Nuevo enfoque internacional del sistema de control interno colombiano como elemento de gobierno corporativo

Revista Nº 39 Jul.-Sep. 2009

Elizabeth Prada Mancilla 

(Colombia) 

Abogada, Universidad de los Andes 

MBA y maestría en Análisis Financiero, Universidad Carlos III de Madrid 

Consultora en gobierno corporativo para empresas del sector financiero y bursátil 

Introducción

Los últimos veinte años están llenos de crisis financieras y quiebras corporativas con altos costos económicos, reputacionales y sociales. No obstante, la pérdida de credibilidad de las compañías es el principal factor de preocupación por parte de las entidades de control, lo que ha generado una serie de iniciativas internacionales que procuran restablecer la confianza en el mercado y en los grupos de interés vinculados a las empresas.

Lo anterior ha llevado a proponer la creación de prácticas corporativas de control interno, riesgos y gobierno corporativo, a través de la adopción de medidas reguladas por los entes de control y prácticas basadas en la autorregulación, que tienen por finalidad buscar empresas cada vez más sólidas, sostenibles, competitivas, confiables, éticas y transparentes.

En la concepción original el gobierno corporativo buscaba establecer principios, políticas y lineamientos de los órganos de dirección y administración, buscando proteger principalmente los derechos de los accionistas, concepción que ha sido ampliada y, en la actualidad, además de los órganos de dirección y administración, se incluyen los órganos de supervisión buscando proteger a todos los grupos de interés de la sociedad.

Una empresa que haga parte de cualquier sector económico colombiano no es ajena a una crisis y/o a una pérdida de credibilidad y reputación, por ello la importancia de contar con un conjunto de políticas y lineamientos de gobierno corporativo que abarquen sus órganos de gobierno, basados, por una parte, en el cumplimiento de las normas legales vigentes que lo regulan y, por otra, en la implementación de medidas de autorregulación que permiten asegurar la sostenibilidad en el largo plazo de la compañía.

Como complemento a un buen sistema de gobierno corporativo, una compañía debe contar con un adecuado sistema de control interno, elemento importante que busca entre otros aspectos prevenir o detectar errores, omisiones e irregularidades, medir la eficacia, eficiencia y productividad de la organización, hacer confiables los registros y resultados de la contabilidad e información financiera, controlar la ocurrencia de eventuales fraudes en las diferentes instancias de la compañía y dar cumplimiento a las normas que son aplicables a las sociedades buscando en todo momento con su adopción la creación de valor para la compañía.

Con fundamento en esta filosofía la Superintendencia Financiera de Colombia expidió la Circular 14 de mayo 19 de 2009, recogiendo la regulación existente sobre control interno en Colombia y estableciendo las reglas, parámetros generales y requerimientos mínimos para la creación o ajuste de los sistemas de control interno de todas las entidades supervisadas por esta entidad(1).

La finalidad de esta circular es establecer un marco conceptual y normativo para el sistema de control interno como elemento fundamental del gobierno corporativo de las entidades supervisadas por la Superfinanciera, y, para tal fin, se basa en los modelos internacionales que han venido desarrollando la noción, contenido y alcance del sistema de control interno. Es por ello que en el nuevo enfoque de la Circular 14 de la Superfinanciera, el sistema de control interno es parte del sistema de gobierno corporativo y no son sistemas separados como inicialmente se había concebido cada uno.

De acuerdo con lo anterior, el objeto del presente estudio es contextualizar, identificar y explicar las características y elementos del nuevo enfoque del sistema de control interno (SCI) dado por la Superfinanciera bajo una óptica de gobierno corporativo.

Para tal fin, se hará una breve reseña de los sistemas o modelos de control interno que existen internacionalmente y las normas de gobierno corporativo que fueron tomados como referencia y que se incluyeron parcialmente en la Circular 14. Así mismo, se dará una breve ubicación de los antecedentes del control interno en Colombia, se explicará el alcance de la norma en cuanto a quienes es aplicable, se analizará el nuevo deber de certificación, se identificarán los principios, elementos y componentes del nuevo enfoque SCI, así como los órganos de gobierno que tienen competencias especiales en el SCI.

1. Modelos de sistemas de control interno internacionales

La Superfinanciera señala en la Circular 14 de mayo 19 de 2009, de manera expresa que para la expedición de la regulación actual sobre el SCI tomó como referencia los modelos ampliamente aceptados a nivel internacional, mencionando en especial los siguientes:

• COSO Integrado (Committee of Sponsoring Organizations of the Treadway Commission and Enterprise Risk Management – Integrated Framework);

• SOX (Sarbanes-Oxley Act of 2002 Section 404);

• Basilea (Framework for Internal Control Systems in Banking Organisation e International Convergence of Capital Measurement and Capital Standards emitidos por Basle Committee on Banking Supervision);

• COBIT (Control Objectives for Information and Related Technology) y

• Los estándares del Instituto de Auditores Internos (IIA).

Para poder comprender este nuevo enfoque de control interno, se hará una breve referencia de los modelos internacionales sobre SCI que han sido mencionados y adoptados en el texto de la Circular 14 de 2009 y el alcance que en materia de gobierno corporativo han tenido los diferentes modelos a estudiar.

1.1. Modelo COSO I

En 1985, producto de la iniciativa privada en Estados Unidos, y con el fin de identificar los factores y causas que generaban la divulgación de información financiera deficiente y fraudulenta y hacer recomendaciones encaminadas a reducir la misma, nace la Comisión Treadway, que después de varias reuniones y luego de analizar los resultados de las auditorías, en 1987, solicitó llevar a cabo un estudio detallado que buscara desarrollar una definición sobre control interno e identificara los elementos y componentes del mismo.

Producto de diversos estudios, en 1992, se expidió el denominado “Marco Integrado del Control Interno” (Framework Internal Control Integrated), el cual desarrolla con mayor amplitud el enfoque moderno de control interno en el documento conocido como el Informe COSO (Committee of Sponsoring Organizations of the Treadway Commission).

De acuerdo con este modelo, el control interno es un proceso efectuado por la dirección, administración y el personal de una empresa con el fin de evaluar sus operaciones con unos estándares de seguridad razonables y su propósito es el cumplimiento de los objetivos definidos por la organización a través de la eficacia y eficiencia operacional, confiabilidad de la información financiera y el cumplimiento de políticas, leyes y normas que regulan su actividad, logrando con ello salvaguardar los intereses de los accionistas.

Teniendo en cuenta la anterior definición, es preciso mencionar que el control interno se empieza a concebir como un proceso, el cual debe ser parte de los demás procesos de la empresa.

El proceso de control interno establecido en COSO I posee cinco componentes que pueden ser implementados en todas las compañías de acuerdo con la realidad administrativa, operacional y el tamaño de la empresa, los componentes son: ambiente de control, valoración de riesgos, las actividades de control, información y comunicación y monitoreo o supervisión.

La Circular 14 de 2009, expedida por la Superfinanciera, recoge parte de los elementos establecidos en la definición planteada en COSO I en cuanto a que establece que el sistema de control interno está en cabeza de la junta directiva, la alta dirección y todos los funcionarios de la organización. No obstante, no se concibe el control interno como un proceso, sino como un sistema complementario al de riesgos y gobierno corporativo que contiene un conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación encaminados a obtener la seguridad razonable. El último elemento de seguridad razonable también se encuentra incluido en la definición de COSO I.

De igual manera, los elementos establecidos en COSO I son similares a los señalados en la Circular 14, sin embargo, el desarrollo y contenido de cada elemento contiene componentes adicionales que incorporan otros modelos de control interno, como es el caso de COSO II, COBIT y SOX, como se verá más adelante.

1.2. Ley Sarbanes-Oxley (SOX)

El modelo COSO I presenta cambios importantes en el año 2002, con la expedición de la Ley Sarbanes-Oxley, conocida también como SOX (por sus siglas en inglés, Sarbanes-Oxley Act) producto de los múltiples escándalos financieros, corrupción administrativa, conflictos de interés, negligencia y malas prácticas de algunos ejecutivos que aun teniendo prácticas de gobierno corporativo, fueron seducidos por el atractivo de ganar dinero a través de empresas y corporaciones, engañando a socios, inversionistas, empleados y demás grupos de interés, en algunas ocasiones alterando información financiera o extralimitándose en sus competencias.

La Ley Sarbanes-Oxley es una ley federal de Estados Unidos, que nace como respuesta a las crisis financieras y quiebras empresariales de algunas grandes corporaciones, entre las que se incluyen Enron, Tyco Internacional y WorldCom, entre otras.

Esta legislación establece estándares en materia de gobierno corporativo para los consejos de administración, el presidente y la alta dirección, los bancos de inversión y los analistas financieros. La norma señala nuevos lineamientos en cuanto a los mecanismos contables y financieros de todas las empresas que cotizan en bolsa en Estados Unidos, incluye un nuevo enfoque en materia de control interno a través de las exigencias de la sección 404 de la misma ley y señala nuevas exigencias y requerimientos por parte de la SEC (Securities and Exchange Commission).

