.

PROHIBICIÓN DE UTILIZAR RECURSOS DEL PÚBLICO PARA ADQUIRIR ACCIONES DE ENTIDADES VIGILADAS

[2–0087] Carta Circular 143 de 2003 de la Superintendencia Bancaria.

Ref.: Utilización de recursos del público para adquirir acciones de entidades vigiladas.

Como es de su conocimiento, el artículo 72 del Estatuto Orgánico del Sistema Financiero (EOSF) en su literal c) dispone que las entidades vigiladas por la Superintendencia Bancaria de Colombia (SBC), así como sus administradores, directores, representantes legales, revisores fiscales y funcionarios, deben abstenerse de  “Utilizar o facilitar recursos captados del público, para realizar operaciones dirigidas a adquirir el control de otras sociedades o asociaciones sin autorización legal”.

Dicha norma supone un claro deber de abstención, según el cual los recursos que una entidad vigilada por la SBC ha recibido del público, cualquiera sea el vehículo legal empleado para ello, no pueden ser utilizados por dicha entidad ya sea para adquirir directamente el control, o para poner a otro en capacidad de adquirir el control, de alguna otra empresa, sin que medie autorización legal para ello.

En tal sentido, por expresa disposición legal los recursos captados o recibidos del público por parte de cualquier entidad vigilada por la SBC, ya sea en la forma de depósitos individuales, o mediante fondos que conforman carteras colectivas o, en general, aquellos que constituyen un pasivo para la entidad, como sucedería con las reservas técnicas de las entidades aseguradoras, por regla general no pueden ser invertidos en cualquier forma que conlleve a financiar a una persona para adquirir, sin autorización legal, el control de sociedades o asociaciones.

Ahora, esta regla general de conducta se ve complementada con la disposición contenida en el artículo 10 literal c) EOSF, que de manera terminante prohíbe cualquier utilización de recursos del público para la financiación de operaciones de adquisición de acciones o bonos obligatoriamente convertibles en acciones de entidades vigiladas por la SBC.

Según dicho artículo, el cual, de acuerdo con el artículo 213 EOSF, resulta aplicable a las corporaciones financieras, compañías de financiamiento comercial, cooperativas financieras, sociedades fiduciarias, sociedades administradoras de fondos de pensiones y de cesantía, almacenes generales de depósito, entidades aseguradoras y sociedades de capitalización, no se puede “…conceder   financiación,  directa  o indirectamente, con el objeto de poner en capacidad a cualquier persona de adquirir acciones o bonos obligatoriamente convertibles en acciones, de la propia entidad o de cualquier institución financiera o entidad aseguradora, salvo que dicha adquisición esté referida a acciones colocadas en forma primaria o se realice en proceso de privatización…”.

En consecuencia, conforme lo dispone la ley financiera vigente en Colombia, las entidades vigiladas por la SBC no pueden desarrollar ninguna operación que de manera directa o indirecta derive en alguna forma de financiación para la adquisición de acciones o BOCEAS de la misma,  de otra institución financiera o de una aseguradora, salvo tratándose de colocaciones primarias o en desarrollo de  procesos de privatización. En otros términos, por regla general y salvo los casos señalados en el propio artículo 10 EOSF, las entidades vigiladas por la SBC que de acuerdo con su régimen legal sólo pueden invertir los recursos provenientes del público en aquellas actividades, operaciones o títulos valores que expresamente les autorizan las normas legales vigentes, no pueden invertir los mismos en alguna actividad que de manera directa o indirecta coloque en posición a una persona para adquirir acciones o BOCEAS de una entidad vigilada.

Por ello, conforme a nuestro régimen financiero y salvo las excepciones legales, las entidades vigiladas por la SBC no sólo deben abstenerse de celebrar operaciones activas de crédito que directamente pongan en capacidad a una persona para adquirir participación en el capital de alguna entidad vigilada, sino que también deben abstenerse de desarrollar ésta u otras operaciones que bajo la forma de inversión, como sucedería con la suscripción de títulos emitidos por personas jurídicas sean o no vigiladas por la SBC, de manera indirecta tengan el mismo efecto, pues que dicha conducta conlleva una clara violación a un precepto legal que censura la utilización indebida de los recursos del público.

Con fundamento en lo anterior, este Despacho se permite reiterar que ninguna entidad vigilada puede destinar los recursos que ha recibido del público a la realización de alguna actividad u operación que tenga como consecuencia o efecto poner en capacidad a una persona (sea esta vigilada o no por la SBC) para adquirir participación en el capital de la misma u otra entidad vigilada, salvo que así expresamente lo autorice la ley y, mucho menos, para adquirir el control el control de alguna sociedad o asociación sin que medie para ello autorización legal.

Es claro que en desarrollo de sus deberes legales le corresponde a los directores, administradores y a los órganos internos y externos de control, velar porque en el desarrollo de su actividad las entidades vigiladas no incurran en dicha conducta y se adopten de manera oportuna los correctivos necesarios para prevenir una utilización indebida de los recursos del público.

Considerando la importancia que reviste una adecuada y transparente administración de los recursos del público, la SBC estará especialmente atenta a verificar el cumplimiento de tales disposiciones legales.

PROHIBICIÓN PARA REPRESENTANTES LEGALES Y ADMINISTRADORES DE VOTAR BALANCES

[2–0088] Oficio 94043019–21 de 1996 de la Superintendencia Bancaria

Me refiero a su comunicación mediante la cual presenta unas disertaciones sobre el tema relacionado con la prohibición del artículo 185 del Código de Comercio.

Sobre el particular, este Despacho considera necesario efectuar las siguientes consideraciones:

1. El artículo 185 del Código de Comercio enumera una serie de prohibiciones de carácter taxativo e imperativo para los representantes legales, administradores y representantes de la sociedad, entre ellas la de votar balances y cuentas de fin de ejercicio.

Es claro al tenor de lo dispuesto en el artículo 185 del Código de Comercio, que a aquella persona empleada de la sociedad o cualquier socio que ostente dentro de la misma, la calidad de representante legal o administrador, le está expresamente prohibido (salvo en casos de representación legal) realizar cualquiera de las actividades que a continuación se enumeran:

1- Representar en las reuniones de asamblea o junta de socios distintas de las propias, mientras estén en ejercicio de sus cargos;

2- Sustituir los poderes que les confiere;

3- Votar balances y cuentas de fin de ejercicio o las de liquidación.

Al respecto el doctor Gabino Pinzón comenta que “los miembros de cualquier junta o consejo de esa clase (refiriéndose a los miembros de junta directiva o consejo de administración), como administradores que son, aunque sean socios no pueden recibir el encargo de ejercer derechos de los demás asociados, por cuanto no pueden representar a otros en las reuniones de la Asamblea General, ni pueden votar como socios la aprobación de balances y cuentas de fin de ejercicio conforme al artículo 185 del mismo Código”.  Estas son medidas de protección a favor de los demás   accionistas, de   tal  forma que única-mente el voto de éstos debe considerarse suficiente para tomar una decisión, como es la aprobación del balance, así su participación accionaria sea minoritaria, pues son precisamente estos accionistas a quienes se trata de proteger con la exclusión del voto de los administradores.

2- Los miembros de la junta directiva son administradores de la sociedad

Es bien sabido que como administradores de una sociedad se entiende a los funcionarios encargados de representarla, así como a los factores, a los miembros principales y suplentes de la junta directiva y a quienes tengan la facultad dispositiva sobre los bienes y negocios de la compañía.

De otro lado, las atribuciones y funciones de los miembros de junta directiva se deben estipular en los estatuto sociales, tal como lo dispone el artículo 434 del Código de Comercio.

Los artículos 446 y 447 del Código de Comercio imponen a los administradores la obligación de rendir ante los accionistas, con ocasión de la reunión ordinaria en Asamblea General, los informes que puedan orientarlos a en la apreciación de los balances  de fin de ejercicio. Tales documentos, según las estipulaciones estatutarias o legales, deben ser presentados por la junta directiva a la Asamblea General de Accionistas, razón que fundamenta el impedimento de los miembros de la junta directiva, así tengan la calidad de accionistas, de votar los balances y en general los estados financieros de fin de ejercicio, como quiera que existen intereses paralelos pues estarían aprobando una gestión realizada por ellos mismos.

Así las cosas, cabe insistir que los miembros de la junta directiva como administradores, son verdaderos mandatarios de la sociedad, específicamente de los socios colectivamente considerados; sin embargo, no dejan de ser socios al realizar cualquiera de las funciones que les corresponde cumplir en la dirección de la empresa social.  Son aquellos “gestores temporales y revocables” a los que se refiere expresamente el artículo 373 del Código de Comercio para mencionar a los administradores de la sociedad anónima y cuando el artículo 185 del mismo estatuto consagra la inhabilidad de los administradores y empleados de representar acciones ajenas, de votar balances y cuentas de fin de ejercicio, ha querido significar, ni más ni menos, que por el hecho de la designación por la Asamblea, como miembros de junta directiva, y el haber aceptado expresa o tácitamente, quedaron inhabilitados para dichos efectos.

INFORMACIÓN SOBRE CAMBIO DE DOMICILIO Y DIRECCIÓN PARA NOTIFICACIONES

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0089] PARTE I, TIT IV, CAP II, NUM 2, SUBNUM. 2.1. Información a remitir

Con el propósito de dar plena aplicación a los principios de celeridad, eficacia, imparcialidad, publicidad y contradicción a los que se refiere el art. 3 del CPACA y atendiendo la garantía constitucional del derecho de defensa, las personas que se han posesionado y cuyos registros se llevan en la SFC, deben informar al Grupo de Registro cualquier cambio de domicilio y dirección para notificaciones, indicando:

2.1.1. Nombre y documento de identidad.

2.1.2. Entidad y cargo en ejercicio.

2.1.3. Nuevo domicilio y dirección para notificaciones.

2.1.4. Nuevos datos de contacto para atención a los consumidores financieros, para el caso de los defensores del consumidor financiero. La actualización a la que se refiere el presente inciso, debe ser puesta en conocimiento de esta Superintendencia, a través de la proforma “Hoja de vida”.

INFORMACIÓN SOBRE CAMBIO DE DOMICILIO Y DIRECCIÓN PARA NOTIFICACIONES POSTERIOR A LA DESVINCULACIÓN

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0089-01] PARTE I, TIT IV, CAP II, NUM 2, SUBNUM. 2.2. Suministro de información posterior a la desvinculación de la entidad

Para los efectos de los art. 67 y 68 del CPACA, las personas que se han posesionado y cuyos registros se llevan en la SFC, una vez cesen en el ejercicio del cargo desempeñado deben informar al Grupo de Registro cualquier cambio de domicilio y dirección para notificaciones que suceda dentro de los 3 años siguientes a la desvinculación indicando:

2.2.1. Nombre y documento de identidad.

2.2.2. Fecha de retiro.

2.2.3. Cargo en ejercicio a la fecha de retiro.

2.2.4. Nuevo domicilio y dirección para notificaciones.

Cuando de una actuación administrativa iniciada de oficio, especialmente cuando se trate de la facultad administrativa sancionatoria, se desprenda que personas que han cesado en el ejercicio de un cargo para el que tomaron posesión ante la SFC pueden resultar afectadas en forma directa, debe citárselas para que puedan hacerse parte en dicha actuación. Para esto, si no hay otro medio más eficaz, se debe enviar comunicación por correo certificado a las direcciones que el interesado haya registrado para notificaciones en la entidad, lo mismo que a la que aparezca registrada en el directorio telefónico, si la hubiere. En el evento en que las comunicaciones no surtan efecto se debe proceder a efectuar la publicación correspondiente en un periódico de amplia circulación nacional, de acuerdo con lo previsto en los literales d. e. y f. del numeral 4 del art. 208 del EOSF-sustituido por el art. 45 de la Ley 795 de 2003-.

INFORMACIÓN SOBRE ANTECEDENTES

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0090] PARTE I, TIT IV, CAP II, NUM 2, SUBNUM. 2.3. Información sobre antecedentes.

