CIRCULAR EXTERNA 14 DE MAYO 19 DE 2009

 

CIRCULAR EXTERNA 14 DE 2009 

(Mayo 19)

Ref.: Instrucciones relativas a la revisión y adecuación del sistema de control interno (SCI).

Esta superintendencia, en uso de sus facultades legales, en especial de la consagrada en el numeral 9º del artículo 11 del Decreto 4327 de 2005, dada la importancia que deben otorgar las entidades supervisadas al fortalecimiento de los sistemas de control interno y a la evaluación continua de su eficiencia, estima necesario que ellas estructuren, implementen y mantengan un sistema de control interno (en adelante SCI) o lo adecuen, según el caso, a los lineamientos establecidos en la presente circular, de tal manera que dicho sistema contribuya al logro de sus objetivos y fortalezca la apropiada administración de los riesgos a los cuales se ven expuestas en el desarrollo de su actividad, realizándolas en condiciones de seguridad, transparencia y eficiencia.

Las reglas, parámetros generales y requisitos mínimos aquí contemplados, deben ser ajustados o implementados por las entidades supervisadas (entendiendo por tales las sometidas a la vigilancia o control de esta superintendencia de conformidad con lo señalado en D. 4327/2005, arts. 72 y 73), de acuerdo con el tamaño de la respectiva organización, la naturaleza de sus actividades y la complejidad de sus operaciones, teniendo en cuenta la relación beneficio/costo. Los administradores de la respectiva entidad deberán analizar y verificar este punto teniendo en cuenta su conocimiento de la misma, del sector económico al cual pertenece y de los riesgos que enfrenta, sin que en ningún caso el costo de las medidas adoptadas exceda el beneficio que de ellas se deriven.

De acuerdo con lo anterior, a través de la presente circular se establece un marco conceptual y normativo para el SCI como elemento fundamental del gobierno corporativo de las entidades supervisadas basado en modelos ampliamente aceptados a nivel internacional (1) que contemplan en detalle la noción, contenido y alcance del sistema de control interno, con los siguientes objetivos:

• Mejorar la eficiencia y eficacia en las operaciones de las entidades supervisadas.

• Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones.

• Orientar a los administradores de las entidades supervisadas en el cumplimiento de los deberes que les corresponde según la normatividad vigente, precisando el alcance de la responsabilidad en materia de control interno de los distintos órganos sociales.

• Fomentar tanto la autorregulación como el autocontrol, dado que sin perjuicio de la responsabilidad que corresponde a los administradores, todos los integrantes de la organización deben evaluar y controlar su propio trabajo.

Las entidades supervisadas que pertenezcan al sector público y estén obligadas a la adopción del Modelo Estándar de Control Interno-MECI según lo establecido en el Decreto 1599 de 2005 y sus reglamentos, deberán complementar dicho modelo con los aspectos incluidos en la presente circular que no se prevean dentro del MECI.

Toda vez que la Superintendencia Financiera de Colombia es consciente de que se requiere un plazo prudencial para la implementación y/o adecuación del SCI por parte de las entidades supervisadas, la evolución de la cultura organizacional y demás ajustes prácticos inherentes a dicho proceso, y en especial considerando que un sistema eficiente de control interno resulta fundamental para la operación prudente de una organización, se establece el siguiente cronograma:

1. Implementación o ajuste de los elementos mínimos para crear un adecuado ambiente de control de conformidad con los requisitos establecidos en el numeral 7.5.1 del anexo a la presente circular y sus subdivisiones, a más tardar el 30 de septiembre de 2009.

2. Implementación o ajuste de los sistemas de información y comunicación en forma tal que se tenga un grado de seguridad razonable respecto a la exactitud, validez y oportunidad de la información generada por la entidad, de conformidad con los requisitos establecidos en el numeral 7.5.4 del anexo a la presente circular y sus subdivisiones, a más tardar el 31 de diciembre de 2009.

3. Implementación o ajuste del sistema de gestión de riesgos de conformidad con los requisitos establecidos en el numeral 7.5.2 del anexo a la presente circular, a más tardar el 31 de marzo de 2010.