El objetivo de esta norma era el establecimiento de una estructura de control integrada, tomando lo que se había establecido en el Informe COSO I y adicionando unos requerimientos en materia de gobierno corporativo y la sección 404 sobre control interno. La SOX tiene una filosofía basada en el fortalecimiento del sistema de gobierno corporativo de las empresas, la transparencia y ética de las organizaciones, incluyendo dentro de esta filosofía la estructuración, implementación y supervisión de los mecanismos de control interno y la responsabilidad de los directivos en el desarrollo e implementación de esta filosofía.

En materia de control interno la sección 404 de la SOX establece como principales aspectos:

• Implementación de un código de ética que contenga un conjunto de normas destinadas a promover un comportamiento ético en los empleados y la alta dirección, y la forma de enfrentar los conflictos de interés reales o potenciales entre las relaciones personales y las profesionales que se presenten.

• La creación de un comité de auditoría que contenga al menos un experto financiero, entendiendo por tal a toda persona que a través de la formación y de la experiencia como auditor, censor de cuentas, o director financiero, contralor, o director de contabilidad de una empresa o de una función similar, haya adquirido un conocimiento o tenga experiencia en el manejo de los principios de contabilidad generalmente aceptados, de los estados financieros, de la preparación de informes de auditoría o financieros, de controles de auditoría internos, y del funcionamiento de un comité de auditoría.

• El control interno deberá evaluar el estado actual de los controles de la organización en los procesos clave, asegurarse que el estado actual es adecuado en términos de fortaleza y documentación de los controles; contar con organismos o individuos independientes de los trabajos realizados que testifiquen la efectividad de los controles y corrijan las deficiencias donde sea necesario e informar los resultados obtenidos para preparar el informe y la certificación de la gerencia sobre la eficacia de los procedimientos de control interno, así como, proveer esos resultados a los auditores externos para la auditoría y certificación de esa declaración.

• Elaboración de un informe de control interno que se debe presentar en conjunto con el informe anual de los administradores donde se incluya de manera expresa la evaluación hecha por la administración y las conclusiones sobre la eficacia de los procedimientos de control interno con que cuenta la compañía, manifestación que será certificada por los auditores externos de la empresa quienes supervisarán la labor descrita por los directivos y la eficacia de los controles internos.

Este requerimiento nuevo constituye una de las principales novedades de la SOX, dado que exige, por un lado, a los directivos la obligación de establecer y mantener una adecuada estructura de control interno, y la evaluación anual de la efectividad del mismo, a través del informe que se realice y, por otro lado, la certificación por los auditores independientes y externos donde se diga en qué medida los directivos han cumplido con su obligación de desarrollo y evaluación. Es de precisar que los administradores a la hora de realizar su evaluación, deberán verificar que no existan deficiencias significativas en el proceso de control. Así mismo, no podrán certificarse los controles internos por parte de los auditores externos si existe una o más debilidades materiales sustantivas(2).

La sección 404 de la ley encuentra un complemento importante en la sección 302 de la misma norma, donde se incluye la obligación de certificar los informes financieros periódicos por parte del consejero ejecutivo principal (Chief Executive Officer, CEO) y el principal directivo financiero (Chief Financial Officer, CFO) dando fe de haber supervisado la elaboración de tales informes y que los mismos no se basan en informaciones falaces ni omiten datos relevantes para su elaboración e interpretación.

La ley SOX cambia el enfoque que se tenía del Informe COSO I, dado que inicialmente el mismo nace con una visión voluntaria para implementar las mejores prácticas en la materia, sin embargo, con el surgimiento de la SOX y la mayor clarificación provista por la SEC y el Public Company Accounting Oversight Board —PCAOB— en las directrices dadas, el Informe COSO I se ha establecido como el parámetro de comparación para determinar si se está dando cumplimiento con la ley o no.

Con posterioridad a la expedición de la SOX se llevaron a cabo diferentes reformas a los sistemas de control interno que se habían creado en los años noventa, originándose así los sistemas de control interno integrados o frameworks buscando consolidar la estructura conceptual de la organización y el control interno de la misma. Es así como nace el control interno como marco de referencia integrado (Internal Control Integrated Framework), que fue desarrollado por el Committee of Sponsoring Organizations of the Treadway Commission y ha sido considerado como el sistema de control interno a nivel global COSO I.

La Circular 14 de 19 de mayo de 2009, expedida por la Superfinanciera, adopta parcialmente los requerimientos establecidos en la SOX, en especial lo relacionado con las competencias y la conformación del comité de auditoría; la obligación para la junta directiva de realizar un informe que contenga el resultado de la evaluación del sistema de control interno de la compañía, este informe será parte del informe de gestión que realizan los administradores y se presentará en la asamblea de accionistas; se incorpora el deber de certificación de los estados financieros por parte del representante legal y la función certificadora del cumplimiento de los diferentes aspectos que exige la Circular 14, previa evaluación que se haga del SCI por parte de la junta directiva.

Así mismo, la Circular 14 incorpora de manera parcial obligaciones al comité de auditoría que eran parte de la SOX, tal es el caso de la realización de informes especializados encaminados a identificar situaciones que revistan importancia significativa y la obligación del representante legal de informar al comité de auditoría las deficiencias significativas encontradas en el diseño y operación de los controles internos. Igualmente, se contempla la creación del canal ético que a diferencia de la ley SOX no queda en cabeza del comité de auditoría, sino del representante legal.

En cuanto al manejo y divulgación de información financiera, la Circular 14 incluye un capítulo especializado para el control interno en la gestión contable, adoptando parte de los requerimientos planteados en la ley SOX y en especial la obligación de las entidades supervisadas por la Superfinanciera de adoptar un apropiado SCI contable que sea efectivo y eficiente(3), encaminado a reflejar en forma fidedigna la realidad económica de la compañía. Así como la obligación de registrar y documentar las operaciones relevantes de la misma y las personas competentes para realizar estas operaciones.

1.3. Modelo COSO II – Enterprise Risk Management (ERM)

El Committee of Sponsoring Organizations of the Treadway Commission, producto de los escándalos corporativos, las irregularidades que generaron pérdidas significativas en los inversionistas, empleados y otros grupos de interés y el fortalecimiento de medidas a través de la SOX y el modelo COSO I, empezó a preocuparse por la necesidad de un marco de referencia en materia de administración de riesgos, es así como, en septiembre de 2004, se publicó el informe denominado “Enterprise Risk Management – Integrated Framework”, que incluye el marco global para la administración de riesgos y se conoce como modelo COSO II-ERM.

Este modelo no sustituye los elementos de control interno planteados en COSO I, pero amplía el concepto de control interno, incorporando la identificación, evaluación y gestión integral de riesgo. Adicionalmente, dado que COSO II Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework COSO I, las mejoras en la gestión de riesgo buscaban fortalecer las disposiciones establecidas en la Ley Sarbanes-Oxley sobre gobierno corporativo y control interno.

El marco conceptual de este modelo establece:

• Una definición de Enterprise Risk Management

• Los principios y componentes críticos de un efectivo proceso de Enterprise Risk Management

• Creación de directrices para que las organizaciones busquen mejorar la administración de riesgo

• Criterios para determinar si la administración de riesgo es efectiva, y, si no, qué se necesita para que sí lo sea.

Componentes del modelo COSO II:

Ambiente interno, establecimiento de objetivos, identificación de eventos, evaluación del riesgo, respuesta al riesgo, actividades de control, información y comunicación y monitoreo.

La Circular 14 de 2009, expedida por la Superfinanciera, pareciera que no incluye los componentes señalados en el informe COSO II de manera expresa, no obstante, si bien los mismos no se encuentran señalados con la denominación de COSO II al incorporar los elementos que conforman el SCI, partiendo de la base del modelo COSO I, se incluyen varios aspectos y exigencias relacionadas con el modelo Enterprise Risk Management- Integrated Framework- COSO II.

Lo anterior se puede verificar revisando, en varios apartes de la norma, las exigencias señaladas en la Circular 14, así:

• En el elemento de SCI de gestión de riesgos para las empresas controladas por la Superfinanciera se expresa en una nota de pie de página que para mayor orientación sobre la gestión de riesgos se debe consultar el modelo COSO II;

• También aparecen componentes en las exigencias relacionadas con el área contable;

• En el elemento de información y comunicación del SCI, en especial la orientación que se da para cumplir con este elemento encaminada a que se tenga una información y comunicación efectiva que llegue a todos los funcionarios, y

• Por último, e igual de importante, en el monitoreo, al incorporar la viabilidad de realizar evaluaciones independientes, como se podrá ver más adelante.

1.4. Modelo COBIT

El modelo COBIT (Control Objectives for Information and Related Technology) es un esquema de control interno desarrollado en 1996 por el Governance Institute, que establece un sistema de gestión orientado a controlar los sistemas de información de las empresas.

COBIT es uno de los modelos más utilizados actualmente en el área de auditoría informática a nivel internacional. Bajo este esquema se plantea que los sistemas de información son puntos críticos que con buenos sistemas de administración garantizan la continuidad y supervivencia de las organizaciones.