En la forma indicada en el numeral anterior se debe proceder a informar, en el caso en que las entidades vigiladas dispongan la terminación de las relaciones con sus funcionarios, por virtud de irregularidades cometidas en su gestión financiera o a causa de comportamientos que riñen con el debido manejo de los recursos del público, con el propósito de proporcionar suficientes elementos de juicio a la SFC en relación con las calidades morales y profesionales de quienes se desempeñen o soliciten posesión para actuar como administradores de entidades del sector vigilado.

DIRECCIÓN DE NOTIFICACIÓN PARA ACTUACIONES ESPECÍFICAS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0091] PARTE I, TIT IV, CAP II, NUM 2, SUBNUM. 2.3. Dirección de notificación para actuaciones específicas.

Las personas que se han posesionado y cuyos registros se llevan en la SFC, frente a las cuales se desarrolle una actuación en esta entidad, pueden suministrar una dirección específica de notificación para tal actuación, diferente a la registrada en la hoja de vida al tomar posesión. La dirección específica o su modificación debe informarse mediante comunicación realizada especialmente para tal propósito, dirigida al funcionario competente que realiza el trámite respectivo. En todo caso, se entiende que la dirección específica sólo es válida para ese trámite determinado.

En el acto que ponga fin a la actuación o en los demás que deban notificarse personalmente, la dependencia que los proyecta debe indicar al final de los mismos la dirección específica de notificaciones aportada por el interesado o su modificación. Si el interesado no señaló dirección específica de notificaciones se debe indicar la que se haya utilizado dentro del trámite. En todo caso debe indicarse la dirección personal de notificaciones suministrada por aquellos que han tomado posesión del cargo.

El hecho de que se haya suministrado una dirección de notificación específica para un trámite determinado no anula la dirección general registrada para notificaciones, que puede ser utilizada en otras actuaciones que se desarrollen. Igualmente puede ser utilizada la dirección general de manera subsidiaria en actuaciones para las cuales no se logre notificar el acto respectivo habiéndose hecho la citación a través de la dirección específica. El suministrar una dirección específica no exime de reportar los cambios de dirección de notificación general.

[2–0092] RESERVADO

CONTROL INTERNO – ÁMBITO DE APLICACIÓN

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria) 

[2–0093] TIT I, CAP IV. NUM 1. Control Interno. Ámbito de Aplicación

1. ÁMBITO DE APLICACIÓN

Las entidades vigiladas por la SFC, ya sean matrices o subordinadas, deben implementar o ajustar su SCI a los requisitos mínimos establecidos en el presente Capítulo, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, valor de los activos e ingresos, recursos captados del público, número de sucursales o agencias, entre otros) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación beneficio/costo.

Las vigiladas que tengan la calidad de matrices deben procurar que sus subordinadas (sean filiales o subsidiarias) tengan un adecuado SCI, para lo cual deben emitir los lineamientos generales mínimos que en su concepto deben aplicar, atendiendo la naturaleza, magnitud y demás características de las mismas.

Es de advertir que las instrucciones impartidas en este numeral van dirigidas a la adecuada integración de los diversos componentes del SCI. En tal sentido, este instructivo no suspende ni reemplaza el cumplimiento de obligaciones y deberes establecidos en disposiciones vigentes.

DEFINICIÓN Y OBJETIVO DEL SISTEMA DE CONTROL INTERNO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0094] TIT I, CAP IV. NUM 2. Definición y Objetivo del Sistema de Control Interno.

Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva u órgano equivalente, la alta dirección y demás funcionarios de una organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos:

2.1. Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspección y vigilancia. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo.

2.2. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones.

2.3. Realizar una gestión adecuada de los riesgos.

2.4. Aumentar la confiabilidad y oportunidad en la Información generada por la organización.

2.5. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización.

En la medida en que se logren los objetivos antes mencionados, el SCI brinda mayor seguridad a los diferentes grupos de interés que interactúan con la entidad.

PRINCIPIOS DEL SITEMA DE CONTROL INTERNO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0095] TIT I, CAP IV. NUM 3 Principios del Sistema de Control Interno.

Los principios del SCI constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan su efectividad de acuerdo con la naturaleza de las operaciones autorizadas, funciones y características propias, y se aplican para cada uno de los aspectos que se tratan en el presente Capítulo. En consecuencia, las entidades, en el diseño e implementación o revisión o ajustes del SCI, deben incluir estos principios, documentarlos con los soportes pertinentes y tenerlos a disposición de la SFC.

Igualmente, basados en los siguientes principios, el SCI establece las acciones, las políticas, los métodos, procedimientos y mecanismos de prevención, control, evaluación y de mejoramiento continuo de la entidad que le permitan tener una seguridad razonable acerca de la consecución de sus objetivos, cumpliendo las normas que la regulan.

3.1. Autocontrol

Es la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades.

En consecuencia, sin perjuicio de la responsabilidad atribuible a los administradores en la definición de políticas y en la ordenación del diseño de la estructura del SCI, es pertinente resaltar el deber que les corresponde a todos y cada uno de los funcionarios dentro de la organización, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deben procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los límites por ella establecidos.

3.2. Autorregulación

Se refiere a la capacidad de la organización para desarrollar en su interior y aplicar métodos, normas y procedimientos que permitan el desarrollo, implementación y mejoramiento del SCI, dentro del marco de las disposiciones aplicables.

3.3. Autogestión

Apunta a la capacidad de la organización para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.

ELEMENTOS DEL SITEMA DE CONTROL INTERNO

 Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 007 de 2019 de la Superintendencia Financiera

[2–0095-01] TIT I, CAP IV, NUM 4. Elementos del Sistema de Control Interno.

Para el cumplimiento de los principios y objetivos indicados con anterioridad, las entidades vigiladas deben consolidar una estructura de control interno que considere por lo menos los elementos que se señalan a continuación:

4.1. Ambiente de Control

El ambiente de control está dado por los elementos de la cultura organizacional que fomentan en todos los integrantes de la entidad: principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los demás elementos del SCI, dado que la eficacia del mismo depende de que las entidades cuenten con personal competente e inculquen en toda la organización un sentido de integridad y concientización sobre el control.

Los elementos mínimos para crear un adecuado ambiente de control son:

4.1.1. Determinación formal por parte de la alta dirección de los principios básicos que rigen la entidad, los cuales deben constar en documentos que se divulguen a toda la organización y a grupos de interés.

4.1.2. Expedición de un código de conducta que incluya:

4.1.2.1. Valores y pautas explícitas de comportamiento.

4.1.2.2. Parámetros concretos determinados para el manejo de conflictos de interés, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados económicos, en adición a los que apliquen por disposición legal.

4.1.2.3. Mecanismos para evitar el uso de información privilegiada o reservada.

4.1.2.4. Órganos o instancias competentes para hacer seguimiento al cumplimiento del código.

4.1.2.5. Consecuencias de su inobservancia, teniendo en cuenta factores tales como reincidencias, pérdidas para los clientes o a la entidad, violaciones a límites, entre otros.

En caso que algunos de los temas antes citados no se incluyan en el código de conducta deben incluirse en el código de gobierno corporativo de la entidad o en un documento independiente, si así se considera pertinente dada su importancia para la organización.

El código de conducta debe orientar la actuación de todos los funcionarios, quienes deben comprometerse explícitamente con su cumplimiento.

4.1.3. Adopción de procedimientos que propicien que los empleados en todos los niveles de la organización cuenten con los conocimientos, habilidades y conductas necesarios para el desempeño de sus funciones.

La entidad debe contar con estándares debidamente documentados de las competencias, habilidades, aptitudes e idoneidad de sus funcionarios. Así mismo, debe determinar las políticas y prácticas de gestión humana que aplicará la entidad al realizar los procesos de selección, inducción, formación, capacitación, sistemas de compensación o remuneración y de evaluación del desempeño de sus empleados en todos sus niveles, las cuales deben ser diseñadas e implementadas para facilitar un efectivo control interno, ya sea que se realice el proceso directamente o a través de terceros.

4.1.4. Determinación de una estructura organizacional que permita soportar el alcance del SCI y que defina claramente los niveles de autoridad y responsabilidad, precisando el alcance y límite de los mismos. La estructura organizacional debe estar armonizada con el tamaño y naturaleza de las actividades de la entidad, soportando el alcance del SCI.

4.1.5. Establecimiento de objetivos que deben estar alineados con la misión, visión y objetivos estratégicos de la entidad, para que a partir de esta definición, se formule la estrategia y se determinen los correspondientes objetivos operativos, de reporte y de cumplimiento para la organización.

Para el efecto, se entiende por objetivos operativos aquellos que se refieren a la utilización eficaz y eficiente de los recursos en las operaciones de la entidad. Deben reflejar la razón de ser de las organizaciones y van dirigidos a la consecución del objeto social, constituyendo una parte fundamental del proceso de construcción de las estrategias y de la asignación de los recursos disponibles.

Los objetivos de reporte o de información se enmarcan en la preparación y publicación de estados financieros y otros informes que divulga la entidad, cuya confiabilidad constituye un factor de suma importancia en las relaciones con los diferentes sectores o grupos de interés con los cuales se interrelaciona la organización, además de ser un elemento vital de la gestión interna.

Finalmente, los objetivos de cumplimiento se refieren a aquellos encaminados a asegurar razonablemente el cumplimiento por parte de la entidad de las normas legales y los reglamentos que le sean aplicables.

Los referidos objetivos deben ser coherentes y realistas, ser difundidos a todos los niveles de la entidad y actualizarse en forma periódica.

La alta dirección de la entidad debe transmitir a todos los niveles de la organización su compromiso y liderazgo respecto de los controles internos y los valores éticos, involucrando a todos los funcionarios para que asuman la responsabilidad que les corresponde frente al SCI.

4.2. Gestión de riesgos

Las entidades deben preservar la eficacia, eficiencia y efectividad de su gestión y capacidad operativa, así como salvaguardar los recursos que administren, para lo cual deben contar con un sistema de administración de riesgos que permita la minimización de los costos y daños causados por éstos, con base en el análisis del contexto estratégico, así como la determinación de métodos para el tratamiento y monitoreo de sus riesgos, con el propósito de prevenir o evitar la materialización de eventos que puedan afectar el normal desarrollo de los procesos y el cumplimiento de los objetivos empresariales, o, en caso de que ello no resulte razonablemente posible, de mitigar su impacto. Para el efecto, deben adelantar como mínimo los siguientes procedimientos:

4.2.1. Identificar las amenazas que enfrenta la entidad y las fuentes de las mismas.

4.2.2. Autoevaluar los riesgos existentes en sus procesos, identificándolos y priorizándolos a través de un ejercicio de valoración, teniendo en cuenta los factores propios de su entorno y la naturaleza de su actividad.

4.2.3. Medir la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de la entidad (económicos, humanos, entre otros), así como sobre su credibilidad y buen nombre, en caso de materializarse. Esta medición puede ser cualitativa y, cuando se cuente con datos históricos, cuantitativa.

4.2.4. Identificar y evaluar con criterio conservador, los controles existentes y su efectividad, mediante un proceso de valoración realizado con base en la experiencia y un análisis razonable, y objetivo de los eventos ocurridos.

4.2.5. Construir los mapas de riesgos que resulten pertinentes, los cuales deben ser actualizados periódicamente, permitiendo visualizarlos de acuerdo con la vulnerabilidad de la organización a los mismos.

4.2.6. Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad, que incluya elementos como: prevención y atención de emergencias, administración de crisis, planes de contingencia para responder a las fallas e interrupciones específicas de un sistema o proceso, y capacidad de retorno a la operación normal.

4.2.7. Divulgar entre los funcionarios que intervienen en los procesos respectivos, los mapas de riesgos y las políticas definidas para su administración.

4.2.8. Gestionar los riesgos en forma integral, aplicando diferentes estrategias que permitan llevarlos hacia niveles tolerables. Para cada riesgo se debe seleccionar la alternativa que presente la mejor relación entre el beneficio esperado y el costo en que se debe incurrir para su tratamiento. Entre las estrategias posibles se encuentran las de evitar los riesgos, mitigarlos, compartirlos, transferirlos, aceptarlos o aprovecharlos, según resulte procedente.

4.2.9. Registrar, medir y reportar los eventos de pérdidas por materialización de riesgos.

4.2.10. Hacer seguimiento a través de los órganos competentes, de acuerdo al campo de acción de cada uno de ellos, estableciendo los reportes o acciones de verificación que la administración de la entidad y los jefes de cada órgano social considere pertinentes.

