CIRCULAR EXTERNA 52 DE 1998 

(Julio 13)

Ref.: Control interno. Circular Externa 007 de 1996.

El artículo 23 de la Ley 222 de 1995 en concordancia con el numeral 3 del artículo 73 del estatuto orgánico del sistema financiero dispone que le corresponde a los administradores de las entidades vigiladas realizar su gestión con la diligencia propia de un buen hombre de negocios. En tal sentido, le corresponde a las juntas o consejos directivos en su calidad de administradores, definir las políticas y diseñar los procedimientos de control interno que deban implementarse, así como ordenar y vigilar porque los mismos se ajusten a las necesidades de la entidad, permitiéndole realizar adecuadamente su objeto social y alcanzar sus objetivos.

En razón a lo anterior, este despacho considera necesario establecer algunos parámetros generales y fijar el criterio de este organismo respecto de los requisitos mínimos que deben contener los sistemas de control interno de las vigiladas.

En consecuencia, con el presente instructivo se reemplaza el actual numeral 7 del capítulo noveno, título I de la Circular Externa 007 de 1996 (Circular básica jurídica) incorporando su contenido en el subnumeral 7.7 del mismo, para lo cual se reemplazan las páginas 55-6 y 55-7 y se incorporan las páginas 55-8, 55-9. 55-10, y 55-11, las cuales se anexan.

La presente circular rige a partir de la fecha de su publicación.

6.9.3. Reporte de transacciones sospechosas a la fiscalía.

El reporte de las transacciones sospechosas detectadas en cada mes calendario, debe ser entregado a la Fiscalía General de la Nación dentro del mes calendario siguiente en un informe consolidado.

En el evento de que una entidad vigilada no detecte operaciones sospechosas deberá informarlo a la Fiscalía en el mismo plazo.

Los mecanismos de control implementados por la entidad deberán permitirle detectar las operaciones inusuales a más tardar dentro de los quince (15) días siguientes a su ocurrencia.

6.9.4. Informes sobre actualización de manuales de procedimiento.

Todas las entidades deberán enviar a más tardar dos meses después de la entrada en vigencia de la presente circular, a la unidad especializada para la prevención de lavado de activos, una carta en la que se informe sobre el número del acta de la junta directiva en la que se haya aprobado la actualización de los manuales de acuerdo a lo dispuesto en la presente circular.

Las entidades que se creen después de entrada en vigencia esta circular, deberán informar a más tardar un mes después de iniciar operaciones, el número del acta de junta directiva en la cual se haya adoptado el manual de procedimientos.

La información sobre posteriores actualizaciones de esos manuales deben hacerse llegar a la superintendencia dentro de los cinco (5) días siguientes a su adopción.

Los manuales deben permanecer en cada entidad a disposición de esta superintendencia.

6.10. Práctica insegura.

La Superintendencia Bancaria podrá calificar como práctica insegura la realización de operaciones con entidades financieras, nacionales o extranjeras, que no se protejan adecuadamente contra el lavado de activos.

7. Control interno.

7.1. Aspectos generales.

El artículo 23 de la Ley 222 de 1995 en concordancia con el numeral 3º del artículo 73 del estatuto orgánico del sistema financiero dispone que le corresponde a los administradores de las entidades vigiladas realizar su gestión con la diligencia propia de un buen hombre de negocios. En tal sentido, le corresponde a las juntas o consejos directivos en su calidad de administradores, definir las políticas y diseñar los procedimientos de control interno que deban implementarse, así como ordenar y vigilar porque los mismos se ajusten a las necesidades de la entidad, permitiéndole realizar adecuadamente su objeto social y alcanzar sus objetivos.

De otra parte, le corresponde a los gestores de la entidad y demás funcionarios de la misma, la implementación y el fiel cumplimiento de las medidas y procedimientos de control interno adoptados, de forma tal, que le permita a la entidad negociar competitivamente en ambientes económicos cambiantes y ajustarse a las necesidades del mercado y de sus clientes. En otras palabras, dichos controles deben promover la eficiencia de las entidades, de manera que se reduzcan los riesgos de pérdidas de activos operacionales y financieros y se propicie la preparación y difusión de estados financieros confiables, así como el cumplimiento de las disposiciones legales vigentes.