Bajo el esquema COBIT, además de los objetivos de la organización, se tienen en cuenta los riesgos que la empresa está dispuesta a asumir y el gobierno corporativo. Por lo tanto, el objetivo principal de COBIT es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de tecnología de información, orientando dichas políticas a tres grupos de interés de la compañía: administración, usuarios y auditores de sistemas de información.

Para implementar un sistema de control interno basado en COBIT, se deben tener en cuenta cuatro pasos fundamentales, que a su vez incluyen varios requerimientos y procesos:

a) Planear y organizar: con este paso se busca la planeación y organización de la estrategia y las tácticas implementadas para que la tecnología de la información pueda contribuir de la mejor manera al logro de los objetivos estratégicos y de negocio de la compañía. Así mismo, la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas, para tal fin deberá establecerse una organización e infraestructura tecnológica apropiadas.

b) Adquirir e implantar: en este paso se busca identificar las falencias, necesidades y riesgos a los que se expone la compañía para que sea eficiente en la búsqueda de soluciones.

c) Entregar y dar soporte: hace referencia a la entrega de los servicios de información y tecnología requeridos que deberán determinar los procesos de soporte necesarios para la compañía, que abarcan desde las operaciones tradicionales hasta el entrenamiento, seguridad y aspectos de continuidad del negocio.

d) Monitorear y vigilar: todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo, con el fin de verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Es por ello que se busca verificar la eficacia, prontitud y suficiencia de todo el sistema de control interno, sin olvidar el cumplimiento de los objetivos estratégicos y los requerimientos normativos. Por tal motivo, el sistema de monitoreo debe buscar la medición y verificación de procesos que permitan el cumplimiento de los estándares de efectividad, eficiencia, confidencialidad, integridad, cumplimiento y confiabilidad de la información.

La Circular 14 de la Superfinanciera, además de incorporar dentro del SCI el área de tecnología como un aspecto de gran relevancia, adopta varios de los pasos establecidos en COBIT.

Es así como, se señala el establecimiento de un plan estratégico de tecnología; la determinación de la dirección estratégica que se concreta en un plan de infraestructura de tecnología; el cumplimiento de requerimientos externos, que de acuerdo con la Circular 14 se concreta en cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrónico; la administración de proyectos de sistemas y la administración de calidad que son parte del paso uno denominado planeación y organización.

Por otro lado, incorpora la adquisición de tecnología, la adquisición y mantenimiento de software de aplicación, instalación y acreditación de sistemas y la administración de cambios que se encuentra en el paso dos de adquisición e implementación.

Con relación al paso tres, sobre entregar y dar soporte, se incorpora la administración de servicios con terceros, administración de desempeño y capacidad, asegurar el servicio continuo, garantizar la seguridad de los sistemas y la educación, entrenamiento de usuarios, administración de datos y la administración de las instalaciones de operaciones de tecnología.

Es de aclarar que con relación al paso cuatro de monitoreo que es parte del modelo COBIT, la Circular 14, en la parte especial de norma de control interno para la gestión de tecnología, establece la obligación de evaluar y mejorar continuamente el SCI para la gestión de tecnología, pero no hace una precisión sobre la forma de monitorear el sistema, dejando un vacío sobre la obligatoriedad y la forma de realizar el monitoreo y evaluaciones independientes al SCI en tecnología, en caso de que se quiera hacer dicho monitoreo.

Pareciera ser que la norma, sin hacer expresamente una remisión, permitiera que para solucionar este vacío se aplique el elemento de monitoreo y evaluación independiente, señalado en los elementos del SCI de la parte general de la Circular 14 que toman como fundamento el informe COSO I complementado por COSO II para desarrollar este aspecto, es decir, que dentro de la fase de monitoreo y evaluación independiente se deberá incluir lo relacionado con el área de gestión de la tecnología.

1.5. Basilea (“Framework for Internal Control Systems in Banking Organisation” e “International Convergence of Capital Measurement and Capital Standards”)

El Acuerdo de Capitales de Basilea surgió como consecuencia de la preocupación creciente por la salud financiera de los bancos internacionales y por las crecientes sospechas de competencia desleal, lo que llevó al Comité de Supervisión Bancaria de Basilea a estudiar y fijar estándares de capital en estas entidades. El acuerdo se firmó el 11 de julio de 1988 y empezó a aplicarse en marzo de 1989. No obstante, sufrió unas modificaciones en 1996 encaminadas a requerir a los bancos para que reserven capital con el objeto de cubrir el riesgo de pérdidas generadas con ocasión de los cambios en precios de mercado.

Posteriormente, en junio de 2004, el Comité de Supervisión Bancaria de Basilea publicó el documento denominado Basilea II, que entró a regir en diciembre del 2006 para los países del G-10 y sustituye a Basilea I. Basilea II se convirtió en un estándar internacional para la medición y gestión de riesgos, y es reconocido por más de 130 países como una buena práctica internacional.

La estructura de Basilea II se desarrolla a través de tres pilares, reconociendo que el capital no puede sustituir por sí solo una adecuada gestión y control de riesgos. El Pilar 1 se refiere a los requerimientos de capital mínimo que deben cumplir los Bancos, el Pilar 2 habla de la revisión supervisora de la adecuación de capital y el Pilar 3 de la disciplina de mercado.

Desde el punto de vista de control interno, el Pilar 1 de Basilea II parte de la necesidad de contar con mecanismos internos como son los sistemas de control o los modelos estadísticos de previsión. Los sistemas de control interno deben ser diseñados por los propios bancos, para después ser validados por el supervisor de cada uno de ellos, con un objetivo general de crear valor.

De acuerdo con lo anterior, Basilea II se convierte en un referente importante para la creación y funcionamiento de la Superintendencia Financiera de Colombia, entidad que expidió la Circular 14 de 2009 sobre SCI.

Esta nueva entidad de supervisión, es un organismo técnico adscrito al Ministerio de Hacienda y Crédito Público y se encuentra regulado por el Decreto 4327 de 2005, su objeto principal es supervisar el sistema financiero colombiano con el fin de preservar su estabilidad, seguridad y confianza, así como, promover, organizar y desarrollar el mercado de valores colombiano y la protección de los inversionistas, ahorradores y asegurados.

Es por ello que dentro de la búsqueda del objetivo anterior, la Superfinanciera en el desarrollo de sus actividades tiene un modelo de supervisión mixto en cuanto a que realiza una supervisión institucional y una supervisión basada en riesgos y conductas de mercado.

En cuanto a la supervisión basada en riesgos es de destacar que la Superintendencia enfoca su trabajo en la consecución de un conocimiento integral de las entidades vigiladas, se hace una recolección histórica, actual y de proyección de las entidades; se da una orientación selectiva es decir indicando los principales riesgos inherentes a las actividades de las entidades supervisadas por la Superfinanciera (estando dentro de dichos riesgos el de gobierno corporativo) y la identificación de las actividades consideradas como significativas.

Así mismo, la capacidad de administrar y controlar los riesgos en el nuevo enfoque de supervisión queda en cabeza de las entidades supervisadas y no de la Superfinanciera, dado que esta última se encarga de realizar una función de inspección, monitoreo y control a las entidades, es decir, que tiene una visión similar a la que fue planteada en Basilea II.

Ahora bien, con esta nueva estructura, el gobierno corporativo entendido tradicionalmente como aquel conjunto de principios, políticas y medidas a través de los cuales una compañía de manera voluntaria decide autorregularse para fortalecer sus estructuras de dirección, administración y supervisión, en la actualidad se considera como un factor de riesgo adicional que se suma a los riesgos que tradicionalmente se venían identificado en las entidades vigiladas por la Superintendencia Financiera de Colombia.

Partiendo de la base de que el gobierno corporativo es un elemento transversal en la administración de los riesgos de las compañías, para el Comité de Basilea, la junta directiva, el presidente y la alta gerencia tienen la competencia general para dar aplicación a los anteriores principios; trazar el marco general de las políticas de administración de los riesgos, realizando una clasificación de las diversas circunstancias que se pueden presentar de acuerdo con las actividades que desarrolla la entidad financiera, y ejercer la supervisión y control de los riesgos que se identifiquen al interior de la compañía.

Esta visión planteada por el Comité de Basilea se ve desarrollada por la Superfinanciera, a través de la expedición por parte de la Delegatura de Gobierno Corporativo, del documento conceptual de gobierno corporativo como marco orientador en la materia, en noviembre de 2006.

Para la Superintendencia Financiera, el examen del conjunto de principios y elementos del gobierno corporativo permite tener una visión global sobre la situación de cualquier entidad que ella supervisa. No obstante, si bien el riesgo del gobierno corporativo es un riesgo complementario y transversal, no es un riesgo habitualmente asociado de manera directa a los demás riesgos inherentes en las compañías del sector financiero, sino que su vinculación se hace casi siempre de manera indirecta a través de la asociación con el riesgo reputacional, legal, operativo, de contagio (esto se puede evidenciar con las disposiciones expedidas por la Superfinanciera en los años 2007, 2008 y 2009 sobre SARO, SARLAFT, riesgo de liquidez, entre otros) y ahora con al expedición de la Circular 14 a través de la adopción e implementación del SCI.