4.2.11. Definir las acciones correctivas y preventivas derivadas del proceso de seguimiento y evaluación de los riesgos (planes de mejoramiento).

Las entidades deben seguir adicionalmente las instrucciones especiales que en materia de gestión de ciertos riesgos se establecen en la presente Circular y en la Circular Básica Financiera y Contable de la SFC (en los diferentes sistemas de administración de riesgos según resulten aplicables en virtud del objeto social de la entidad), ajustándose a los plazos y condiciones específicos establecidos de manera especial para cada uno de ellos.

Es importante reiterar que los sistemas de gestión de riesgos específicos, no son independientes del SCI, sino que forman parte integral del mismo. Así, la administración de riesgos es uno de los elementos fundamentales del SCI para lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes financieros y el cumplimiento de leyes, normas y reglamentos. Los sistemas de control interno y de administración de riesgos son transversales en todas y cada una de las actividades, procesos y áreas de la entidad, por ello su importancia en el logro de los objetivos estratégicos y de calidad de la información que genera la organización.

4.3. Actividades de control

Las actividades de control son las políticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan, debiendo ser distribuidas a lo largo y a lo ancho de la organización, en todos los niveles y funciones.

Estas actividades deben ser seleccionadas y desarrolladas considerando la relación beneficio/costo y su potencial efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos de la organización.

Dichas actividades implican una política que establece lo que debe hacerse y adicionalmente los procedimientos para llevarla a cabo. Todas estas actividades deben tener como principal objetivo la determinación y prevención de los riesgos (potenciales o reales), errores, fraudes u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o el prestigio de la entidad.

Adicionalmente deben considerarse las actividades de control requeridas específicamente en el numeral 5 de este Capítulo respecto a la gestión contable y tecnológica.

Lo anterior incluye, entonces, el establecimiento de unas actividades obligatorias para todas las áreas, operaciones y procesos de la entidad. Entre estas actividades se encuentran, las siguientes:

4.3.1. Revisiones de alto nivel, como son el análisis de informes y presentaciones que solicitan los miembros de junta directiva y otros altos directivos de la organización para efectos de analizar y monitorear el progreso de la entidad hacia el logro de sus objetivos; detectar problemas, tales como deficiencias de control, errores en los informes financieros o actividades fraudulentas, y adoptar los correctivos necesarios.

4.3.2. Gestión directa de funciones o actividades.

4.3.3. Controles generales, que rigen para todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada. Dentro de éstos se incluyen aquellos que se hagan sobre la administración de la tecnología de información, su infraestructura, la administración de seguridad y la adquisición, desarrollo y mantenimiento del software.

4.3.4. Controles de aplicación, los cuales incluyen pasos a través de sistemas tecnológicos y manuales de procedimientos relacionados. Se centran directamente en la suficiencia, exactitud, autorización y validez de la captura y procesamiento de datos. Ayudan a asegurar que los datos se capturan o generan en el momento de necesitarlos, que las aplicaciones de soporte estén disponibles y que los errores de interfase se detecten rápidamente. Un objetivo importante de los controles de aplicación es prevenir que los errores se introduzcan en el sistema, así como detectarlos y corregirlos una vez involucrados en él. Si se diseñan correctamente, pueden facilitar el control sobre los datos introducidos en el sistema.

4.3.5. Limitaciones de acceso a las distintas áreas de la organización, de acuerdo con el nivel de riesgo asociado a cada una de ellas, teniendo en cuenta tanto la seguridad de los funcionarios de la entidad como de sus bienes, de los activos de terceros que administra y de su información.

4.3.6. Acompañamiento a los visitantes de la entidad para controlar que sólo ingresen a los sitios permitidos y que no realicen ningún acto que afecte la seguridad de los equipos o de la información que en ellos se procesa.

4.3.7. Controles físicos adicionales que resulten necesarios.

4.3.8. Indicadores de rendimiento.

4.3.9. Segregación de funciones.

4.3.10. Acuerdos de confidencialidad.

4.3.11. Procedimientos de control.

4.3.12. Difusión de las actividades de control.

Las actividades de control son seleccionadas y desarrolladas considerando la relación beneficio / costo y su potencial efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos de la organización.

Dichas actividades implican una política que establece lo que debe hacerse y adicionalmente los procedimientos para llevarla a cabo. Todas estas actividades deben tener como principal objetivo la determinación y prevención de los riesgos (potenciales o reales), errores, fraudes u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o el prestigio de la entidad.

Adicionalmente deben considerarse las actividades de control requeridas específicamente en el numeral 5 de este Capítulo respecto a la gestión contable y tecnológica.

4.4. Información y comunicación

Teniendo en cuenta que la operación de una entidad depende en gran medida de sus sistemas de información, es necesario adoptar controles que garanticen la seguridad, calidad y cumplimiento de la información generada.

Los sistemas de información y comunicación son la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción de las decisiones que les corresponde en relación con la respectiva entidad.

4.4.1. Información

Este sistema debe ser funcional para el suministro de información que permita dirigir y controlar el negocio en forma adecuada. Asimismo, deben permitir manejar tanto los datos internos como aquellos que se reciban del exterior.

Las entidades sometidas a inspección y vigilancia deben contar con sistemas que garanticen que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (efectividad, eficiencia y confiabilidad) y cumplimiento, para lo cual deben establecerse controles generales y específicos para la entrada, el procesamiento y la salida de la información, atendiendo su importancia relativa y nivel de riesgo.

Ello incluye, cuando menos, las siguientes actividades:

4.4.1.1. Identificar la información que se recibe y su fuente.

4.4.1.2. Asignar el responsable de cada información y las personas que pueden tener acceso a la misma.

4.4.1.3. Diseñar formularios y/o mecanismos que ayuden a minimizar errores u omisiones en la recopilación y procesamiento de la información, así como en la elaboración de informes.

4.4.1.4. Diseñar procedimientos para detectar, reportar y corregir los errores y las irregularidades que puedan presentarse.

4.4.1.5. Establecer procedimientos que permitan a la entidad retener o reproducir los documentos fuente originales, para facilitar la recuperación o reconstrucción de datos, así como para satisfacer requerimientos legales.

4.4.1.6. Definir controles para garantizar que los datos y documentos sean preparados por personal autorizado para hacerlo.

4.4.1.7. Implementar controles para proteger adecuadamente la información sensible contra acceso o modificación no autorizada.

4.4.1.8. Diseñar procedimientos para la administración del almacenamiento de información y sus copias de respaldo.

4.4.1.9. Establecer parámetros para la entrega de copias, a través de cualquier modalidad (papel, medio magnético, entre otros).

4.4.1.10. Clasificar la información (en pública, privada o confidencial, según corresponda).

4.4.1.11. Verificar la existencia o no de procedimientos de custodia de la información, cuando sea del caso, y de su eficacia.

4.4.1.12. Implementar mecanismos para evitar el uso de información privilegiada, en beneficio propio o de terceros.

4.4.1.13. Detectar deficiencias y aplicar acciones de mejoramiento.

4.4.1.14. Cumplir los requerimientos legales y reglamentarios.

 

Además de la información que deba proporcionarse al mercado y a la SFC de conformidad con las normas vigentes, debe difundirse, de acuerdo con lo que los administradores de la entidad consideren pertinente, la información que hace posible conducir y controlar la organización, sin perjuicio de aquella que sea de carácter privilegiado, confidencial o reservado, respecto de la cual deben adoptarse todas las medidas que resulten necesarias para su protección, incluyendo lo relacionado con su almacenamiento, acceso, conservación, custodia y divulgación. Se entiende por información sujeta a reserva o privilegiada aquella a la cual sólo tienen acceso directo ciertas personas (sujetos calificados), en razón de su profesión u oficio, la cual, por su carácter, está sujeta a reserva, ya que de conocerse puede ser utilizada con el fin de obtener provecho o beneficio para sí o para un tercero.

Con tal propósito, los administradores de la entidad deben definir políticas de seguridad de la información, mediante la ejecución de un programa que comprenda, entre otros, el diseño, implantación, divulgación, educación y mantenimiento de las estrategias y mecanismos para administrar la seguridad de la información, lo cual incluye, entre otros mecanismos, la celebración de acuerdos de confidencialidad, en aquellos casos en los cuales resulte indispensable suministrar información privilegiada a personas que en condiciones normales no tienen acceso a la misma.

La confidencialidad es uno de los elementos más importantes de la seguridad de la información y tiene como propósito garantizar que ella sólo pueda ser conocida, consultada y divulgada por personas autorizadas. Este elemento está directamente relacionado con el principio de “prudencia”, necesario para evitar la filtración, difusión inapropiada y tergiversación de la información.

Lo anterior se entiende sin perjuicio de lo establecido en el Sistema de Administración de Riesgo Operativo –SARO y en el Capítulo I del Título II del Parte I de esta Circular respecto a los requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios.

4.4.2. Comunicación

La entidad debe mantener una comunicación eficaz, que fluya en todas las direcciones a través de todas las áreas de la organización (de arriba hacia abajo, a la inversa y transversalmente).

Cada empleado debe conocer el papel que desempeña dentro de la organización y dentro del SCI, y la forma en la cual las actividades a su cargo están relacionadas con el trabajo de los demás. Para el efecto, la entidad debe disponer de medios para comunicar la información significativa, tanto al interior de la organización como hacia su exterior.

Como parte de una adecuada administración de la comunicación, se deben identificar cuando menos los siguientes elementos:

4.4.2.1. Canales de comunicación

4.4.2.2. Responsables de su manejo

4.4.2.3. Requisitos de la información que se divulga

4.4.2.4. Frecuencia de la comunicación

4.4.2.5. Responsables

4.4.2.6. Destinatarios

4.4.2.7. Actividades de control a los procesos de comunicación

En relación con los canales de comunicación, la entidad debe contar con canales de comunicación particulares para la recepción de denuncias (tales como líneas telefónicas, correos electrónicos, buzones especiales en el sitio Web y otros mecanismos digitales) con el fin de que las personas que detecten eventuales irregularidades, incumplimientos normativos, violaciones al código de ética y conducta u otros hechos o circunstancias que afecten o puedan afectar el adecuado funcionamiento del SCI, puedan ponerlos en conocimiento de los órganos competentes dentro de la entidad. Estos canales de comunicación particulares para la recepción de denuncias deben contar con salvaguardias que garanticen la confidencialidad de las denuncias y de la identidad de los denunciantes. Las entidades deben diferenciar claramente estos canales de recepción de denuncias de los canales de formulación de quejas derivadas en las fallas en la prestación de servicios.

Las entidades deben contar con políticas internas y manuales de procedimiento sobre la recepción y tratamiento de denuncias que prevean al menos los siguientes elementos: protección a denunciantes de buena fe frente a represalias, confidencialidad de las denuncias y de la identidad de los denunciantes, capacitación a los funcionarios de la entidad sobre estas políticas, manuales y procedimientos, las diferentes instancias dentro de la entidad vigilada que asumirán conocimiento de las denuncias, incluyendo las reglas y principios que rijan su investigación, análisis, tratamiento, escalamiento, e información a las autoridades competentes. Igualmente, las entidades podrán incluir en sus políticas mecanismos de incentivo y recompensa a denunciantes de buena fe.

Estas políticas y sus modificaciones deben ser aprobadas por la junta directiva de la entidad. Tales políticas junto con los manuales de procedimiento que sean necesarios para hacerlas efectivas deben estar a disposición de la SFC.

Adicionalmente, los administradores de la entidad deben adoptar los procedimientos necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y, en general, el cumplimiento de todos los requisitos que incidan en la credibilidad y utilidad de la información que la respectiva organización revela al público.

El principio de transparencia que rige el mercado de valores y el sistema financiero exige que se proporcione a los consumidores financieros y demás participantes del mercado, en igualdad de condiciones, información oportuna, suficiente y de calidad sobre los datos y hechos relevantes que permitan una adecuada formación de precios y la adopción de decisiones debidamente fundamentadas. De esta manera se disminuye el riesgo de desigualdad de oportunidades para actuar en el mercado, derivado del manejo de información privilegiada.