Con todo, es de advertir, que tales medidas se ven complementadas con la labor del revisor fiscal quien de conformidad con el artículo 209 del código de comercio debe informar a la asamblea general de accionistas su opinión acerca de la calidad del sistema de control interno.

Por lo anterior, la Superintendencia Bancaria estima necesario que las entidades vigiladas estructuren, implementen y mantengan un sistema de control interno adecuado que contribuya al logro de sus objetivos y a que se administren adecuadamente los riesgos a que se ven expuestas en el desarrollo de su actividad.

En consecuencia, a continuación se establecen algunos de los parámetros generales y se fija el criterio de este organismo respecto de los requisitos mínimos que deben contener los sistemas de control interno de las vigiladas, a saber:

7.2. Concepto de control interno.

El control interno se define como un proceso realizado por la junta directiva, los administradores y demás personal de una entidad, diseñado para proporcionar seguridad razonable en la búsqueda del cumplimiento de los objetivos en las siguientes categorías que si bien son distintas entre sí, se encuentran íntimamente relacionadas.

— Efectividad y eficiencia de las operaciones, esto es el cumplimiento de los objetivos básicos de la entidad, salvaguardando los recursos de la misma; es decir, los activos de la empresa y los bienes de terceros que se encuentran en poder de la entidad.

— Suficiencia y confiabilidad de la información financiera, así como de la preparación de todos los estados financieros.

— Cumplimiento de la regulación aplicable, categoría que se refiere al cumplimiento de las leyes, estatutos, reglamentos o instrucciones a que está sujeta la entidad.

En desarrollo de lo expuesto, cada entidad deberá definir las estrategias de control que aplicará para conseguir tales objetivos, los cuales pueden pensarse como un todo para la entidad o específicos para las diferentes actividades desarrolladas al interior de la misma.

7.3. Responsabilidad.

Sin perjuicio de la responsabilidad atribuible a las juntas directivas en la definición de políticas y en la ordenación del diseño de la estructura del sistema de control interno, los que deberán ser motivados, constar por escrito y divulgarse a nivel directivo de la organización, es pertinente resaltar el deber que les corresponde a todos y cada uno de los funcionarios dentro de la organización, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deberán procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujeto a los límites por ella establecidos. Adicionalmente, existen colaboradores que sin hacer parte del proceso de control interno contribuyen al cumplimiento de los objetivos de la organización como son, entre otros, los auditores externos e internos, los revisores fiscales, etc., a quienes la administración deberá permitir la adecuada realización de sus funciones.

7.4. Efectividad del control interno.

Ahora bien, un proceso de control interno se considera efectivo cuando proporcione a la administración una seguridad razonable sobre los siguientes aspectos:

— La extensión en la cual se están consiguiendo los objetivos de las operaciones de la entidad.

— La confiabilidad en la preparación de la información financiera y contable.

— El cumplimiento de las leyes y regulaciones aplicables.

— Los procedimientos operativos diseñados.

7.5. Componentes del control interno.

En toda organización deberán implementarse como mínimo los siguientes elementos que componen un sistema de control interno. Así las cosas, en la definición de las políticas y el diseño de los procedimientos, las entidades vigiladas deberán aplicar los siguientes parámetros:

7.5.1. El entorno de control. La estructura general de control interno.

El diseño de un sistema de control interno, exige, en primera instancia, la elaboración y adopción formal de unos códigos éticos y reglas de conducta que generen conciencia y cultura del control interno entre los funcionarios de la organización. Puede decirse que este entorno constituye la base del control interno y será el objetivo hacia el cual las administraciones de las vigiladas deberán dirigir gran parte de sus esfuerzos.

Este primer entorno sirve como fundamento para los demás componentes del control, pues busca proporcionar la disciplina y estructura necesaria para la valoración de riesgos en aras de la consecución de los objetivos específicos trazados por la entidad.