Sin importar el tipo de vinculación que se realice a este tipo de riesgo, lo que sí es cierto es que con la adopción y fortalecimiento de lineamientos y medidas de gobierno corporativo en una compañía, la identificación de competencias claras y la atribución de responsabilidad a los diferentes órganos de gobierno, se puede reducir la probabilidad de ocurrencia del mismo y de los demás riesgos propios de las compañías vinculadas a la actividad financiera.

La Circular 14 de 2009 parte de la base de la adopción de Basilea II y establece de manera expresa que el marco conceptual y normativo, para el SCI, que se desarrolla a través de la circular, se convierte en un elemento fundamental del gobierno corporativo de las entidades supervisadas.

1.6. Los estándares del Instituto de Auditores Internos

El Instituto de Auditores Internos —IIA, por sus siglas en inglés— es reconocido a nivel mundial como el líder de la profesión de la auditoría interna, en aspectos tales como la certificación profesional de los auditores internos, así como, en educación, investigación y dirección tecnológica en los temas de auditoría interna, control, gestión de riesgos y gobierno corporativo.

El IIA a través del Consejo de Normas de Auditoría Interna ha buscado incorporar un conjunto de lineamientos y estándares encaminados a fortalecer el papel que realiza la auditoría interna. Para tal fin ha establecido que esta es una actividad independiente y objetiva de aseguramiento y consulta que busca agregar valor y mejorar las operaciones de la compañía.

De igual manera, incorpora tres clases de normas que buscan asegurar el ejercicio profesional de la auditoría interna y las responsabilidades derivadas de las mismas, estas normas son: normas sobre atributos, sobre desempeño y sobre implementación.

• Normas sobre atributos: que se refieren a las características de las organizaciones y los individuos que desarrollan actividades de auditoría interna.

• Normas sobre desempeño: que describen la naturaleza de las actividades de auditoría interna y proveen criterios de calidad a través de los cuales pueden medirse las prácticas de estos servicios.

Las normas sobre atributos y desempeño se aplican a los servicios de auditoría interna en general.

• Normas de implementación: se refieren a la aplicación de normas de atributos y desempeño a tipos específicos de trabajos para tipos de aseguramiento relacionados con cumplimiento, fraudes, autoevaluación de control, etc.

La Circular 14 de 2009 establece dentro del SCI dos tipos de órganos de control: los de naturaleza interna y los de naturaleza externa en atención a la vinculación e independencia que tenga cada órgano con la compañía, como se verá más adelante. Dentro de los órganos internos se incluye la actividad y el área de auditoría interna, adoptando los estándares señalados por el IIA en especial las normas sobre atributos y normas de desempeño.

Es de resaltar que la Circular 14 adopta gran parte de las recomendaciones y lineamientos señalados por el IIA para el ejercicio de la actividad de auditoría, definiendo la misma como una actividad que se fundamenta en criterios de independencia y objetividad de aseguramiento y consulta, ayudando con la misma a cumplir los objetivos trazados por la compañía y evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno corporativo bajo un enfoque sistemático y disciplinado.

Como se dijo anteriormente, dentro de las normas para el ejercicio de la auditoría interna, la Circular 14 adopta las normas sobre atributos y desempeño del IIA, y no hace mención alguna a las normas de implementación establecidas como referente por el IIA, no obstante, con relación a la responsabilidad que le otorga en su actuación al auditor interno, la Circular 14 se aparta de lo señalado por el IIA en la materia e incluye de manera innovadora la exigencia al auditor interno de realizar su trabajo con el cuidado y pericia que se espera tenga un especialista razonablemente prudente y competente, sin establecer una definición del alcance de la expresión prudencia y competencia bajo un esquema de razonabilidad.

2. Antecedentes del sistema de control interno en Colombia

El sistema de control interno en Colombia se divide en dos grandes partes en cuanto a su estudio, desarrollo y análisis desde el punto de vista de los antecedentes de la Circular 14 de 2009. De un lado, se encuentra el desarrollo de este tema en el ámbito público y, de otro lado, en el ámbito privado, en especial en el sector financiero, asegurador y bursátil.

• En el ámbito público se puede decir que el control interno nace con ocasión de la expedición de la Constitución Política de 1991, donde en los artículos 209 y 269 se consagra una estructura del sistema de control interno aplicable a todas las entidades del Estado. Así mismo, con lo señalado en la Constitución de 1991 nace la Ley 87 de 1993 la cual determinó los fundamentos básicos del sistema de control interno, los responsables de mayor nivel frente a la implementación del sistema y la función de evaluación y control de las actividades de cada organización pública.

Con posterioridad a la Ley 87, y varias normas complementarias de los últimos años, surge la necesidad de estandarizar el control interno para todas las entidades del Estado, razón por la cual se establece el Modelo Estándar de Control Interno (MECI), a través del Decreto 1599 de 2005, cambiando la concepción que se tenía del control interno como una instancia punitiva y entendiendo el mismo como una herramienta de gestión al servicio de la gerencia.

Este modelo, que constituye en Colombia uno de los principales avances y referentes de estudio en la materia, comprende tres subsistemas: control estratégico, control de gestión y control de evaluación.

La Circular 14 de 2009 reconoce la existencia de este modelo en entidades que pertenezcan al sector público, dejando la obligación de complementar el mismo en aquellos aspectos que no se encuentren contemplados en MECI y que son parte de la Circular 14, siempre y cuando las entidades del sector público sean supervisadas a su vez por la Superfinanciera.

• Desde el punto de vista regulatorio en materia privada, y en especial en el sector financiero, asegurador y bursátil, se puede decir que la primera norma que determina instrucciones sobre control interno es la Ley 222 de 1995, que reforma el Código de Comercio, estableciendo que los administradores están en la obligación de realizar su labor con la diligencia propia de un buen hombre de negocios.

Esta exigencia de la Ley 222 de 1995 en materia mercantil para todos los administradores se retoma en la Circular 14 de 2009 para los administradores y, en especial, para la junta directiva de las entidades supervisadas por la Superfinanciera, señalando que los mismos serán los competentes para definir las políticas y diseñar los procedimientos de control interno que deban implementarse en la compañía, así como ordenar y vigilar que los mismos se ajusten a las necesidades de la compañía buscando la seguridad, transparencia y eficiencia.

Es necesario recordar que la Circular 52 de 1998 de la Superintendencia Bancaria del momento, hoy Superintendencia Financiera de Colombia, y que fue incorporada en el capítulo 9 del título I de la Circular Básica Jurídica 7 de 1996, estableció instrucciones de obligatorio cumplimiento relativas a la implementación del control interno para las entidades vigiladas por la superintendencia, convirtiéndose así en la norma a seguir por el sector financiero antes de la expedición de la Circular 14.

El modelo de referencia establecido en la estructura de control planteada en la Circular 52 reunía los elementos incorporados en el informe COSO I, es decir: ambiente de control, información y comunicación, actividades de control, monitoreo y evaluación de riesgos, pero sus componentes y cumplimiento tenían un enfoque más sencillo que el planteado actualmente con la Circular 14.

Por su parte, como complemento a la Circular 52, en materia de gestión de riesgos, se expidió la Norma Técnica Colombiana de Riesgos NTC 5254 y se incorporaron en las diferentes circulares expedidas por la Superfinanciera, en materia de riesgos, los componentes del modelo Enterprise Risk Management COSO II.

Actualmente, la Circular 52 de 1998 queda derogada con la expedición de la Circular 14 de 2009, al igual que el capítulo 9 del título I de la Circular Básica Jurídica 7 de 1996, que se reemplaza en su totalidad por el contenido de la Circular 14 de 2009. No obstante, para las entidades vigiladas por la Superfinanciera lo señalado en los diferentes sistemas de riesgos que traen elementos del modelo Enterpirse Risk Management COSO II, continúan vigentes como expresamente lo señala la misma circular, como es el caso de los riesgos de mercado - SARM, riesgo de crédito - SARC, riesgo operativo - SARO, riesgo de liquidez - SARL, riesgo de lavado de activos y financiación del terrorismo - SARLAFT y riesgo de garantías - SARG.

3. Aplicación de la Circular 14 de 2009 a las entidades supervisadas por la Superfinanciera

La Circular 14 de 2009, de manera expresa, establece que esta norma debe ser aplicable a todas las entidades supervisadas por la Superintendencia Financiera de Colombia, y de acuerdo con lo señalado en los artículos 72 y 73 del Decreto 4327 de 2005 aplica, de igual manera, a dos grandes grupos: las entidades vigiladas y las entidades controladas.

3.1. Entidades vigiladas

El artículo 325 del estatuto financiero establece las entidades vigiladas por la Superintendencia Financiera, entre ellas: los establecimientos bancarios, corporaciones financieras, compañías de financiamiento comercial, sociedades fiduciarias, almacenes generales de depósito, sociedades administradoras de fondos de pensiones, y de cesantías, compañías de seguros y capitalizadoras, administradoras de riesgos profesionales, casas de cambio, firmas comisionistas, el Banco de la República, el Fondo Nacional de Garantías, entre otras(4).