En tal sentido, los administradores de las entidades supervisadas deben adoptarse las medidas y los controles que resulten necesarios para evitar el suministro de información privilegiada a uno o más participantes del mercado.

4.5. Monitoreo

Es el proceso que se lleva a cabo para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza por medio de la supervisión continua que realizan los jefes o líderes de cada área o proceso como parte habitual de su responsabilidad frente al control interno (vicepresidentes, gerentes, directores, etc. dentro del ámbito de la competencia de cada uno de ellos), así como de las evaluaciones periódicas puntuales que realicen la auditoría interna u órgano equivalente, el presidente o máximo responsable de la organización y otras revisiones dirigidas.

El SCI no puede ser estático, sino dinámico, ajustándose en forma permanente a las nuevas situaciones del entorno. Con tal fin, es importante que se establezcan controles o alarmas tanto en los sistemas que se lleven en forma manual como en los que se lleven en forma computarizada, de manera que permanentemente se valore la calidad y el desempeño del sistema en el tiempo y se realicen las acciones de mejoramiento necesarias, pues ello equivale a una actividad de supervisión y administración. Para efectos de lo anterior, dicho monitoreo se debe realizar en todas las etapas de los procesos y en tiempo real en el curso de las operaciones.

Las evaluaciones permanentes y separadas permiten a la alta dirección determinar si el control interno está presente y funciona en forma adecuada en el tiempo.

Las deficiencias de control interno deben ser identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten materiales, informarse también a la junta directiva u órgano equivalente.

4.6. Evaluaciones independientes

Aunque los procedimientos de seguimiento permanente, así como la autoevaluación de cada área, proporcionan una retroalimentación importante, es necesario realizar adicionalmente evaluaciones que se centren directamente sobre la efectividad del SCI, las cuales deben ser realizadas por personas totalmente independientes del proceso, como requisito indispensable para garantizar su imparcialidad y objetividad.

Se cumple con el requisito de estas evaluaciones independientes a través de los auditores internos y del revisor fiscal, en la medida en que el alcance de la evaluación hecha por éstos respecto al control interno de la respectiva entidad tenga el alcance y la cobertura requeridos en la presente Circular.

Lo anterior sin perjuicio de que la administración, si así lo considera conveniente, utilice como práctica de buen gobierno corporativo el trabajo de auditores externos para revisar la efectividad del control interno.

Puede emplearse una combinación de varios esquemas, según lo que la administración considere necesario.

Las debilidades resultado de esta evaluación y sus recomendaciones de mejoramiento, deben ser reportadas de manera ascendente, informando sobre asuntos representativos de manera inmediata al comité de auditoría, y haciéndoles seguimiento.

ÁREAS ESPECIALES DENTRO DEL SITEMA DE CONTROL INTERNO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0095-02] TIT I, CAP IV, NUM 5, Areas especiales dentro del Sistema de Control Interno.

El SCI debe abarcar todas las áreas de la organización, aplicando para cada una de ellas los objetivos, principios, elementos y actividades de control, información, comunicación y otros fundamentos del sistema tratados en los numerales anteriores del presente Capítulo.

No obstante, por su particular importancia se considera pertinente entrar a analizar algunos aspectos del SCI relacionados con las áreas contable y tecnológica.

5.1. Control interno en la gestión contable

La información financiera y contable de una entidad se constituye en una herramienta fundamental para que la administración pueda adoptar sus decisiones en forma oportuna y contando con suficientes elementos de juicio. Por ello, la organización debe asegurarse de que todos los estados financieros, informes de gestión y demás reportes que suministra sean confiables.

El término confiable en este contexto se refiere a la preparación de estados financieros y otros informes que presenten en forma razonable la situación financiera y resultados de la entidad, y que cumplan plenamente con las normas, principios y reglamentos que resulten aplicables. Bajo esta referencia, resulta claro que un eficiente SCI contable es la base sobre la que se genera información financiera oportuna, razonable y veraz. El diseño e implementación de este sistema son responsabilidad de la administración, así como la correcta preparación y presentación de los estados financieros y sus correspondientes notas.

Los representantes legales son responsables del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera, para lo cual deben diseñar procedimientos de control sobre la calidad, suficiencia y oportunidad de la misma. Además, deben verificar la operatividad de los controles establecidos al interior de la correspondiente entidad, e incluir en el informe de gestión que los administradores presenten a la asamblea general de accionistas u órgano equivalente la evaluación sobre el desempeño de los mencionados sistemas de revelación y control.

Igualmente, los representantes legales son responsables de informar ante el comité de auditoría todas las deficiencias significativas encontradas en el diseño y operación de los controles internos que hubieran impedido a la sociedad registrar, procesar, resumir y presentar adecuadamente la información financiera de la misma. También deben reportar los casos de fraude que hayan podido afectar la calidad de la información financiera, así como cambios en la metodología de evaluación de la misma.

En este sentido, representa especial importancia para la administración de las entidades establecer al interior de la organización un apropiado SCI contable que garantice que los estados financieros que se presentan a la junta directiva, a las asambleas, a los entes de supervisión, fiscalización y control, y que finalmente son objeto de publicación, reflejen en forma fidedigna la realidad económica de la entidad.

En virtud de todo lo anterior, a continuación se precisan algunos aspectos que deben tener en cuenta las entidades supervisadas por la SFC para el adecuado funcionamiento del SCI, reiterando que para el efecto se deben aplicar en su totalidad los fundamentos señalados en los numerales 3 y 4 del presente Capítulo.

5.1.1. Políticas y procedimientos contables

Las actividades de control contable normalmente implican dos componentes: una política contable, que establece lo que debe hacerse, y unos procedimientos para llevarla a cabo. Bajo este criterio, las distintas instancias y el SCI contable de las entidades supervisadas deben ser efectivos y eficientes, esto se refiere básicamente al cumplimiento de las actividades diarias asignadas, expresadas en las políticas y procedimientos establecidos por la entidad.

Lo anterior conlleva a que los administradores tomen las acciones necesarias para abordar los riesgos contables que implican no solo la forma correcta de hacer las cosas sino dirigir las tareas hacia el logro de los objetivos de la entidad. De ahí que resulte indispensable que las entidades implementen la ejecución de las políticas contables a través de toda la organización, en todos los niveles y en todas las funciones que intervienen en el proceso contable, e incluyan el establecimiento de unos procedimientos obligatorios para todas las actividades de dicho proceso entre los que se encuentran:

5.1.1.1. Supervisión de los procesos contables.

5.1.1.2. Evaluaciones y supervisión de los aplicativos, accesos a la información y archivos, utilizados en los procesos contables.

5.1.1.3. Presentación de informes de seguimiento.

5.1.1.4. Validaciones de calidad de la información, revisando que las transacciones u operaciones sean veraces y estén adecuadamente calculadas y valoradas, aplicando principios de medición y reconocimiento.

5.1.1.5. Comparaciones, inventarios y análisis de los activos de la entidad, realizadas a través de fuentes internas y externas.

5.1.1.6. Supervisión de los sistemas de información.

5.1.1.7. Controles generales.

5.1.1.8. Autorización apropiada de las transacciones por los órganos de dirección y administración.

5.1.1.9. Autorización y control de documentos.

5.1.1.10. Autorizaciones y establecimiento de límites.

5.1.2. Controles sobre los sistemas de información contable.

Teniendo en cuenta que la operación del proceso contable depende en gran medida de sus sistemas de información, es necesario adoptar controles que garanticen la exactitud y validez de la información.

Se pueden usar dos grandes grupos de actividades de control de sistemas de información: controles generales y controles de aplicación, según lo definido en el subnumeral 4.3. del presente Capítulo.

5.2. Normas de control interno para la gestión de la tecnología

La tecnología es imprescindible para el cumplimiento de los objetivos y la prestación de servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad y cumplimiento. Por lo tanto, se tiene que velar porque el diseño del SCI para la gestión de la tecnología responda a las políticas, necesidades y expectativas de la entidad, así como a las exigencias normativas sobre la materia. De otra parte, el sistema debe ser objeto de evaluación y de mejoramiento continuo con el propósito de contribuir al logro de los objetivos institucionales y a la prestación de los servicios en las condiciones señaladas.

Las entidades deben establecer, desarrollar, documentar y comunicar políticas de tecnología y definir los recursos, procesos, procedimientos, metodologías y controles necesarios para asegurar su cumplimiento.

5.2.1. Aspectos a verificar

Las políticas deben ser revisadas por lo menos una vez al año o al momento de presentarse cambios significativos en el ambiente operacional o del negocio, para lo cual la administración debe contar con estándares, directrices y procedimientos debidamente aprobados, orientados a cubrir los siguientes aspectos:

5.2.1.1. Plan estratégico de tecnología.

5.2.1.2. Infraestructura de tecnología.

5.2.1.3. Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrónico.

5.2.1.4. Administración de proyectos de sistemas.

5.2.1.5. Administración de la calidad.

5.2.1.6. Adquisición de tecnología.

5.2.1.7. Adquisición y mantenimiento de software de aplicación.

5.2.1.8. Instalación y acreditación de sistemas.

5.2.1.9. Administración de cambios.

5.2.1.10. Administración de servicios con terceros.

5.2.1.11. Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica.

5.2.1.12. Continuidad del negocio.

5.2.1.13. Seguridad de los sistemas.

5.2.1.14. Educación y entrenamiento de usuarios.

5.2.1.15. Administración de los datos.

5.2.1.16. Administración de instalaciones.

5.2.1.17. Administración de operaciones de tecnología.

5.2.1.18. Documentación.

En el caso de las entidades vigiladas, lo dispuesto en el presente numeral y sus subdivisiones se entiende sin perjuicio del cumplimiento de las instrucciones especiales impartidas por esta Superintendencia en materia de riesgo operativo –SARO y de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios, las cuales deben cumplirse dentro de los plazos y condiciones específicos establecidos para el efecto.

Por la relevancia que representan algunas de las políticas previamente identificadas, a continuación se instruye de manera específica sobre las enumeradas 5.2.1.1., 5.2.1.5., 5.2.1.9., 5.2.1.13., 5.2.1.15., y 5.2.1.16., así:

5.2.1.1. Plan estratégico de tecnología

Las entidades deben realizar un proceso de planeación estratégica de tecnología, a intervalos de tiempo regulares, con el propósito de lograr el cumplimiento de los objetivos de la organización a través de las oportunidades que brinda la tecnología a su alcance.

El plan estratégico de tecnología debe estar alineado con el plan estratégico institucional y en él se deben contemplar adicionalmente, al menos, los siguientes aspectos:

5.2.1.1.1. Análisis de cómo soporta la tecnología los objetivos del negocio.

5.2.1.1.2. Evaluación de la tecnología actual.

5.2.1.1.3. Estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las necesidades de la entidad.

5.2.1.1.4. Planes operacionales estableciendo metas claras y concretas.

5.2.1.5. Administración de la calidad

Con el objeto de satisfacer las necesidades de sus clientes (internos y externos), las entidades deben llevar a cabo la planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad de la tecnología que contengan:

5.2.1.5.1. Programas para establecer una cultura de calidad de la tecnología en toda la entidad.

5.2.1.5.2. Planes concretos de calidad de la tecnología.

5.2.1.5.3. Responsables por el aseguramiento de la calidad.

5.2.1.5.4. Prácticas de control de calidad.

5.2.1.5.5. Metodología para el ciclo de vida de desarrollo de sistemas.

5.2.1.5.6. Metodología de prueba y documentación de programas y sistemas.

5.2.1.5.7. Diseño de informes de aseguramiento de la calidad.

5.2.1.5.8. Capacitación de usuarios finales y del personal de aseguramiento de la calidad.

5.2.1.5.9. Desarrollo de una base de conocimiento de aseguramiento de la calidad.

El sistema de administración de la calidad debe ser objeto de evaluaciones periódicas para ajustarlo a las necesidades de la entidad.