En términos generales, este entorno busca que la entidad cuente con una estructura general de control interno, para lo cual deberán establecerse no solo unos principios y reglas de conducta que definan la orientación del proceso mismo sino que se deberán establecer los elementos humanos y las políticas de entrenamiento y permanente actualización frente a las estrategias y a la forma de desarrollar adecuadamente esos procesos; se busca en conclusión que la organización desarrolle y solidifique una cultura de autocontrol.

De esta forma, se logra implementar las actividades de control y modificarlas cuando las condiciones lo justifiquen, así como capturar y comunicar la información relevante a través de la organización. Este entorno está compuesto por los siguientes aspectos:

Principios generales

Las entidades vigiladas deben adoptar unas pautas de comportamiento que de manera expresa señalen la política y las directrices de la entidad en materia de control interno.

Estos principios deberán ser difundidos a todos los niveles de la entidad y actualizarse en forma periódica, con el fin de que constantemente reflejen la orientación institucional del proceso de control interno en general. Para tal efecto deberán realizarse evaluaciones que le permitan a la administración determinar la eficacia de esos principios.

Los objetivos de las entidades y la forma como se logran, están basados en preferencias, juicios de valor y estilos administrativos. Tales preferencias y juicios de valor trasladados a estándares de conducta reflejan la integridad y rectitud de los administradores y demás personal y su compromiso con los valores éticos. En efecto, un ambiente ético dentro de las entidades permite un desarrollo efectivo de las políticas de las mismas y de sus sistemas de control.

Códigos de conducta

Las entidades vigiladas deben adoptar por escrito y mantener códigos de conducta que incluyan aspectos como los siguientes:

— Cumplimiento de las leyes, los estatutos, las instrucciones y demás legislación del país.

— Situaciones generadoras de conflictos de interés.

— Actuaciones prohibidas al personal.

— Manejo de la información privilegiada.

— Relaciones con los clientes.

— Relaciones con proveedores.

— Conductas relacionadas con limitación de regalos y atenciones recibidas.

— Dedicación al trabajo.

Ahora bien, como quiera que dichos códigos pueden vulnerarse, es importante que las entidades establezcan las medidas administrativas y las sanciones correspondientes en caso de incumplimiento, sin perjuicio de la responsabilidad civil o penal a que pueda haber lugar.

Competencia profesional

Las entidades vigiladas deben contar con recursos humanos calificados y eficientes; toda vez que ello permite la implementación adecuada y el arraigo del proceso de control, así como el cumplimiento de los objetivos de la organización.

Administración

Son los órganos de dirección los que realizan la gestión de administración propiamente dicha y es en esas instancias donde se debe verificar la suficiencia de los elementos antes mencionados, con el objeto de determinar si los mismos responden a la política de la entidad y se respetan los controles y normas establecidas.

Comités de auditoría

Es un órgano de apoyo a la gestión que realiza la junta directiva respecto de la implementación y supervisión del control interno de la entidad. Por lo tanto, deberá servirle de soporte en la toma de decisiones atinentes al control y al mejoramiento del mismo (ver num. 7.7.).

7.5.2. Medición, evaluación y limitación de riesgos.

El segundo elemento de un sistema de control interno lo constituye la identificación y medición de los riesgos.

Una vez establecido el entorno de control, las entidades vigiladas deben implementar un mecanismo y elaborar una matriz que les permita identificar y medir los riesgos a que se ven expuestas en el desarrollo de su actividad profesional, pues sólo con unos procedimientos claros de medición de riesgos se podrá tener una adecuada administración de los mismos. En consecuencia, en toda entidad, es indispensable el establecimiento de objetivos tanto globales de la organización como de actividades relevantes, obteniendo con ello una base sobre la cual sean identificados y analizados los factores que amenazan su propio cumplimiento.