De igual manera, aquellas entidades que se encontraban bajo la vigilancia de la Superintendencia de Valores o de la Superintendencia Bancaria de Colombia, antes de la creación de la Superfinanciera, tienen, actualmente, la calidad de entidades vigiladas por esta superintendencia.

3.2. Entidades controladas

El artículo 73 del Decreto 4327 de 2005 se refiere a los emisores del mercado de valores, definiendo a este grupo como las entidades que tengan valores inscritos en el Registro Nacional de Valores y Emisores, y establece además que para las entidades que solo tengan la calidad de emisores de valores(5) la Superfinanciera no ejercerá vigilancia, sino control exclusivo, salvo aquellos emisores que, por virtud del interés público involucrado en el servicio que presten o en la actividad económica que desarrollen, se encuentren sometidos por ley a la inspección y vigilancia de otra entidad del Estado diferente a la Superfinanciera, caso en el cual tendrán control pero no exclusivo.

Esta función de control de la Superintendencia Financiera está encaminada a verificar que los emisores ajusten sus operaciones a las normas que regulan el mercado de valores y a velar por la oportunidad y suficiencia de la información que dichos emisores deben suministrar al mercado de valores, para lo cual podrá imponer las sanciones a que hubiere lugar.

4. Deber de certificación del cumplimiento de la Circular 14 de 2009

La Circular 14 de 2009, expedida por la Superfinanciera, establece una gran innovación en materia de certificación del cumplimiento de las disposiciones contenidas en materia de control interno.

La citada norma señala que: “Para efectos de hacer seguimiento al cumplimiento del cronograma antes mencionado, el presidente de la Junta Directiva u órgano equivalente y el representante legal de cada entidad supervisada deberán enviar a esta superintendencia, dentro de los diez (10) días hábiles siguientes al vencimiento de cada uno de los siete plazos antes señalados, una certificación acerca del cumplimiento de la meta respectiva, previa verificación de los documentos y demás elementos que soporten dicha afirmación”.

Teniendo en cuenta que la creación, implementación y adecuación de la mayoría de los aspectos contenidos en la Circular 14 requiere un plazo prudencial, por parte de cada una de las compañías supervisadas por la Superintendencia Financiera de Colombia, para su cumplimiento la norma establece siete fechas así:

• Implementación o ajuste de los elementos mínimos para crear un adecuado ambiente de control, a más tardar el 30 de septiembre de 2009.

• Implementación o ajuste de los sistemas de información y comunicación en forma tal que se tenga un grado de seguridad razonable respecto a la exactitud, validez y oportunidad de la información generada por la entidad, a más tardar el 31 de diciembre de 2009.

• Implementación o ajuste del sistema de gestión de riesgos, a más tardar el 31 de marzo de 2010.

• Adecuación de la composición y funcionamiento de los órganos de administración y control, a más tardar el 30 de abril de 2010.

• Implementación o ajuste de las actividades de control, a más tardar el 31 de mayo de 2010.

• Implementación o ajuste de los controles que permitan a la alta dirección y a los responsables de cada área monitorear de manera permanente el desempeño del SCI y realizar las acciones de mejoramiento necesarias, a más tardar el 30 de junio de 2010.

• Evaluación independiente respecto de la efectividad del SCI, a más tardar el 31 de agosto de 2010.

De acuerdo con lo anterior, tanto el presidente de la junta y el representante legal de cada compañía de manera conjunta son los competentes para certificar el cumplimiento de cada fase contenida en la norma, certificación que se debe enviar a la Superfinanciera en un plazo máximo de 10 días hábiles siguientes al vencimiento de cada fecha establecida en la circular.

Esta certificación al parecer no debe ir acompañada de ningún documento o archivo que soporte el cumplimiento de cada etapa, pero requiere una verificación, por las dos personas encargadas de certificar, de los documentos y demás elementos que hacen parte de la información, los procesos e implementación del SCI. Así mismo, los documentos que soportan el cumplimiento de cada una de las fases establecidas en la Circular 14 deberán estar a disposición de la Superintendencia Financiera cuando ella lo requiera, bien sea a través de supervisión in situ, es decir a través de visitas, o por supervisión extra-situ, es decir requerimiento formal y remisión a esta entidad de los documentos respectivos.

La asignación de esta nueva competencia de certificación al presidente de la junta directiva y al representante legal requiere un análisis especial, dado que de la lectura de la norma no queda claro el alcance de la actuación que realiza cada una de estas personas.

• En cuanto al presidente de la junta directiva, es de precisar que el Código de Comercio colombiano no contempla la figura del presidente de la junta, no obstante, la Superintendencia de Sociedades(6) ha establecido expresamente que el hecho de que no se diga nada al respecto, no significa que el mismo no se pueda crear a través de los estatutos de la compañía o en el reglamento de funcionamiento de la junta si voluntariamente se decide tener este cargo, incorporando, entre otros aspectos, las funciones, el periodo y la forma de nombrarlo.

Por otro lado, el estatuto financiero señala aspectos relacionados con la dirección, administración y control de las instituciones financieras y, en especial, para los establecimientos bancarios, corporaciones de ahorro y vivienda, compañías de financiamiento, sociedades de capitalización, o sociedades de servicios financieros, estableciendo que los directores elegidos en asamblea, después de la debida calificación, tendrán una reunión en la que elegirán un presidente(7). No obstante, no se incluyen funciones específicas y facultades que debe tener el presidente de la junta, dejando que las mismas sean señaladas estatutariamente o por reglamento de junta.

Por tal razón, la Circular 14 de 2009 es la primera norma que incorpora de manera expresa una competencia para el presidente de la junta directiva, generando con ello, de un lado, la obligación de la creación de este órgano dentro de las juntas directivas de las compañías que en la actualidad no cuentan con esta figura y que se encuentran bajo supervisión de la Superfinanciera, y dejando, por otro lado, un vacío frente al alcance de la labor que realiza el presidente de la junta y la responsabilidad que de ella se deriva.

• Con relación al representante legal, la función de certificación no resulta una total novedad, dado que la Ley de Mercado de Valores(8), en la parte de gobierno corporativo, contempla una función de certificación para el representante legal de las compañías emisoras del mercado de valores.

La labor de certificación en el caso de la Ley de Mercado de Valores corresponde a una obligación frente a los estados financieros, y otros informes relevantes, donde se pide que el representante legal certifique al público que estos documentos no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situación patrimonial o las operaciones del correspondiente emisor de valores.

Es de aclarar que la Circular 14 de 2009 trae la función de certificación del representante legal contenida en la Ley de Mercado de Valores, haciéndola extensiva a todas las entidades que estén supervisadas por esta superintendencia, sean o no emisores del mercado de valores. Es decir, que todas las compañías del sector financiero que en la actualidad no son emisores del mercado de valores, pero están bajo la vigilancia de esta entidad, deberán realizar la certificación de sus estados financieros por parte del representante legal.

A pesar de lo anterior, no resulta claro el alcance de la función de certificación del representante legal sobre el cumplimiento de las fases del SCI, de acuerdo con lo señalado en la Circular 14 de 2009, aunado a la responsabilidad que se puede derivar del mismo.

5. Principios, elementos y componentes del sistema de control interno a la luz de la Circular 14 de 2009

La Circular 14 de 2009 define el SCI como “un conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la Junta Directiva, la Alta Dirección y demás funcionarios de una organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos:

i. Mejorar la eficiencia y eficacia en las operaciones de las entidades supervisadas. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo.

ii. Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior de las organizaciones.

iii. Realizar una gestión adecuada de riesgos.

iv. Aumentar la confiabilidad y oportunidad en la información generada por la organización.

v. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización”(9).

Como se estudiará más adelante, con mayor detenimiento, los responsables del sistema de control interno están divididos en dos grandes grupos: órganos de control interno y órganos de control externo. Dentro de los órganos internos se encuentran la junta directiva, el comité de auditoría, el representante legal y la auditoría interna. Dentro de los órganos externos se encuentran: el revisor fiscal y el contralor normativo, para los casos en que se requiere legalmente contar con esta figura.

De igual manera, la norma establece para la creación o adaptación del SCI unos principios orientadores, unos elementos estructurales y unos componentes adicionales y especiales que merecen especial atención, dada la innovación que genera su implementación en materia de control interno para las empresas colombianas de naturaleza privada y de manera parcial en los aspectos adicionales no contemplados en MECI para las entidades públicas.

5.1. Principios

Los principios de un SCI constituyen el fundamento, la orientación y la razón de ser de la creación de un eficiente y efectivo SCI, por tal razón los mismos deben estar presentes en el diseño, estructuración y correcto funcionamiento de cada uno de los elementos que conforman el sistema.

La Circular 14 de 2009 establece adicionalmente la obligación de incluirlos en el diseño e implementación del sistema y documentarlos en los soportes que se creen y que evidencien la existencia de cada uno de los elementos y componentes del SCI.

Los principios contemplados en la Circular 14 son: autocontrol, autorregulación y autogestión. Es de aclarar que los mismos no constituyen una total innovación en Colombia, dado que ya existían desde 1993 para las entidades del sector público y posteriormente fueron fortalecidos con la creación del MECI en 2005. La novedad de la Circular 14 está relacionada con la aplicación de estos principios al SCI de las entidades privadas del sector financiero que se encuentran bajo la supervisión de la Superfinanciera.