5.2.1.9. Administración de cambios

Con el fin de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, se debe diseñar un sistema de administración que permita el análisis, implementación y seguimiento de los cambios requeridos y llevados a cabo a la infraestructura de tecnología que posea la entidad. Como mínimo se tienen que contemplar los siguientes aspectos:

5.2.1.9.1. Identificación clara del cambio a realizar en la infraestructura.

5.2.1.9.2. Categorización, priorización y procedimientos de emergencia a llevar a cabo durante el cambio.

5.2.1.9.3. Evaluación del impacto que ocasiona el cambio en la infraestructura.

5.2.1.9.4. Procedimiento de autorización de los cambios.

5.2.1.9.5. Procedimiento de administración de versiones.

5.2.1.9.6. Políticas de distribución del software.

5.2.1.9.7. Obtención de herramientas automatizadas para realizar los cambios.

5.2.1.9.8. Procedimientos para la administración de la configuración.

5.2.1.9.9. Rediseño de los procesos del negocio que se vean impactados por el cambio en la infraestructura.

5.2.1.13. Seguridad de los sistemas

Con el objeto de salvaguardar la información contra usos no autorizados, divulgación, modificación, daño o pérdida, corresponde a las entidades supervisadas establecer controles de acceso lógico que aseguren que los sistemas, datos y programas están restringidos exclusivamente a usuarios autorizados, para lo cual se debe contar con procedimientos y recursos sobre los siguientes aspectos:

5.2.1.13.1. Autorización, autenticación y control de acceso.

5.2.1.13.2. Identificación de usuarios y perfiles de autorización, los cuales deben ser otorgados de acuerdo con la necesidad de tener y necesidad de conocer.

5.2.1.13.3. Manejo de incidentes, información y seguimiento.

5.2.1.13.4. Prevención y detección de código malicioso, virus, entre otros.

5.2.1.13.5. Entrenamiento de usuarios.

5.2.1.13.6. Administración centralizada de la seguridad.

5.2.1.15. Administración de los datos

Para que los datos permanezcan completos, precisos y válidos durante su entrada, actualización y almacenamiento en los sistemas de información, las entidades tienen que establecer controles generales y de aplicación sobre la operación de la tecnología, adicionales a los establecidos en el subnumeral 4.4.1., atendiendo como mínimo los siguientes aspectos:

5.2.1.15.1. Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e integridad de los datos.

5.2.1.15.2. Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean capturados para su procesamiento (generados por personas, por sistemas o entradas de interfase).

5.2.1.15.3. Preservar la segregación de funciones en el procesamiento de datos y la verificación rutinaria del trabajo realizado. Los procedimientos deben incluir controles de actualización adecuados, como totales de control “corrida a corrida” y controles de actualización de archivos maestros.

5.2.1.15.4. Establecer procedimientos para que la validación, autenticación y edición de los datos sean llevadas a cabo tan cerca del punto de origen como sea posible.

5.2.1.15.5. Definir e implementar procedimientos para prevenir el acceso a la información y software sensitivos de computadores, discos y otros equipos o medios, cuando hayan sido sustituidos o se les haya dado otro uso. Tales procedimientos deben garantizar que los datos marcados como eliminados no puedan ser recuperados por cualquier individuo interno o tercero ajeno a la entidad.

5.2.1.15.6. Establecer los mecanismos necesarios para garantizar la integridad continua de los datos almacenados.

5.2.1.15.7. Definir e implementar procedimientos apropiados y prácticas para transacciones electrónicas que sean sensitivas y críticas para la organización, velando por su integridad y autenticidad.

5.2.1.15.8. Establecer controles para garantizar la integración y consistencia entre plataformas.

5.2.1.16. Administración de las instalaciones

Con el objeto de proporcionar un ambiente físico conveniente que proteja los equipos y el personal de tecnología contra peligros naturales o fallas humanas, las entidades deben instalar controles físicos y ambientales adecuados que sean revisados regularmente para garantizar su buen funcionamiento teniendo en cuenta, entre otros, los siguientes aspectos:

5.2.1.16.1. Acceso a las instalaciones.

5.2.1.16.2. Identificación clara del sitio.

5.2.1.16.3. Controles de seguridad física.

5.2.1.16.4. Definición de políticas de inspección y escalamiento de problemas.

5.2.1.16.5. Planeamiento de continuidad del negocio y administración de crisis.

5.2.1.16.6. Salud y seguridad del personal.

5.2.1.16.7. Políticas de mantenimiento preventivo.

5.2.1.16.8. Protección contra amenazas ambientales.

5.2.1.16.9. Monitoreo automatizado.

RESPONSABILIDADES DENTRO DEL SISTEMA DE CONTROL INTERNO- ORGANOS INTERNOS Y EXTERNOS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0095-03] TIT I, CAP IV, NUM 6. Responsabilidades dentro del Sistema de Control Interno, Órganos Internos y Externos.

6.1. Órganos internos

6.1.1. Junta directiva u órgano equivalente

Los miembros de las juntas directivas u órgano equivalente, como principales gestores del gobierno corporativo, deben realizar su gestión con profesionalismo, integridad, competencia e independencia, dedicándole el tiempo necesario. Así mismo, deben ser transparentes en su gestión, procurando tener un buen conocimiento de los riesgos que involucran los productos que ofrece la empresa; evaluar con profundidad los riesgos asociados a los instrumentos de inversión que ésta utiliza, y apoyar la labor de los órganos de fiscalización y control.

De la junta directiva u órgano equivalente debe provenir la autoridad, orientación y vigilancia al personal directivo superior, de manera que sus miembros deben contar con experiencia y conocimientos adecuados acerca de las actividades, los objetivos y la estructura de la respectiva entidad.

6.1.1.1. Funciones generales

Sin perjuicio de las obligaciones especiales asignadas a este órgano en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno, en cumplimiento de los deberes que le señala el art. 23 de la Ley 222 de 1995, la junta directiva u órgano equivalente es la instancia responsable de:

6.1.1.1.1. Participar activamente en la planeación estratégica de la entidad, aprobarla y efectuar seguimiento, para determinar las necesidades de redireccionamiento estratégico cuando se requiera.

6.1.1.1.2. Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones del comité de auditoría.

6.1.1.1.3. Establecer mecanismos de evaluación formal a la gestión de los administradores y sistemas de remuneración e indemnización atados al cumplimiento de objetivos a largo plazo y los niveles de riesgo.

6.1.1.1.4. Definir claras líneas de responsabilidad y rendición de cuentas a través de la organización.

6.1.1.1.5. Analizar el proceso de gestión de riesgo existente y adoptar las medidas necesarias para fortalecerlo en aquellos aspectos que así lo requieran.

6.1.1.1.6. Designar a los directivos de las áreas encargadas del SCI y de la gestión de riesgos, salvo que el régimen aplicable a la respectiva entidad o sus estatutos establezcan una instancia diferente para el efecto.

6.1.1.1.7. Adoptar las medidas necesarias para garantizar la independencia del auditor interno y hacer seguimiento a su cumplimiento.

6.1.1.1.8. Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control o supervisión e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.

6.1.1.1.9. Solicitar y estudiar, con la debida anticipación, toda la información relevante que requiera para contar con la ilustración suficiente para adoptar responsablemente las decisiones que le corresponden y solicitar asesoría experta, cuando sea necesario.

6.1.1.1.10. Requerir las aclaraciones y formular las objeciones que considere pertinentes respecto a los asuntos que se someten a su consideración.

6.1.1.1.11. Aprobar los recursos suficientes para que el SCI cumpla sus objetivos.

6.1.1.1.12. Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que le presente el comité de auditoría, sobre la gestión de riesgos en la entidad y las medidas adoptadas para el control o mitigación de los riesgos más relevantes, por lo menos cada 6 meses, o con una frecuencia mayor si así resulta procedente.

6.1.1.1.13. Evaluar las recomendaciones relevantes sobre el SCI que formulen el comité de auditoría y los otros órganos de control interno y externos, adoptar las medidas pertinentes, y hacer seguimiento a su cumplimiento.

6.1.1.1.14. Analizar los informes que presente el oficial de cumplimiento respecto de las labores realizadas para evitar que la entidad sea utilizada como instrumento para la realización de actividades delictivas, evaluar la efectividad de los controles implementados y de las recomendaciones formuladas para su mejoramiento.

6.1.1.1.15. Evaluar los estados financieros, con sus notas, antes de que sean presentados a la asamblea de accionistas o máximo órgano social, teniendo en cuenta los informes y recomendaciones que le presente el comité de auditoría.

6.1.1.1.16. Presentar al final de cada ejercicio, a la asamblea general de accionistas, junta de socios o máximo órgano social, un informe sobre el resultado de la evaluación del SCI y sus actuaciones sobre el particular.

Todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones antes mencionadas deben constar por escrito en el acta de la reunión respectiva y estar debidamente motivadas. La junta directiva u órgano equivalente debe determinar la información que deba ser divulgada a los diferentes niveles de la organización, de acuerdo con lo que considere pertinente.

6.1.2. Comité de auditoría

Para el adecuado cumplimiento de la labor que le corresponde a las juntas directivas u órganos equivalentes de las entidades sometidas a inspección y vigilancia, éstas deben contar con un comité de auditoría, dependiente de ese órgano social, encargado de la evaluación del control interno de la misma, así como a su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde a la junta directiva u órgano equivalente en la materia, desarrollando funciones de carácter eminentemente de asesoría y apoyo.

6.1.2.1. Funciones del comité

El comité de auditoría tiene como funciones primordiales las siguientes:

6.1.2.1.1. Proponer para aprobación de la junta directiva u órgano que haga sus veces, la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI.

6.1.2.1.2. Presentar a la junta directiva, o al órgano que haga sus veces, las propuestas relacionadas con las responsabilidades, atribuciones y límites asignados a los diferentes cargos y áreas respecto de la administración del SCI, incluyendo la gestión de riesgos.

6.1.2.1.3. Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la entidad, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas.

6.1.2.1.4. Informar a la junta directiva u órgano equivalente sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida por los órganos de control para la realización de sus funciones.

6.1.2.1.5. Velar porque la preparación, presentación y revelación de la información financiera se ajuste a lo dispuesto en las normas aplicables, verificando que existen los controles necesarios.

6.1.2.1.6. Estudiar los estados financieros y elaborar el informe correspondiente para someterlo a consideración de la junta directiva, con base en la evaluación no sólo de los proyectos correspondientes, con sus notas, sino también de los dictámenes, observaciones de las entidades de control, resultados de las evaluaciones efectuadas por los comités competentes y demás documentos relacionados con los mismos.

6.1.2.1.7. Proponer a la junta directiva programas y controles para prevenir, detectar y responder adecuadamente a los riesgos de fraude y mala conducta, entendiendo por fraude un acto intencionado cometido para obtener una ganancia ilícita, y por mala conducta la violación de leyes, reglamentos o políticas internas, y evaluar la efectividad de dichos programas y controles.

6.1.2.1.8. Supervisar las funciones y actividades de la auditoría interna u órgano que haga sus veces, con el objeto de determinar su independencia y objetividad en relación con las actividades que audita, determinar la existencia de limitaciones que impidan su adecuado desempeño, y verificar si el alcance de su labor satisface las necesidades de control de la entidad.

6.1.2.1.9. Efectuar seguimiento sobre los niveles de exposición de riesgo, sus implicaciones para la entidad y las medidas adoptadas para su control o mitigación, por lo menos cada 6 meses, o con una frecuencia mayor si así resulta procedente, y presentar a la junta directiva un informe sobre los aspectos más importante de la gestión realizada.

6.1.2.1.10. Evaluar los informes de control interno practicados por los auditores internos, contraloría, contralor normativo u otros órganos, verificando que la administración haya atendido sus sugerencias y recomendaciones.

6.1.2.1.11. Hacer seguimiento al cumplimiento de las instrucciones dadas por la junta directiva u órgano equivalente, en relación con el SCI.

6.1.2.1.12. Solicitar los informes que considere convenientes para el adecuado desarrollo de sus funciones.

6.1.2.1.13. Analizar el funcionamiento de los sistemas de información, su confiabilidad e integridad para la toma de decisiones.

6.1.2.1.14. Presentar al máximo órgano social, por conducto de la junta directiva, los candidatos para ocupar el cargo de revisor fiscal, sin perjuicio del derecho de los accionistas de presentar otros candidatos en la respectiva reunión. En tal sentido, la función del comité es recopilar y analizar la información suministrada por cada uno de los candidatos y someter a consideración del máximo órgano social los resultados del estudio efectuado.