Con el propósito de cumplir ese objetivo, los riesgos deben ser tipificados y para tal efecto, deberán elaborarse manuales donde se fijen límites claros y precisos, establecerse procedimientos e instituirse comités de riesgos, cuando a ello haya lugar y así procurar que se lleve a cabo un control independiente de auditoría interna y garantizar un control externo.

En la evaluación de los riesgos es necesario que las entidades definan unos objetivos y unos límites, de forma que el trabajo de las entidades se oriente al logro de los mismos bajo criterios de prudencia. Igualmente, dado que las condiciones económicas, financieras, regulatorias y operativas son cambiantes, es importante que las entidades implementen mecanismos que además sirvan para identificar y tratar con los riesgos especiales asociados con el cambio. En tal sentido, la administración también deberá establecer parámetros para medir esos riesgos especiales y prevenir su posible ocurrencia a través de mecanismos de control e información. Cabe recordar que un riesgo no tipificado ni medido es un problema de control interno.

Las categorías de objetivos son los siguientes:

— De cumplimiento: se refiere al cumplimiento de la ley en general, así como a los estatutos y reglamentos expedidos por la administración.

— De operación: se refiere a la efectividad de las operaciones de la entidad.

— De información financiera y contable: se encuentra relacionado con el hecho de que la información que se obtenga, así como la difundida sea útil y confiable.

— Manejo del cambio.

Los ambientes económicos y de legislación mantienen una dinámica constante al cambio. Es así que, el control interno bajo unas condiciones no necesariamente tiene que ser efectivo en otras. Así las cosas, es importante que las entidades para la valoración de riesgos implementen un proceso para identificar las condiciones cambiantes y tomar los correctivos y decisiones a que haya lugar con el fin de que la entidad pueda alcanzar los objetivos trazados. Para el efecto, las entidades deberán implantar sistemas ágiles de información que capturen e identifiquen de manera clara las condiciones cambiantes que afecten los objetivos de la entidad, así como el análisis de las oportunidades asociadas a los riesgos.

No obstante lo anterior, existen unas circunstancias que demandan una atención extraordinaria por parte de la administración. Tales condiciones son:

— Cambios en el ambiente de operación.

— Personal nuevo.

— Sistemas nuevos o reconstruidos.

— Tecnología nueva.

— Línea, productos y actividades nuevas.

— Reestructuración corporativa.

— Operaciones en el exterior.

Por lo tanto, las entidades deberán implementar mecanismos que permitan a la entidad identificar los cambios que se deban realizar o que ocurrirán. Para el efecto dichos mecanismos deberán tener una mirada progresista que le permita a la administración anticipar y planear los cambios significativos, a los riesgos nuevos y a sus efectos.

7.5.3. Control de actividades.

Bajo este criterio, las distintas instancias y el control interno propiamente dicho de las entidades vigiladas deben ser efectivos y eficientes. Esto se refiere básicamente al cumplimiento de las actividades diarias asignadas, expresadas en las políticas y procedimientos establecidos por la entidad.

Lo anterior conlleva a que las administraciones tomen las acciones necesarias para abordar los riesgos que implican no sólo la forma “correcta” de hacer las cosas sino el abordar las tareas hacia el logro de los objetivos de la entidad. De ahí que es indispensable que las entidades implementen la ejecución de las políticas a través de toda la organización, en todos los niveles y en todas las funciones e incluye el establecimiento de unos procedimientos obligatorios para todas las actividades, tales como aprobaciones, autorizaciones, verificaciones, revisiones, etc. ...

Este control tiene distintas características, pueden ser manuales o computarizadas, administrativas u operacionales, generales o específicas, preventivas o detectivas. Sin embargo, todas ellas deben tener como principal objetivo la determinación y prevención de los riesgos (potenciales o reales), en beneficio de la entidad.

7.5.4. Monitoreo.

Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organización, hasta lograr el control de su marcha integral. En tal sentido, es importante que se establezcan controles automáticos o “alarmas” tanto en los sistemas computacionales como en los manuales, de manera que permanentemente se valore la calidad y el desempeño del sistema en el tiempo, pues ello equivale a una actividad de supervisión y administración. Para ello, dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones.