4. Adecuación de la composición y funcionamiento de los órganos de administración y control a que se refiere la presente circular, a más tardar el 30 de abril de 2010.

5. Implementación o ajuste de las actividades de control de conformidad con los requisitos establecidos en el numeral 7.5.3 del anexo a la presente circular, a más tardar el 31 de mayo de 2010.

6. Implementación o ajuste de los controles que permitan a la alta dirección y a los responsables de cada área monitorear de manera permanente el desempeño del SCI y realizar las acciones de mejoramiento necesarias, de conformidad con los requisitos establecidos en el numeral 7.5.5 del anexo a la presente circular, a más tardar el 30 de junio de 2010.

7. Evaluación independiente respecto de la efectividad del SCI de conformidad con lo señalado en el numeral 7.5.6 del anexo de la presente circular, a más tardar el 31 de agosto de 2010.

La culminación de la implementación del SCI, dentro de los plazos antes mencionados, deberá abarcar todas las áreas de la organización, incluyendo entre otras las mencionadas en el numeral 7.6 del anexo a la presente circular.

La responsabilidad de los administradores sociales y demás órganos señalados en el numeral 7.7 del mencionado anexo es permanente, de acuerdo con los deberes y responsabilidades que les asigna la normatividad vigente.

Para efectos de hacer seguimiento al cumplimiento del cronograma antes mencionado, el presidente de la junta directiva u órgano equivalente y el representante legal de cada entidad supervisada deberán enviar a esta Superintendencia, dentro de los diez (10) días hábiles siguientes al vencimiento de cada uno de los siete plazos antes señalados, una certificación acerca del cumplimiento de la meta respectiva, previa verificación de los documentos y demás elementos que soporten dicha afirmación.

Los mencionados plazos no afectan los establecidos para efectos de la implementación de los sistemas especiales de gestión de riesgos específicos exigidos por esta entidad en la Circular Básica Jurídica y en la Circular Básica Financiera y Contable (incluyendo entre otras las normas sobre gestión de riesgos de mercado-SARM, riesgo de crédito-SARC, riesgo operativo-SARO, riesgo de liquidez-SARL, riesgo de lavado de activos y de la financiación del terrorismo-Sarlaft y riesgo de garantías SARG), los cuales continuarán rigiéndose por los plazos y condiciones establecidos de manera específica para cada uno de ellos.

En cuanto a los requerimientos mínimos de seguridad y calidad que deben atender las entidades vigiladas para el manejo de la información a través de los diferentes medios y canales utilizados para la distribución de los productos y servicios que ofrecen a sus clientes y usuarios, estos deberán cumplirse dentro de los plazos señalados en la Circular Externa 52 de 2007 y demás normas que la modifiquen.

La presente circular rige a partir de la fecha de su publicación, modifica el numeral 7º del capítulo IX título primero-Control Interno de la Circular Básica Jurídica y deroga el parágrafo de la Circular Externa 10 de 2007 expedida por la Superintendencia Financiera de Colombia, así como las demás disposiciones que le resulten contrarias.

N. del D.: La presente circular externa va dirigida a miembros de junta directiva, representantes legales, revisores fiscales, auditores internos y contralores normativos de las entidades supervisadas por la Superintendencia Financiera de Colombia.

NOTA: Los anexos que hacen parte integral de la presente circular externa pueden ser consultados en la Superintendencia Financiera de Colombia.

(1) COSO Integrado (Committe Sponsoring Organization of the Treadway Commission Committee of Sponsoring Organizations of the Treadway Commission and Enterprise Risk Management-Integrated Framework), SOX (Sarbanes-Oxley Act of 2002, Section 404), Basilea (“Framework for Internal Control Systems in Banking Organisations” e “International Convergence of Capital Measurement and Capital Standards”, emitidos por el Basle Committee on Banking Supervision) , COBIT (Control Objectives for Information and related Technology ) y los estándares del Instituto de Auditores Internos “IIA”.

_____________________________________