6.1.2.1.15. Elaborar el informe que la junta directiva debe presentar al máximo órgano social respecto al funcionamiento del SCI, el cual debe incluir entre otros aspectos:

6.1.2.1.15.1. Las políticas generales establecidas para la implementación del SCI de la entidad.

6.1.2.1.15.2. El proceso utilizado para la revisión de la efectividad del SCI, con mención expresa de los aspectos relacionados con la gestión de riesgos.

6.1.2.1.15.3. Las actividades más relevantes desarrolladas por el comité de auditoría.

6.1.2.1.15.4. Las deficiencias materiales detectadas, las recomendaciones formuladas y las medidas adoptadas, incluyendo entre otros temas aquellos que pudieran afectar los estados financieros y el informe de gestión.

6.1.2.1.15.5. Las observaciones formuladas por los órganos de supervisión y las sanciones impuestas, cuando sea del caso.

6.1.2.1.15.6. Si existe o no un departamento de auditoría interna o área equivalente. Si existe, presentar la evaluación de la labor realizada por la misma, incluyendo entre otros aspectos el alcance del trabajo desarrollado, la independencia de la función y los recursos que se tienen asignados. En caso de no existir, señalar las razones concretas por las cuales no se ha considerado pertinente contar con dicho departamento o área.

6.1.2.1.16. Las demás que le fije la junta directiva, en su reglamento interno.

6.1.2.2. Conformación del comité

El comité debe estar integrado por lo menos por 3 miembros de la junta directiva u órgano equivalente, quienes deben tener experiencia, ser conocedores de los temas relacionados con las funciones asignadas al referido órgano social, y ser en su mayoría independientes, esto último para aquellas entidades que por disposición legal o estatutaria cuentan con miembros independientes en el referido órgano social, entendiendo por independientes aquellas personas que en ningún caso sean:

6.1.2.2.1. Empleados o directivos de la entidad o de alguna de sus filiales, subsidiarias o controlantes, incluyendo aquellas personas que hubieren tenido tal calidad durante el año inmediatamente anterior a la designación, salvo que se trate de la reelección de una persona independiente.

6.1.2.2.2. Accionistas que directamente o en virtud de convenio dirijan, orienten o controlen la mayoría de los derechos de voto de la entidad o que determinen la composición mayoritaria de los órganos de administración, de dirección o de control de la misma.

6.1.2.2.3. Socios o empleados de asociaciones o sociedades que presten servicios de asesoría o consultoría a la entidad o a las empresas que pertenezcan al mismo grupo económico del cual forme parte esta, cuando los ingresos por dicho concepto representen para aquellos, el 20% o más de sus ingresos operacionales.

6.1.2.2.4. Empleado o directivo de una fundación, asociación o sociedad que reciba donativos importantes de la entidad. Se consideran donativos importantes aquellos que representen más del 20% del total de donativos recibidos por la respectiva institución.

6.1.2.2.5. Administrador de una entidad en cuya junta directiva participe un representante legal de la entidad.

6.1.2.2.6. Persona que reciba de la entidad alguna remuneración diferente a los honorarios como miembro de la junta directiva, del comité de auditoría o de cualquier otro comité creado por la junta directiva.

A las reuniones del comité puede ser citado cualquier funcionario de la entidad, con el fin de suministrar la información que se considere pertinente acerca de asuntos de su competencia.

6.1.2.3. Reglamento interno

La junta directiva u órgano equivalente de las entidades sometidas a la inspección y la vigilancia de la SFC debe adoptar el reglamento de funcionamiento del comité, incluyendo para el efecto, además de las funciones aquí consagradas, todas aquellas que en su criterio sean propias de la institución y se adapten a sus necesidades. Dicho reglamento debe mantenerse a disposición de la SFC, cuando lo solicite.

6.1.2.4. Periodicidad de las reuniones

El comité de auditoría debe reunirse por lo menos cada 3 meses, o con una frecuencia mayor si así lo establece su reglamento o lo ameritan los resultados de las evaluaciones del SCI. 

6.1.2.5. Informes sobre las tareas desarrolladas y las conclusiones alcanzadas por el comité

Las decisiones y actuaciones del comité de auditoría deben quedar consignadas en actas, las cuales deben cumplir con lo dispuesto en el art. 189 del C.Cio. Los documentos conocidos por el comité que sean sustento de sus decisiones deben formar parte integral de las actas, por lo cual en caso de no ser transcritos deben presentarse como anexos de las mismas. Así, cada vez que se entregue un acta debe suministrarse al interesado tanto el cuerpo principal de la misma, como todos sus anexos, los cuales deben estar adecuadamente identificados y foliados, y mantenerse bajo medidas adecuadas de conservación y custodia.

Cuando se detecten situaciones que revistan importancia significativa, se debe remitir un informe especial a la junta directiva u órgano equivalente y al representante legal.

La junta directiva debe presentar a la asamblea general de accionistas o asociados, al cierre del ejercicio económico, un informe sobre las labores desarrolladas por el comité.

6.1.3. Representante legal

Sin perjuicio de las obligaciones especiales asignadas al representante legal en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno el representante legal es la instancia responsable de:

6.1.3.1. Implementar las estrategias y políticas aprobadas por la junta directiva u órgano equivalente en relación con el SCI.

6.1.3.2. Comunicar las políticas y decisiones adoptadas por la junta directiva u órgano equivalente a todos y cada uno de los funcionarios dentro de la organización, quienes, en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados, deben procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los lineamientos por ella establecidos.

6.1.3.3. Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al SCI, en desarrollo de las directrices impartidas por la junta directiva, garantizando una adecuada segregación de funciones y asignación de responsabilidades.

6.1.3.4. Implementar los diferentes informes, protocolos de comunicación, sistemas de información y demás determinaciones de la junta, relacionados con SCI.

6.1.3.5. Fijar los lineamientos tendientes a crear la cultura organizacional de control, mediante la definición y puesta en práctica de las políticas y los controles suficientes, la divulgación de las normas éticas y de integridad dentro de la institución, y la definición y aprobación de canales de comunicación, de tal forma que el personal de todos los niveles comprenda la importancia del control interno e identifique su responsabilidad frente al mismo.

6.1.3.6. Realizar revisiones periódicas a los manuales y códigos de ética y de gobierno corporativo.

6.1.3.7. Proporcionar a los órganos de control, internos y externos, toda la información que requieran para el desarrollo de su labor.

6.1.3.8. Proporcionar los recursos que se requieran para el adecuado funcionamiento del SCI, de conformidad con lo autorizado por la junta directiva u órgano equivalente.

6.1.3.9. Velar porque se dé estricto cumplimiento de los niveles de autorización, cupos u otros límites o controles establecidos en las diferentes actividades realizadas por la entidad, incluyendo las adelantadas con administradores, miembros de junta, matriz, subordinadas y demás vinculados económicos.

6.1.3.10. Certificar que los estados financieros y otros informes relevantes para el público no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situación patrimonial o las operaciones de la correspondiente entidad.

6.1.3.11. Establecer y mantener adecuados sistemas de revelación y control de la información financiera, para lo cual deben diseñar procedimientos de control y revelación para que la información financiera sea presentada en forma adecuada.

6.1.3.12. Establecer mecanismos para la recepción de denuncias (líneas telefónicas, buzones especiales en el sitio Web, entre otros) que faciliten, a quienes detecten eventuales irregularidades, ponerlas en conocimiento de los órganos competentes de la entidad.

6.1.3.13. Definir políticas y un programa antifraude, para mitigar los riesgos de una defraudación en la entidad.

6.1.3.14. Verificar la operatividad de los controles establecidos al interior de la entidad.

6.1.3.15. Incluir en su informe de gestión un aparte independiente en el que se dé a conocer al máximo órgano social la evaluación sobre el desempeño del SCI en cada uno de los elementos señalados en el numeral 4 del presente Capítulo. En el caso de los grupos empresariales, la evaluación sobre la eficacia del SCI que expida el representante legal de la matriz debe incluir también a las entidades subordinadas (filiales o subsidiarias).

En general, el representante legal es el responsable de dirigir la implementación de los procedimientos de control y revelación, y verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento, para lo cual debe demostrar la ejecución de los controles que le corresponden.

El representante legal debe dejar constancia documental de sus actuaciones en esta materia, mediante memorandos, cartas, actas de reuniones o los documentos que resulten pertinentes para el efecto.

Adicionalmente, debe mantener a disposición del auditor interno, el revisor fiscal y demás órganos de supervisión o control los soportes necesarios para acreditar la correcta implementación del SCI, en sus diferentes elementos, procesos y procedimientos.

6.1.4. Auditoría interna o departamento que cumpla funciones equivalentes

6.1.4.1. Definición

La auditoría interna es una actividad que se fundamenta en criterios de independencia y objetividad de aseguramiento, entendiendo por tal el examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización y consultoría como las actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén relacionados con los mismos y estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión de riesgos y control, de una organización sin que el auditor interno asuma responsabilidades de gestión, concebida para agregar valor y mejorar las operaciones de una organización, ayudándola a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

En tal sentido y ante la importancia que representa la auditoría interna en el control y gestión exitosos de una organización, la SFC estima necesario que las entidades bajo su supervisión que cuenten con un auditor interno, contralor o funcionario que cumpla funciones equivalentes, adopten como referente y cumplan normas y parámetros mínimos que garanticen el ejercicio profesional e idóneo de la auditoría interna, acorde con los estándares y mejores prácticas internacionales.

Para las entidades sometidas a inspección y vigilancia que pertenezcan al sector público, se admite el enfoque de auditoría interna establecido en el modelo MECI. En todo caso, las oficinas o áreas de control interno, auditoría interna o quienes hagan sus veces deben cumplir, en lo que no sea contrario a las disposiciones legales aplicables, los lineamientos básicos de la presente Circular.

Las entidades que no tengan un departamento de auditoría interna, o dependencia que cumpla funciones equivalentes, deben indicar expresamente, en el informe de gestión que los administradores presentan al cierre de cada ejercicio al máximo órgano social, las razones por las cuales no consideran procedente que la organización cuente con el mencionado departamento.

6.1.4.2. Normas para el ejercicio de la auditoría interna

En el desarrollo de la actividad de auditoría interna o su equivalente debe darse aplicación, entre otras, a las siguientes normas:

6.1.4.2.1. Normas sobre atributos

6.1.4.2.1.1. Propósito, autoridad y responsabilidad

El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto (documento) debidamente aprobado por la junta directiva u órgano equivalente, en donde quede establecido un acuerdo con la alta dirección de la entidad respecto de la función y responsabilidad de la actividad de auditoría interna, su posición dentro de la organización, la autorización al auditor para que tenga acceso a los registros, al personal y a los bienes relevantes para la ejecución de los trabajos, y la definición del ámbito de actuación de las actividades de auditoría interna. 

6.1.4.2.1.2. Independencia y objetividad

La actividad de auditoría interna debe ser independiente, y los auditores internos deben ser objetivos en el cumplimiento de sus trabajos a través de una actitud imparcial y neutral, buscando siempre evitar conflictos de intereses. Dentro de este contexto, como una práctica de buen gobierno corporativo, se considera conveniente que el auditor interno o quien haga sus veces sea nombrado por la junta directiva u órgano equivalente.

Si la independencia u objetividad en cualquier momento se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer por escrito a la junta directiva u órgano equivalente. 

6.1.4.2.1.3. Pericia y debido cuidado profesional

Tanto el auditor interno como su equipo de trabajo deben reunir los conocimientos, las aptitudes y las competencias necesarias para cumplir con sus responsabilidades. El auditor interno debe contar con asesoría y asistencia competente para aquellas áreas especializadas respecto de las cuales él o su personal no cuenten con los conocimientos necesarios.

Los auditores internos deben cumplir su trabajo con el cuidado y la pericia que se esperan de un especialista razonablemente prudente y competente. 

6.1.4.2.1.4. Programa de aseguramiento de calidad y cumplimiento

El auditor interno debe desarrollar y mantener un programa de aseguramiento de calidad y mejora que cubra todos los aspectos de la actividad de auditoría interna y revise continuamente su eficacia. Este programa incluye evaluaciones de calidad periódicas, externas e internas, y supervisión interna continua. Cada parte del programa debe estar diseñada para ayudar a la actividad de auditoría interna a añadir valor y a mejorar las operaciones de la organización, y a proporcionar aseguramiento de que la actividad de auditoría interna cumple con las normas aplicables a esta actividad y el código de ética de los auditores.