La evaluación a veces toma la forma de autoevaluación, en la que el personal responsable de una sección o dependencia determina la efectividad y razonabilidad de los controles para sus actividades. Dicha valoración a su vez será evaluada en su conjunto con las de las demás secciones por parte de la administración.

Adicionalmente, los auditores internos realizan evaluaciones del control interno y efectúan recomendaciones para su mejoramiento como parte de sus obligaciones. En este orden de ideas, dicho monitoreo debe cubrir el examen, la evaluación adecuada y la efectividad del control interno de la entidad y la calidad y cumplimiento en el desempeño en la realización de las responsabilidades asignadas.

7.5.5. Entorno de información y comunicación.

La información operacional, financiera, jurídica y de cumplimiento que hace posible conducir y controlar la organización debe difundirse ampliamente hacia todas las áreas de la entidad, sin perjuicio de aquella que sea de carácter confidencial y reservada. No obstante, esa difusión debe dirigirse a todos los niveles, hacia y desde todos los entes, que tengan interés o se relacionen con la información correspondiente.

Para ello se debe contar con los medios necesarios para identificarla, procesarla y comunicarla, los cuales a su vez deben ser objeto de permanente monitoreo por parte de la administración, a fin de que la información se dé a conocer en forma adecuada y oportuna, de manera que le permita al personal afectado cumplir con sus responsabilidades.

La comunicación debe darse:

— Hacia y desde las áreas de la entidad.

— Hacia y desde los clientes.

— Hacia y desde los auditores internos.

— Hacia y desde los revisores fiscales o auditores externos si los hay.

— Hacia y desde los órganos de vigilancia.

Ahora bien, es importante que la información que se proporcione a entidades externas a la organización relativa a clientes, proveedores, contratistas etc. ..., se realice con base en acuerdos o convenios legalmente establecidos y permitidos, de forma que no se vulnere la denominada información confidencial.

7.6. Cambios en el entorno.

Para el efectivo cumplimiento de los parámetros aquí señalados las entidades deberán comunicar a la Superintendencia Bancaria, a los revisores fiscales y a los comités de auditoría las circunstancias externas e internas, de riesgos sectoriales o de negocio, que puedan afectar la estructura y ejecución de las políticas de la entidad.

7.7. Comités de auditoría.

7.7.1. Aspectos generales.

Para el adecuado cumplimiento de la labor que le corresponde a las juntas o consejos directivos de las entidades vigiladas en la definición de las políticas y en la ordenación del diseño de los procedimientos de control interno, así como en la supervisión de la operación de dichos sistemas, se deben conformar comités de auditoría dependientes de ese órgano colegiado, los cuales desarrollarán las tareas que se señalan en el presente numeral.

Con todo, es de advertir que los comités de auditoría en momento alguno sustituyen la responsabilidad que le corresponde a la junta o consejo directivo y a la administración sobre la supervisión e implementación del control interno de la entidad y en tal sentido, su responsabilidad quedará limitada a servir de apoyo al órgano directivo en la toma de decisiones atinentes al control y mejoramiento de aquel.

7.7.2. Funciones del comité.

El comité de auditoría tendrá como funciones primordiales las siguientes:

• Supervisar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la entidad y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas.

• Supervisar las funciones y actividades de la auditoría interna y/o contraloría, con el objeto de determinar su independencia en relación con las actividades que auditan y verifican que el alcance de sus labores satisfacen las necesidades de control de la entidad.

• Velar por la transparencia de la información financiera que prepara la entidad y su apropiada revelación. Para ello, deberá vigilar que existen los controles necesarios y los instrumentos adecuados para verificar que los estados financieros revelan la situación de la empresa y el valor de sus activos.

• Velar por que existan los controles necesarios para evitar que la entidad sea utilizada como instrumento para la realización de actividades delictivas, en especial para el lavado de activos, revisando para tal efecto los informes que el oficial de cumplimento debe presentar a la junta directiva.