5.1.1. Principio de autocontrol

Definido como la capacidad de todos los funcionarios de una empresa para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones y competencias, así como, mejorar la realización de sus tareas y responsabilidades. Así mismo, los funcionarios deberán procurar y dar cumplimiento a los objetivos corporativos trazados por la administración.

Con ocasión de este principio, las compañías deberán tener claramente definida la misión, visión y los objetivos estratégicos de la organización como punto de partida para la creación, implementación y ajuste de un SCI y definir el alcance de la información y comunicación que los administradores desean dar a conocer a todos sus funcionarios sobre los objetivos, la misión y la visión que tiene la compañía.

De acuerdo con los objetivos dados a conocer a toda la organización, la compañía debe incorporar mecanismos encaminados a establecer de manera clara las funciones y competencias de cada funcionario con las responsabilidades que se derivan del ejercicio del cargo, y las herramientas indispensables para poder controlar y evaluar el desarrollo de las actividades que cada funcionario tenga a cargo dentro de la organización.

5.1.2. Principio de autorregulación

Es la capacidad de la compañía para desarrollar y aplicar en su interior métodos, normas y procedimientos que permitan el desarrollo, implementación y mejoramiento del SCI, dentro del marco de las disposiciones legales que le son aplicables.

El principio de autorregulación, desde el punto de vista de gobierno corporativo, corresponde a la capacidad que tienen las compañías para que de manera voluntaria establezcan políticas, normas y medidas de buen gobierno encaminadas a generar mayor transparencia y confianza en los grupos de interés de una organización, atendiendo las particularidades y necesidades de cada empresa. El marco regulatorio no es parte del ejercicio de autorregulación en materia de gobierno corporativo.

Por tanto, las normas y la regulación de cada país que reglamentan aspectos de gobierno corporativo y el ejercicio de autorregulación en conjunto conforman el denominado sistema mixto de gobierno corporativo de una empresa, pero la regulación no es parte de la autorregulación.

Pareciera ser que la autorregulación, en el contexto de la Circular 14 de 2009, obedece a la posibilidad de desarrollar la norma a través de la creación de métodos, normas y procedimientos de manera voluntaria que den cumplimiento a lo establecido en la circular, sin posibilidad de incluir o adicionar desde el punto de vista conceptual y estructural algo que no esté expresamente contemplado en la norma.

En el caso de la Circular 14 el marco regulatorio será el orientador en todo momento para el ejercicio del principio de autorregulación y para la creación, implementación, desarrollo y mejoramiento del sistema de control interno que tenga cada compañía.

5.1.3. Principio de autogestión

Es la capacidad de la sociedad para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.

Este principio es de aplicación transversal y vertical a toda la organización, dado que su aplicación práctica corresponde a todas las instancias de una compañía y busca ejecutar, desarrollar y supervisar el correcto funcionamiento de una organización en todas las actividades propias del negocio, las cuales deberán estar fundamentadas en los objetivos estratégicos trazados para la compañía, en la planeación y en los indicadores de medición previamente definidos para llevar a cabo cada actividad.

5.2. Elementos y componentes del SCI

Los elementos del SCI contemplados en la Circular 14, desde el punto de vista de su definición, corresponden en su mayoría a lo que internacionalmente ha definido el modelo COSO I integrado. No obstante, desde el punto de vista de su alcance, los componentes que son parte de cada elemento, y que han sido establecidos en la Circular 14, tienen unas particularidades que merecen ser explicadas de manera detallada.

Los elementos del SCI son: ambiente de control, gestión de riesgos, actividades de control, información y comunicación, monitoreo y evaluaciones independientes. Los anteriores elementos deberán dar cumplimiento a los principios y objetivos establecidos para el SCI en la Circular 14.

5.2.1. Principales novedades del elemento ambiente de control

El ambiente de control es el primer elemento del SCI que incluye la filosofía y cultura organizacional de la compañía, que deben ser trasmitidas a todos los funcionarios de la sociedad, fomentando un conjunto de principios, valores y conductas de actuación orientadas hacia el control. Con este enfoque se evidencia la influencia de la SOX en el SCI colombiano.

La eficacia del ambiente de control hará que cada una de las compañías cuente con personal competente, con sentido de integridad y sensibilización sobre la importancia del control en las organizaciones, es por ello que este elemento se constituye en el fundamento de los demás elementos del SCI.

En el ambiente de control se deben adoptar e implementar unos componentes indispensables para dar inicio a la construcción, creación o ajuste y modificación, según el caso, del SCI de las entidades a las que les es aplicable la Circular 14. Elemento cuya fecha de cumplimiento de acuerdo con la norma es el 30 de septiembre de 2009.

i. Principios, valores y objetivos estratégicos. En este componente se debe dar una determinación formal y documental, por parte de la alta dirección —estando dentro de ella el presidente de la compañía—, de los principios básicos que rigen la compañía, los cuales deben ser divulgados a toda la organización. Los principios y valores de una compañía deben estar alineados con la cultura organizacional de la empresa.

Así mismo, de la cultura organizacional debe nacer la misión y visión de la sociedad, como elementos orientadores para el establecimiento de los objetivos y la planeación estratégica.

La creación de los principios, valores, misión y visión deben ser comunicados a todos los funcionarios de la organización, al igual que los objetivos estratégicos definidos por los administradores de la compañía. Por tanto, no es suficiente con incluirlos en la página web o en un documento que permita verificar la existencia de los mismos, sino que, además, la organización debe asegurarse que estos son conocidos y entendidos por todos los empleados de su compañía.

ii. Creación de un código de conducta, código de gobierno corporativo y/o documento especial. La Circular 14 establece la obligación de tener un código de conducta que contenga como mínimo los valores y pautas de comportamiento de la compañía, los parámetros relacionados con los conflictos de interés (incluyendo los conflictos entre vinculados económicos, para los casos en que las compañías son parte de un grupo empresarial), los mecanismos para evitar el uso de información privilegiada o reservada, órganos o instancias para verificar el cumplimiento del código y sanciones por inobservancia del mismo.

Este componente dentro del elemento de ambiente de control es uno de los que de manera clara refleja la influencia de los aspectos de gobierno corporativo como elemento necesario para la implementación de un SCI transparente y confiable, y la influencia internacional que tiene la SOX en el modelo colombiano, es por ello que se habla de la incorporación de parámetros relacionados con conflictos de interés y el manejo de información privilegiada y reservada.

Es recomendable que las compañías adopten una definición clara de lo que se entiende por conflicto de interés como punto de partida para poder establecer los parámetros para el manejo de los mismos, señalando las situaciones que se consideran prohibitivas en las diferentes instancias de la organización y aquellas que si bien dan lugar a conflictos de interés pueden ser administradas, incorporando la forma de administrar y resolver las mismas.

Por otro lado, en cuanto al manejo de información privilegiada y reservada, la sugerencia debe apuntar a definir e identificar los casos en que se está ante información sujeta a reserva y aquella que es información privilegiada, y quién tiene acceso a la misma, para posteriormente incorporar los mecanismos encaminados a evitar el uso de este tipo de información.

La norma establece la obligación de contar con el código de conducta, sin embargo, permite que algunos de los aspectos antes mencionados sean contemplados en el código de gobierno corporativo, en los casos en que las empresas cuenten con uno, o en documentos complementarios, dado que puede ocurrir que, por ejemplo, los temas de conflictos de interés sean manejados en un manual de conflictos especializado, o los temas de información, en un documento de manejo y divulgación de información, o que el código de conducta en una compañía sea el mismo que se denomina código de ética.

iii. Selección, competencias, compensación y evaluación de desempeño. Este componente constituye toda una innovación en materia de control interno y en especial en el elemento de ambiente de control. Por un lado, se exige la documentación detallada de los criterios de selección del personal, la forma de garantizar las habilidades, conocimientos y competencias de los funcionarios, los procesos de capacitación que se realicen para dar cumplimiento con este elemento, los sistemas de compensación o remuneración (este último sin dejar claridad de la forma como se debe implementar, es decir si son las políticas, los criterios o los montos de remuneración de cada funcionario, etc.), y la evaluación de desempeño que se debe realizar a todos los funcionarios. La evaluación deberá buscar y facilitar el efectivo control interno en cada cargo y la aplicación del principio de autocontrol.

iv. Estructura organizacional. La Circular 14 establece para las entidades supervisadas por la Superfinanciera la obligación de determinar la estructura organizacional que permita soportar el SCI, definiendo claramente los niveles de autoridad y responsabilidad. Dicha estructura deberá tener en cuenta el tamaño de la organización y las actividades que realiza la compañía.

De la anterior obligación, se puede concluir que no es claro el alcance de la Circular 14, ya que no se sabe si lo que se busca es la creación y adaptación de la estructura actual de las compañías a una estructura de cargos y perfiles especializados con un enfoque de control interno, o es suficiente con tener establecido un organigrama con una estructura organizacional que contenga los cargos, áreas y las diferentes instancias con que cuenta actualmente la compañía determinando las competencias y el alcance de la labor de cada funcionario.