Si bien la actividad de auditoría interna debe lograr el cumplimiento total de las normas de general aceptación para esta actividad, puede haber casos en los cuales esta meta no se logre. Cuando el incumplimiento afecte el alcance general o el funcionamiento de la actividad de auditoría interna, debe declararse esta situación a la alta dirección y al consejo o junta directiva u órgano competente, informándoles los obstáculos que se presentaron para generar esta situación.

6.1.4.2.2. Normas sobre desempeño

6.1.4.2.2.1. Administración de la actividad de auditoría interna

El auditor interno debe gestionar efectivamente la actividad que desarrolla para asegurar que su trabajo está generando valor agregado a la organización, para lo cual debe ejercer entre otras, las siguientes actividades:

6.1.4.2.2.1.1. Planificación. El auditor interno debe establecer, por lo menos anualmente, planes basados en los riesgos que afecten el logro de los objetivos de la organización, a fin de determinar las prioridades de la actividad de auditoría interna, incluyendo entre otros, el derivado de las operaciones y relaciones con otras entidades del mismo grupo económico.

6.1.4.2.2.1.2. Comunicación y aprobación. El auditor interno debe comunicar los planes y requerimientos de recursos de la actividad de auditoría interna, incluyendo los cambios provisorios significativos, al comité de auditoría y al representante legal para la adecuada revisión y aprobación. El auditor interno también debe comunicar el impacto de cualquier limitación de recursos.

6.1.4.2.2.1.3. Administración de recursos. Determinar los recursos que necesita para el adecuado ejercicio de su labor, y solicitarlos a la junta directiva u órgano equivalente.

6.1.4.2.2.1.4. Políticas y procedimientos. Establecer políticas y procedimientos para guiar la actividad de auditoría interna.

6.1.4.2.2.1.5. Coordinación. El auditor interno debe compartir información y coordinar actividades con los otros órganos de control para lograr una cobertura adecuada y minimizar la duplicación de esfuerzos.

6.1.4.2.2.1.6. Informes. Los informes emitidos por el auditor interno deben ser precisos, objetivos, claros, constructivos, completos y oportunos. Igualmente, deben estar debidamente soportados en evidencias suficientes y realizar seguimiento a las acciones tomadas por la administración frente a estas comunicaciones.

6.1.4.2.2.2. Naturaleza del trabajo

La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno de la entidad, utilizando un enfoque sistemático y disciplinado, así:

6.1.4.2.2.2.1. Gestión de riesgos: El auditor interno debe evaluar la eficacia del sistema de gestión de riesgos de la organización y las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización.

6.1.4.2.2.2.2. Sistema de control interno: La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos, y promoviendo la mejora continua, sin perjuicio de la autoevaluación y el autocontrol que corresponden a cada funcionario de la organización, de conformidad con los principios señalados en el numeral 3 del presente Capítulo.

6.1.4.2.2.2.3. Gobierno corporativo: La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno corporativo, para lo cual debe evaluar el diseño, implantación y eficacia de los objetivos, programas y actividades de la organización. 

6.1.4.2.2.3. Planificación del trabajo

Los auditores internos deben elaborar y registrar un plan para cada trabajo, que incluya el alcance, los objetivos, el tiempo y la asignación de recursos.

6.1.4.2.2.4. Desempeño del trabajo

Los auditores internos deben identificar, analizar, evaluar y registrar suficiente información, que resulte confiable y relevante, de manera tal que les permita cumplir con los objetivos del trabajo.

Adicionalmente, deben establecer requisitos de custodia para los registros del trabajo que sean consistentes con las políticas de la organización en este sentido, y realizar una adecuada supervisión sobre la calidad del trabajo realizado por los integrantes de su equipo.

Los auditores internos deben ser proactivos al analizar, monitorear, indagar, cuestionar, verificar y en general al realizar las actividades propias del aseguramiento, sin limitarse a una simple comprobación de requisitos formales.

6.1.4.2.2.5. Comunicación de resultados

Los auditores internos deben comunicar los resultados de su trabajo, en forma precisa, objetiva, clara, concisa, constructiva, completa y oportuna.

Si una comunicación contiene un error u omisión significativos, debe corregirse y enviarse nuevamente a todas las partes que recibieron la comunicación original.

Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces debe presentar un informe de su gestión y su evaluación sobre la eficacia del sistema de control interno, incluyendo todos sus elementos. Dicho informe debe contener por lo menos lo siguiente:

6.1.4.2.2.5.1. Título.

6.1.4.2.2.5.2. Identificación de los temas, procesos, áreas o materias objeto del examen, el periodo y criterios de evaluación, y la responsabilidad sobre la información utilizada, precisando que la responsabilidad del auditor interno es señalar los hallazgos y recomendaciones sobre los sistemas de control interno y de administración de riesgos.

6.1.4.2.2.5.3. Especificación respecto a que las siguientes evaluaciones se realizaron de acuerdo con la regulación, las políticas definidas por la junta directiva u órgano equivalente y mejores prácticas de auditoría sobre el particular:

6.1.4.2.2.5.3.1. Evaluación de la confiabilidad de los sistemas de información contable, financiera y administrativa.

6.1.4.2.2.5.3.2. Evaluación sobre el funcionamiento y confiabilidad del sistema de control interno.

6.1.4.2.2.5.3.3. Evaluación de la calidad y adecuación de los sistemas establecidos para garantizar el cumplimiento con las leyes, regulaciones, políticas y procedimientos.

6.1.4.2.2.5.3.4. Evaluación de la calidad y adecuación de otros sistemas y procedimientos, análisis crítico de la estructura organizacional y evaluación de la adecuación de los métodos y recursos en relación con su distribución.

6.1.4.2.2.5.4. Los resultados de la evaluación realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno y de riesgos.

6.1.4.2.2.5.5. Una declaración de la forma en que fueron obtenidas sus evidencias, indicando cuál fue el soporte técnico de sus conclusiones.

6.1.4.2.2.5.6. Mencionar las limitaciones que encontraron para realizar sus evaluaciones, tener acceso a información u otros eventos que puedan afectar el resultado de las pruebas realizadas y las conclusiones.

6.1.4.2.2.5.7. Relación de las recomendaciones formuladas sobre deficiencias materiales detectadas, mencionando los criterios generales que se tuvieron en cuenta para determinar la importancia de las mismas.

6.1.4.2.2.5.8. Resultados del seguimiento a la implementación de las recomendaciones formuladas en informes anteriores.

6.1.4.2.2.5.9. Identificación, nombre y firma, ciudad y fecha de elaboración.

Lo anterior sin perjuicio de informes extraordinarios que el auditor interno deba presentar cuando detecte irregularidades graves que ameriten la atención inmediata de los órganos competentes.

6.1.4.2.2.6. Supervisión

El auditor interno debe establecer un proceso de seguimiento para supervisar y verificar que las acciones de la dirección hayan sido efectivamente implantadas, o que la alta dirección ha aceptado el riesgo de no tomar ninguna acción.

Cuando el auditor interno considere que la alta dirección ha aceptado un nivel de riesgo residual, que en su concepto pueda ser inaceptable para la organización, debe discutir esta cuestión con el representante legal. Si la decisión referida al riesgo residual no se resuelve, el auditor interno y el representante legal deben informar esta situación a la junta directiva o quien haga sus veces, para que adopte la decisión pertinente.

6.1.4.2.2.7. Funciones

Las principales funciones del auditor interno o de quien tenga a su cargo responsabilidades equivalentes son las siguientes, sin perjuicio de la responsabilidad de autocontrol que corresponde a todos los funcionarios de la organización según los principios señalados en el numeral 3 del presente Capítulo:

6.1.4.2.2.7.1. Elaborar el plan anual de auditoría antes de finalizar el año anterior y darle estricto cumplimiento. En el caso de entidades subordinadas para las cuales la matriz (sea nacional o extranjera) establezca los lineamientos generales del plan de auditoría, debe velarse porque éstos se ajusten a las disposiciones vigentes en Colombia para la respectiva entidad, así como a las características propias de su entorno, y realizar los ajustes pertinentes de acuerdo al tipo de negocio y a la normatividad aplicable.

6.1.4.2.2.7.2. Someter a consideración del comité de auditoría el presupuesto anual de funcionamiento del área de auditoría interna.

6.1.4.2.2.7.3. Realizar una evaluación detallada de la efectividad y adecuación del SCI, en las áreas y procesos de la organización que resulten relevantes, abarcando entre otros aspectos los relacionados con la administración de riesgos de la entidad y los sistemas de información, administrativos, financieros y tecnológicos, incluyendo los sistemas electrónicos de información y los servicios electrónicos.

6.1.4.2.2.7.4. Evaluar tanto las transacciones como los procedimientos de control involucrados en los diferentes procesos o actividades de la entidad, en aquellos aspectos que considere relevantes.

6.1.4.2.2.7.5. Revisar los procedimientos adoptados por la administración para garantizar el cumplimiento con los requerimientos legales y regulatorios, códigos internos y la implementación de políticas y procedimientos.

6.1.4.2.2.7.6. Verificar la eficacia de los procedimientos adoptados por la administración para asegurar la confiabilidad y oportunidad de los reportes a esta Superintendencia y otros entes de control.

6.1.4.2.2.7.7. Contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno de la entidad, utilizando un enfoque sistemático y disciplinado.

6.1.4.2.2.7.8. Adelantar las investigaciones especiales que considere pertinentes, dentro del ámbito de su competencia, para lo cual debe contar con la colaboración de expertos en aquellos temas en que se requiera.

6.1.4.2.2.7.9. Presentar comunicaciones e informes periódicos al comité de auditoría o a la junta directiva o a la administración cuando lo estime conveniente, sobre el resultado del ejercicio de sus funciones.

6.1.4.2.2.7.10. Hacer seguimiento a los controles establecidos por la entidad, mediante la revisión de la información contable y financiera.

6.1.4.2.2.7.11. Evaluar los problemas encontrados y solicitar las acciones de mejoramiento correspondientes.

6.1.4.2.2.7.12. Presentar a la junta directiva, por lo menos al cierre de cada ejercicio, un informe acerca de los resultados de su labor, incluyendo, entre otros aspectos, las deficiencias detectadas en el SCI.

Es de advertir que, si bien resulta viable que la administración de las entidades supervisadas contrate externamente la realización de las actividades propias de la auditoría, en ningún caso ello implica el traslado de la responsabilidad sobre la auditoría misma. Es decir, que la administración de la entidad sólo entrega la ejecución de la labor más no la responsabilidad misma de la realización de la auditoría, la cual conservará siempre.

En tal sentido, la administración de la entidad debe realizar el direccionamiento, administración y seguimiento de la actividad realizada por el tercero, sin delegar la toma de decisiones tales como los riesgos en los cuales se debe concentrar primordialmente la auditoría o la adopción del plan de auditoría. Adicionalmente, debe garantizarse el acceso permanente de la administración y del supervisor a la información de la auditoría y a los papeles de trabajo, el establecimiento de un plan de contingencias para que no cese la labor en caso de algún problema en la ejecución del contrato, y la independencia entre el auditor interno y externo (si existe este último), teniendo en cuenta que las dos funciones mencionadas no pueden ser desarrolladas por la misma firma.

6.2. Órganos externos

6.2.1. Revisor fiscal

De conformidad con lo previsto en el numeral 3. del Capítulo III del Título I de la Parte I de esta Circular, el revisor fiscal de la entidad debe valorar los sistemas de control interno y administración de riesgos implementados por las entidades, a fin de emitir la opinión a la que se refiere y en los términos consignados en el subnumeral 3.1.8. ibídem.