• Evaluar los informes de control interno practicados por los auditores internos y/o contraloría y los revisores fiscales, verificando que la administración haya atendido sus sugerencias y recomendaciones.

• Confirmar o reprobar el concepto de la revisoría fiscal frente al informe de suficiencia y adecuación de las medidas de control interno de la entidad, que debe presentar a la asamblea o junta de socios, de conformidad con el artículo 209 del Código de Comercio.

• Solicitar los informes que considere convenientes para el adecuado desarrollo de sus funciones.

• Las demás que le fije la junta directiva, en su reglamento interno.

Para el adecuado cumplimiento de sus funciones el comité de auditoría deberá conocer y/o evaluar cuando menos el siguiente material documental:

• El borrador de los estados financieros de la entidad

• El dictamen de los estados financieros emitido por los revisores fiscales.

• Los informes de control interno emitidos por los revisores fiscales y/o las cartas de recomendaciones u observaciones emitidas por los mismos.

• El plan de auditoría del auditor interno y/o de contraloría y de los revisores fiscales.

• Los oficios de observaciones que remita la Superintendencia Bancaria a la entidad como consecuencia de deficiencias detectadas en el sistema de control interno.

• Las actas donde conste la evaluación periódica de la cartera de créditos de la entidad.

7.7.3. Conformación del comité.

El comité deberá estar conformado por tres (3) miembros de la junta o consejo directivo, quienes además podrán designar personas independientes a la administración de la entidad para apoyar la labor del comité.

A las reuniones del comité pueden ser citados, con la frecuencia necesaria y con el fin de suministrar las explicaciones pertinentes acerca de asuntos de control interno, el presidente o gerente de la entidad, el vicepresidente financiero o quien detente el cargo equivalente, el auditor interno o contralor, el revisor fiscal, así como cualquier otro funcionario que el comité considere conveniente.

Con todo, las personas mencionadas en el párrafo anterior deberán ser citadas cuando éste órgano se reúna para conocer y/o evaluar los documentos a que hace referencia la parte final del numeral 7.3, capítulo noveno, título I de la presente circular, siempre que dentro de sus miembros no exista un especialista o una persona plenamente conocedora de los asuntos a tratar.

Los miembros de la junta directiva elegidos para conformar el comité de auditoría permanecerán en sus funciones por un período mínimo de un (1) año. No obstante, se deberá procurar que los períodos de permanencia no sean coincidentes, de forma tal que el comité siempre pueda contar con un miembro experimentado en las funciones del mismo.

7.7.4. Reglamento interno.

Las juntas o consejos directivos de las entidades vigiladas deberán adoptar un reglamento de funcionamiento de los comités, incluyendo para el efecto además de las funciones consagradas en el presente instructivo, todas aquellas que en su criterio sean propias de la institución y se adapten a sus necesidades. Dichos reglamentos deberán mantenerse a disposición de la Superintendencia Bancaria, cuando lo solicite.

7.7.5. Periodicidad de las reuniones.

El comité se reunirá de conformidad con lo establecido en su reglamento o tantas veces estime necesario frente a circunstancias tales como revelación de deficiencias en el sistema de control interno que requieran una evaluación y correctivos urgentes, cambios significativos en las políticas de la entidad o en la normatividad que regula las operaciones de la misma, etc. En todo caso, la periodicidad de las reuniones no podrá ser inferior a 3 veces al año.

7.7.6. Informes sobre las tareas desarrolladas y las conclusiones alcanzadas por el comité.

Las observaciones que presente el comité y los informes que se produzcan deberán quedar consignados en actas que serán presentadas ante la junta directiva. Cuando se detecten situaciones que revistan importancia significativa se deberá remitir un informe especial a la administración de la entidad.

La junta directiva deberá presentar a la asamblea general de accionistas o asociados, al cierre del ejercicio económico, un informe sobre las labores desarrolladas por el comité.

N. del D.: Esta circular externa va dirigida a los miembros de las juntas directivas, representantes legales y revisores fiscales de las entidades vigiladas.

_______________________________