Adicionalmente, el alcance de la expresión autoridad y responsabilidad no queda especificado de manera clara en el contenido de las disposiciones de la norma, y, desde el punto de su implementación por parte de la entidades, resulta más compleja su aplicación e interpretación, así como la materialización de esta obligación.

5.2.2. Principales novedades del elemento gestión de riesgos

La Circular 14 de 2009, con relación al segundo elemento del SCI, establece la obligación de crear un sistema de administración de riesgos que permita minimizar los costos o daños que se generen por la ocurrencia de los mismos, el tratamiento y monitoreo de los riesgos que puedan llegar a afectar el normal desarrollo de las actividades y objetivos empresariales, así como mitigar su impacto.

Si se observa el alcance de la definición planteada en el elemento de gestión de riesgos, aunque es un elemento propio del modelo COSO I, su definición y componentes traen aspectos del modelo COSO II integrado, donde se da mayor relevancia e importancia a los sistemas de administración de riesgos.

De igual manera, la norma hace una diferenciación de las entidades supervisadas por la Superfinanciera a las que les son aplicables las obligaciones y el cumplimiento de los componentes establecidos en este elemento.

Por un lado, hace mención expresa a las entidades vigiladas por la Superfinanciera, precisando que las mismas deberán dar cumplimiento a las normas especiales que contemplan los diferentes tipos de riesgo en los plazos especiales de adopción y cumplimiento de cada norma, sin exigirles a las mismas dar cumplimiento con los aspectos particulares incluidos en este elemento por parte de la Circular 14. Las normas que actualmente existen en materia de riesgos para las entidades vigiladas en su mayoría contemplan aspectos de Basilea II.

Por otro lado, las entidades sujetas a control de la Superfinanciera, es decir los emisores de valores que no son vigilados por esta entidad, para el cumplimiento del elemento de gestión de riesgos deberán implementar como mínimo once aspectos contemplados en la Circular 14 que reúnen de manera parcial los elementos establecidos en el modelo COSO II de riesgos(10).

De igual manera, si se tiene duda de cómo llevar a la práctica e implementación cada uno de los anteriores componentes, la Circular 14 establece una nota de pie de página donde señala que para mayor orientación se podrá consultar la guía que contempla el modelo COSO II integrado. El cumplimiento total del elemento de gestión de riesgo tendrá un plazo máximo hasta el 31 de marzo de 2010.

5.2.3. Principales novedades del elemento actividades de control

Las actividades de control corresponden al conjunto de políticas y procedimientos que hacen efectiva la implementación de las directrices definidas por los administradores y órganos de control de cada empresa en materia de control interno y riesgos. La Circular 14 establece que para el establecimiento de las actividades de control se deberá tener en cuenta la relación beneficio/costo, sin dejar claramente definido cómo se establece o calcula este indicador.

De igual manera, la Circular 14 señala que el objetivo principal de las actividades de control es determinar y prevenir los riesgos, ya sean potenciales o reales, y detectar errores, fraudes u otras situaciones que puedan afectar la estabilidad y/o el prestigio o la reputación de la compañía.

Dado que el control interno es aplicable a todas las áreas de la organización, de acuerdo con el principio de autocontrol, la Circular 14 establece dentro del elemento actividad de control una serie de componentes de obligatorio cumplimiento para todas las áreas, procesos y operaciones que realice la empresa. La fecha máxima para dar cumplimiento a este elemento es el 31 de mayo de 2010. Los componentes obligatorios son:

• Revisiones de alto nivel, encaminadas a informar a los miembros de la junta directiva y otros altos directivos de la organización el progreso de la compañía hacia el logro de sus objetivos; detectar problemas, tales como deficiencias de control, errores en los informes financieros o actividades fraudulentas, y adoptar los correctivos necesarios.

• Procesamiento de la información y controles de aplicación. Sin embargo, la circular no deja en claro qué se busca con esta obligación.

• Limitaciones de acceso a las distintas áreas de la organización, de acuerdo con el nivel de riesgo asociado a cada una de ellas, teniendo en cuenta tanto la seguridad de los funcionarios de la entidad como de sus bienes, de los activos de terceros que administra y de su información.

• Acompañamiento a los visitantes de la entidad para controlar que solo ingresen a los sitios permitidos y que no realicen ningún acto que afecte la seguridad de los equipos o de la información que en ellos se procesa(11).

• Acuerdos de confidencialidad.

• Procedimientos de control.

• Difusión de las actividades de control.

Aunque el principio de autocontrol contempla que todas las áreas de la organización son parte del SCI, la Circular 14 le dedica un espacio específico, con un nivel de requerimientos y exigencias, a las áreas de gestión contable y tecnológica, lo que amerita un estudio adicional.

5.2.3.1. Control interno en la gestión contable(12) 

La Circular 14 establece expresamente que la información financiera y contable de una empresa se constituye en una herramienta fundamental para que la administración(13) pueda adoptar sus decisiones en forma oportuna, confiable y contando con suficientes elementos de juicio.

La confiabilidad resulta de la preparación de los estados financieros y demás informes contables que reflejen de manera razonable la información financiera y los resultados de la empresa, dando cumplimiento con las normas, principios y reglamentos que resultan aplicables a cada sociedad. Así mismo, un eficiente SCI contable es aquel que genera información financiera oportuna, razonable y veraz y que refleja de forma fidedigna la realidad económica de la entidad.

De acuerdo con lo anterior, la Circular 14 establece unas políticas y procedimientos contables con la inclusión de unas actividades de control claramente definidas y unos controles sobre los sistemas de información contable encaminados a garantizar la exactitud y validez de la información, con el establecimiento, a su vez, de dos grandes grupos de actividades de control de información.

Las anteriores actividades del área contable deberán ser cumplidas al tiempo que se dé cumplimiento al elemento de actividades de control, como expresamente lo señala la Circular 14 de 2009 al consagrar en el artículo 7.5.3 inciso final: “Adicionalmente deberán considerarse las actividades de control requeridas específicamente en el numeral 7.6 de este capítulo respecto a la gestión contable y tecnológica”. Es decir, a más tardar el 31 de mayo de 2010.

A pesar de lo anterior, surge una duda sobre la implementación de los componentes y requerimientos exigibles al área contable en materia de control interno y es lo que se contempla en el inciso final del artículo 7.6.1 de la Circular 14 que establece: “En virtud de todo lo anterior, a continuación se precisan algunos aspectos que deben tener en cuenta las entidades supervisadas por la SFC para el adecuado funcionamiento del SCI, reiterando que para el efecto se deben aplicar en su totalidad los fundamentos señalados en los numerales 7.4 y 7.5 del presente capítulo”. Es decir, tanto los principios como los elementos del SCI deben ser aplicables al área contable.

De acuerdo con lo anterior, no es claro lo que busca la norma con la incorporación de este inciso, pues el mismo puede generar varias interpretaciones y problemas de aplicación, como se verá a continuación:

• De un lado, puede entenderse que el área contable debe dar cumplimiento a todas las actividades de control establecidas de manera especial en el artículo 7.6.1, en el plazo señalado por la circular para el elemento de actividad de control del SCI, es decir el 31 de mayo de 2010. Y, adicionalmente, adoptar los otros elementos propios del SCI, como son los elementos de ambiente de control, gestión de riesgos, información y comunicación, monitoreo y evaluación independiente, los cuales tendrán unas fechas especiales y diferentes a la fecha de cumplimiento de actividades de control. Es decir, tener un SCI especializado en materia contable, que dé cumplimiento a todos los elementos del SCI general, en las fechas establecidas por la norma, sin saber con precisión el alcance y contenido específico que debe tener cada uno desde el punto de vista contable.

• Por otro lado, se puede interpretar que dentro de los elementos del SCI general de toda organización se deberán adoptar políticas y lineamientos que además contengan aspectos relacionados con el área contable y financiera, lo que tampoco deja claridad sobre qué aspectos del área contable deben quedar integrados y consignados en cada elemento del SCI general. Esta interpretación tiene sustento en la parte general de la circular que además de establecer las siete fechas para el cumplimiento de la norma, deja un inciso adicional que señala: “La culminación de la implementación del SCI, dentro de los plazos antes mencionados, deberá abarcar todas las áreas de la organización, incluyendo entre otras las mencionadas en el numeral 7.6”. La áreas del numeral 7.6 son las áreas contable y tecnológica.

• Por último, ante la duda de si se deben implementar o no elementos adicionales en el control interno de la gestión contable, se podría pensar que solo se debe dar cumplimiento de momento a las actividades de control que expresamente son exigibles al 31 de mayo de 2010.

5.2.3.2. Control interno en el área de gestión tecnológica

Como se mencionó anteriormente, la Circular 14 establece que dentro del elemento de las actividades de control se deberán tener en cuenta, además de las actividades de control de la gestión contable, las actividades relacionadas con el control interno de la gestión de la tecnología. No obstante, cuando se revisa el contenido de la norma en lo que tiene relación con la gestión tecnológica no se hace mención alguna a actividades de control de manera específica, como sí ocurre con el área contable, dejando la incertidumbre de si existen algunos componentes que por vía de interpretación pueden ser entendidos como actividades de control.