[2–0095-04] RESERVADO

DOCUMENTOS MÍNIMOS QUE DEBEN SUSTENTAR LA IMPLEMENTACIÓN DEL SISTEMA DE CONTROL INTERNO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0095-05] TIT I, CAP IV, NUM 7. Documentos mínimos que deben sustentar la implementación del SCI

Respecto a la implementación del SCI, la SFC puede exigir, a través de la supervisión in situ o extra situ, los manuales, formatos, procedimientos y demás documentos específicamente requeridos en el cuerpo de la presente Circular, algunos de los cuales se relacionan a continuación, sin perjuicio de cualquier otra información que estime pertinente en ejercicio de sus atribuciones legales:

7.1. Planes y programas definidos por la entidad para el logro de sus objetivos, incluyendo las correspondientes acciones, responsables y cronogramas, lo cual comprende, entre otros, el plan estratégico de tecnología.

7.2. Código de conducta o su equivalente y el documento mediante el cual éste se adopte oficialmente.

7.3. Documentos que soporten la socialización de los principios y valores a todos los funcionarios de la entidad.

7.4. Metodología y herramienta definidas en la organización para hacer la evaluación que hará la organización respecto de la aplicación de los principios de autocontrol, autorregulación y autogestión, a nivel general, por áreas o procesos, según resulte pertinente.

7.5. Mapa de los riesgos relevantes, que contenga como mínimo: identificación de factores internos y externos de riesgo para la organización, riesgos identificados por procesos, análisis de probabilidad de ocurrencia de los riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias.

7.6. Política para manejo de riesgos, definida por la junta directiva u órgano equivalente, y la metodología e instrumentos para la gestión de riesgos en la entidad, incluyendo la definición de los comités u órganos responsables.

7.7. Políticas establecidas en materia de manejo de información y comunicación, que incluyan mecanismos específicos para garantizar la conservación y custodia de información reservada o confidencial y evitar su filtración.

7.8. Documento que soporte la comunicación a todos los funcionarios de la entidad del mapa de riesgos y de las políticas y metodologías a que se refieren los numerales anteriores.

7.9. Políticas y metodología para evaluación del desempeño, a todos los niveles de la organización, incluyendo los indicadores definidos para medir la eficiencia.

7.10. Estructura organizacional, manual de funciones, competencias y requisitos a nivel de cargo.

7.11. Plan anual de auditoría interna.

7.12. Reportes efectuados por los distintos órganos competentes en materia de control.

7.13. Informes sobre resultados obtenidos en el proceso de seguimiento y evaluación al cumplimiento de los planes y programas, que incluya la medición de la satisfacción de los clientes, usuarios y otras partes interesadas.

7.14. En relación con el consumidor financiero (según la definición establecida en el literal d del art. 2 de la Ley 1328 de 2009, lo siguiente:

7.14.1. Políticas de servicio.

7.14.2. Políticas de transparencia e integridad en las relaciones con los mismos (información acerca de productos y tarifas, mecanismos y sistemas de atención).

7.14.3. Estrategias de servicio al cliente.

7.14.4. Mecanismos establecidos para la recepción, registro y atención de quejas, sugerencias o recomendaciones por parte de los clientes, usuarios u otros grupos de interés y acciones de mejora adelantadas con ocasión del análisis de las mismas (análisis punta a punta para los principales motivos, por productos; revisión de productos, implementación de nuevos canales, revisión de políticas parametrizadas en el sistema, etc.).

7.14.5. Las demás definidas en las disposiciones relacionadas con la protección al Consumidor en la Ley 1328 de 2009 y el Decreto 2555 de 2010.

7.15. Actas y/o papeles de trabajo en que consten las decisiones y actuaciones de los órganos de control.

7.16. Programas o planes de mejoramiento.

CRONOGRAMA PARA LA IMPLEMENTACIÓN DEL NUEVO SISTEMA DE CONTROL INTERNO

Circular Extrena 014 de 2009, modificada por la Circular Externa 038 de 2009 de la Superintendencia Financiera

[2–0095-06] Con el propósito de facilitar la adecuada aplicación de las disposiciones contenidas en la Circular Externa 014 de 2009 expedida por la Superintendencia Financiera de Colombia “Instrucciones relativas a la revisión y adecuación del Sistema de Control Interno (SCI)” y atendiendo las solicitudes presentadas por algunas entidades, este Despacho se permite modificar el numeral 7º del Capítulo IX Título Primero – Control Interno – de la Circular Externa 007 de 1996.

La Superintendencia Financiera de Colombia realizará el seguimiento a la evolución del SCI de las entidades sometidas a inspección y vigilancia, iniciando con la solicitud de certificación respecto a la estructuración y aplicación de los componentes fundamentales de los elementos del sistema, para lo cual el presidente de la junta directiva u órgano equivalente y el representante legal de cada entidad, deberán verificar los soportes pertinentes y enviar, dentro de los diez (10) días hábiles siguientes al vencimiento de cada uno de los plazos que se señalan a continuación, una certificación acerca del cumplimiento de los requisitos correspondientes:

Plazo: 31 de diciembre de 2009

Elemento: Ambiente de Control

Requisitos objeto de la certificación:

Establecimiento y promulgación de:

  • Código de Gobierno Corporativo o documentos que contengan políticas de la entidad.
  • Código de Conducta, de ética o documento equivalente.
  • Manuales de funciones y procedimientos de selección, inducción, capacitación, evaluación y sistemas de compensación.
  • Organigrama.
  • Planeación estratégica.

Plazo: 30 de junio de 2010

Elementos: Información y Comunicación y Actividades de Control

(Incluye SCI de la Gestión Contable y la Gestión de la Tecnología).

Requisitos objeto de la certificación:

1- Establecimiento y promulgación de:

  • Políticas y procedimientos para la generación, divulgación y custodia de la información de la entidad.
  • Políticas y procedimientos contables (Recepción, identificación, medición, clasificación, reconocimiento, procesamiento, interpretación, análisis y controles establecidos en el numeral 7.6.1.)
  • Políticas y procedimientos para cada uno de los aspectos señalados para la gestión de tecnología a que se refiere el numeral 7.6.2.
  • Actividades de control (Revisiones de alto nivel, controles generales, controles de aplicación, limitaciones de acceso, acuerdos de confidencialidad, entre otros).

2- Aplicación de las políticas y procedimientos a que se refiere el numeral anterior.

3- Análisis de los sistemas de información contable y de revelaciones, así como de la tecnología que los soporta, identificando las acciones de mejoramiento que resulten pertinentes.

Plazo: 30 de septiembre de 2010

Elemento: Monitoreo

Requisitos objeto de la certificación:

  • Establecimiento y promulgación de políticas y procedimientos para la realización del monitoreo por parte de los jefes de área y alta dirección.
  • Aplicación de las políticas y procedimientos de monitoreo mencionadas anteriormente.

Plazo: 31 de diciembre de 2010

Elemento: Evaluación Independiente

Requisitos objeto de la certificación:

  • Realización de la verificación sobre la efectividad del sistema de control interno adoptado por la respectiva entidad, realizada por evaluadores  independientes.

Este requisito se cumple a través de evaluaciones de auditores internos, el revisor fiscal o auditores externos.

  • Informes presentados por los evaluadores independientes.
  • Cronograma para la realización de las acciones correctivas y preventivas necesarias para el mantenimiento, mejoramiento y consolidación del SCI, determinadas como resultado de las evaluaciones efectuadas.

En relación con el elemento “Gestión de Riesgos”, las entidades vigiladas deberán atender los plazos y las condiciones establecidos para la implementación de los sistemas especiales de gestión exigidos por esta entidad en la Circular Básica Jurídica y en la Circular Básica Financiera y Contable (incluyendo las normas sobre gestión de riesgos de mercado -SARM- , riesgo de crédito -SARC-, riesgo operativo –SARO-, riesgo de liquidez –SARL-, riesgo de lavado de activos y de la financiación del terrorismo –SARLAFT- y riesgo de garantías –SARG- Sistema Especial de Administración de Riesgos de Seguros – SEARS).

El plazo para la implementación del SCI de las nuevas entidades será el equivalente en meses al otorgado para cada uno de los elementos del SCI de que trata la presente circular, contado a partir de la fecha de ejecutoria del acto administrativo mediante el cual se expida el certificado de autorización.

En las fechas antes mencionadas, que modifican las señaladas en la Circular Externa 014 de 2009, se deberá haber culminado la estructuración de las políticas, procedimientos y documentos rectores del SCI, pero, se reitera, su aplicación, consolidación y mantenimiento es un proceso de carácter permanente, cuya evolución será revisada por esta Superintendencia en ejercicio de su labor de supervisión.

Es de advertir que las instrucciones impartidas en esta circular van dirigidas a la adecuada integración de los diversos componentes del SCI. En tal sentido, este instructivo no suspende ni reemplaza el cumplimiento de obligaciones y deberes establecidos en disposiciones vigentes.

La presente Circular rige a partir de su publicación, modifica los plazos y entregables señalados en la Circular Externa 014 de 2009 y el numeral 7º del Capítulo IX Título Primero – Control Interno – de la Circular Externa 007 de 1996.

PROGRAMA DE BALANCE SOCIAL DE LAS ENTIDADES VIGILADAS

Ley 1328 de 2009

[2–0095-07] Art. 96. Con el propósito de promover la adopción y el desarrollo voluntario de actividades de responsabilidad social por parte del sistema financiero, asegurador y del mercado de valores, créase el programa de balance social como una herramienta de gestión empresarial que sirva para divulgar el impacto que dichas actividades tienen en la población colombiana.

Para tal efecto, el Gobierno Nacional en un plazo máximo de seis (6) meses a partir de la sanción de la presente ley, definirá la manera como las entidades antes señaladas cumplirán con el deber de informar, al menos una vez al año, los distintos programas que de acuerdo con sus políticas de gobierno corporativo tengan implementados en Colombia para atender a los sectores menos favorecidos.

ENTIDADES OBLIGADAS A DESARROLLAR PROGRAMA DE BALANCE SOCIAL

Decreto Único Financiero 2555 de 2010 (antes art. 1 Decreto 3341 de 2009)

[2–0095-08] Art. 2.36.8.1.1. Entidades obligadas: De conformidad con lo dispuesto en el articulo 96 de la Ley 1328 de 2009, las entidades que pertenecen al sistema financiero, asegurador y al mercado de valores, deberán informar al público en general los distintos programas que, de acuerdo con sus políticas de gobierno corporativo, tengan implementados para atender a los sectores menos favorecidos del país.
Para divulgar la Información, las entidades mencionadas podrán asociarse entre ellas o realizar esta labor por medio de sus asociaciones o agremiaciones, bajo la exclusiva responsabilidad de cada entidad.

CONDICIONES DE DIVULGACIÓN

 Decreto Único Financiero 2555 de 2010 (antes art. 2 Decreto 3341 de 2009)

[2–0095-09] Art. 2.36.8.1.2.Condiciones de divulgación: La divulgación de la información a que se refiere el presente decreto deberá hacerse:

  1. Por lo menos una vez al año.
  2. Dentro del primer trimestre de cada año.
  3. En forma clara, completa y de fácil comprensión para el público en general.
  4. A través de los medios de mayor cobertura y fácil acceso al público con que cuente la entidad, asociación de entidades o agremiación.

La información deberá corresponder a los programas que se hayan adelantado durante el año calendario inmediatamente anterior a la fecha en que se lleve a cabo la divulgación, y/o a los que se estén adelantando en esa misma fecha en desarrollo y continuación de aquellos.

CONTENIDO DE LA INFORMACIÓN

 Decreto Único Financiero 2555 de 2010 (antes art. 3 Decreto 3341 de 2009)

[2–0095-10] Art. 2.36.8.1.3. Contenido de la Información: La información divulgada deberá contener al menos los siguientes puntos:

  1. Descripción de(l) (los) programa(s) social(es) implementado(s) por la entidad o entidades asociadas, y nombre de(l) (los) mismo(s) si lo tuviere.
  2. Breve descripción de las actividades desarrolladas, con indicación de los sectores beneficiados.
  3. Fecha de realización de las actividades del programa.
  4. Período que comprende la información.
RÉGIMEN TRANSITORIO

 Decreto 3341 de 2009

[2–0095-11] Art. 4. Transitorio. La primera divulgación de la información a que se refiere el presente Decreto deberá realizarse en el año 2010, con base en la información correspondiente al año 2009, teniendo en cuenta lo previsto en el último inciso del artículo 2° del presente Decreto.

Nota de Fasecolda: Este Artículo no se incluyó en el Decreto único Financiero 2555 de 2010.