Por otro lado, el artículo 7.6.2 de la Circular señala en su inciso primero que se tendrá que velar porque el diseño del SCI para la gestión tecnológica responda a las políticas, necesidades y expectativas de la entidad, así como a la exigencias normativas sobre la materia. Lo que da a entender que, además del SCI general que tiene toda la organización, se debe tener un SCI especializado en materia tecnológica, sobre todo si se tiene en cuenta que los elementos y componentes establecidos de manera especial para el área tecnológica se apartan del modelo general de la norma COSO I y toman como referencia el modelo COBIT.

5.2.4. Principales novedades del elemento información y comunicación

El elemento de información y comunicación en el SCI tiene dos finalidades específicas, de un lado se convierte en el medio a través del cual se pueden informar y comunicar los diferentes aspectos del SCI a todos los funcionarios de la compañía y, por otro lado, se convierte en el mecanismo que permite a los usuarios externos conocer la compañía.

Por tal razón, este elemento se convierte en la base para identificar, capturar e intercambiar información en una forma y en un lapso de tiempo, de manera que permita a los funcionarios de la organización cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con los elementos de juicio suficientes para que puedan adoptar las decisiones que les corresponden en relación con la respectiva entidad. La fecha para dar cumplimiento a este elemento es 31 de diciembre de 2009.

En cuanto a la información, una de las principales novedades que trae la circular es la incorporación de la obligación a las entidades de contar con un sistema que garantice que la información cumpla con los criterios de seguridad (es decir, confidencialidad, integridad y disponibilidad), calidad (es decir, efectividad, eficiencia y confiabilidad) y cumplimiento, para lo cual deberán establecer controles generales y específicos para la entrada, procesamiento y la salida de información, atendiendo la importancia de la misma y el nivel de riesgo.

Para tal fin los administradores de la compañía deben definir políticas de seguridad de la información, ordenando la creación de un programa que contenga el diseño, implantación, divulgación, educación y mantenimiento de las estrategias para administrar la seguridad de la información.

Así mismo, la norma define la información sujeta a reserva o privilegiada como aquella a la que solo tienen acceso directo ciertas personas, en razón de su profesión u oficio, la cual por su carácter es confidencial, ya que de conocerse podría ser utilizada con el fin de obtener provecho o beneficio para quien la suministra o para un tercero.

Para efectos de la circular la información reservada es igual a la información privilegiada, lo que constituye un gran cambio en manejo de información, dado que desde el punto de vista de gobierno corporativo la información reservada es diferente a la información que se utiliza de manera privilegiada, teniendo en cuenta que las características y elementos de una y otra tienen fines de protección diferentes.

En cuanto a la comunicación, lo que se busca es que la misma sea eficaz, que fluya en todas las direcciones y llegue a todas las áreas de la organización, para tal efecto se establece que las entidades están en la obligación de disponer de medios para comunicar información significativa, tanto al interior como al exterior de la compañía.

Así mismo, los administradores son los encargados de adoptar los procedimientos necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y, en general, el cumplimiento de todos los requisitos necesarios que permitan generar credibilidad y utilidad de la información que se revela al público.

5.2.5. Principales novedades del elemento de monitoreo

El elemento de monitoreo a la luz de lo establecido en la Circular 14 no constituye una gran novedad en materia de control interno, dado que es un proceso que se lleva a cabo para verificar la calidad de desempeño del control interno a través del tiempo y es realizado a través de la supervisión continua que realizan los vicepresidentes, jefes o líderes de cada área como parte habitual de su responsabilidad y a las evaluaciones periódicas puntuales que realiza la auditoría interna u órgano equivalente y el presidente de la organización. El enfoque y concepto del elemento de monitoreo ya existía antes de la expedición de la Circular 14.

Las evaluaciones permanentes y separadas permiten a la alta dirección determinar si el control interno existe y funciona en forma adecuada en el tiempo. Las deficiencias de control interno deben ser identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten materiales debe informarse también a la junta directiva o al comité de auditoría según el caso. El cumplimiento de este elemento tendrá un plazo máximo hasta el 30 de junio de 2010.

5.2.6. Principales novedades del elemento de evaluaciones independientes

El elemento de evaluación independiente sí constituye una total novedad en el SCI colombiano, dado que se busca con el mismo evaluar la efectividad del sistema por personas independientes del proceso, buscando garantizar la imparcialidad y objetividad en la evaluación.

La Circular 14 establece quiénes pueden realizar las evaluaciones independientes, señalando al revisor fiscal y al auditor interno como los órganos competentes para realizar esta evaluación, siempre y cuando la evaluación cumpla con los requerimientos exigidos en la misma norma. Así mismo, la circular contempla la posibilidad de contratar auditorías externas de manera voluntaria como una buena práctica de gobierno corporativo si así lo considera pertinente cada compañía.

A pesar de lo anterior, se han planteado varias inquietudes en torno a la posibilidad de realizar esta evaluación independiente, de una lado se cuestiona la independencia del auditor interno, dada su vinculación laboral con la compañía y por ser parte de los órganos de control del sistema.

En cuanto al revisor fiscal surge la duda de si esta evaluación independiente es la misma contemplada en el artículo 4.2.8 de la Circular 54 de 2008, que regula todo lo relacionado con la función de revisoría fiscal, en cuanto a que en dicha circular se señala la obligación al revisor de evaluar la efectividad del SCI de la entidad fiscalizada, incluyendo los sistemas de administración de riesgos implementados o que deban ser implementados de conformidad con las disposiciones que le resulten aplicables.

Como complemento a lo señalado en el artículo 4.2.8 el artículo 4.4.2.2, de la misma circular, contempla que la evaluación del control interno obedece a la valoración que efectúa la revisoría fiscal de los sistemas de control interno y administración de riesgos, implementados por las entidades fiscalizadas, con el fin de emitir una opinión sobre su suficiencia y efectividad.

La Circular 54, adicionalmente, establece que la evaluación que realiza el revisor fiscal debe tener en cuenta cada uno de los elementos del sistema ya señalados, utilizando como marco de referencia los estándares internacionales que resulten aplicables. Para aquellos aspectos relacionados con materias diferentes a lo financiero–contable, podrá apoyarse en el análisis y evaluación de especialistas competentes.

De acuerdo con lo establecido en la Circular 54, y analizando el alcance dado por la Circular 14 con relación al elemento de evaluación independiente, pareciera que las dos normas se refieren a una misma evaluación, que deberá realizarse en todo caso buscando determinar si el SCI de una compañía es suficiente y efectivo.

Las debilidades resultado de la evaluación independiente y sus recomendaciones de mejoramiento deben ser reportadas a los órganos de control, informando sobre asuntos representativos de manera inmediata al comité de auditoría, con el fin de hacer seguimiento sobre el cumplimiento de las recomendaciones dadas en la evaluación.

6. Principales órganos de gobierno corporativo que son parte del SCI

La Organización para la Cooperación y el Desarrollo Económico (OCDE) —OECD, por sus siglas en inglésdefine el gobierno corporativo como “los medios internos por los cuales las corporaciones son operadas y controladas. Un régimen adecuado de gobierno Corporativo ayuda a asegurar que las corporaciones utilicen su capital eficientemente” (OCDE 1999).

Para la Corporación Andina de Fomento (CAF) el término gobierno corporativo se refiere al “Sistema por el cual una empresa es dirigida y controlada en el desarrollo de sus actividades económicas. Se enfoca en las responsabilidades y derechos de cada miembro de las organizaciones y en las reglas a seguir para la toma de decisiones. En particular, el Gobierno Corporativo se refiere a las prácticas formales o informales que establecen las relaciones entre la Junta Directiva, quienes definen las metas de la empresa; la gerencia, los que la administran y operan día a día; y los accionistas, aquellos que invierten en ella”.

De acuerdo con las anteriores definiciones, el gobierno corporativo debe abarcar los órganos de dirección y administración de una sociedad y los órganos de supervisión, estando dentro de ellos unos órganos internos y otros de naturaleza externa, teniendo en cuenta la vinculación de cada uno de ellos con la compañía y su actuación dentro de la sociedad.

Para efectos de control interno, la Circular 14 toma parte de los órganos de dirección, administración y control, que son propios del gobierno corporativo de una compañía, y les asigna unas competencias especiales sobre el SCI.

El cuadro n.º 1 incluye todos los órganos de gobierno corporativo de una compañía, estando dentro de ellos: la asamblea general de accionistas, como máximo órgano de dirección de una sociedad; la junta directiva, que define el direccionamiento estratégico de la compañía y es administrador(14) desde el punto de vista legal; así como los comités de apoyo de la junta que se creen, como es el caso del comité de auditoría y del comité de gobierno corporativo, entre otros.

Otro órgano de gobierno es el representante legal que habitualmente es el presidente de la compañía y el encargado de ejecutar e implementar las políticas, lineamientos y decisiones de la junta directiva, la alta dirección entendida como el segundo nivel inmediatamente inferior al presidente en algunos casos las compañías incluyen el tercer nivel como parte de la alta dirección y unos órganos de supervisión y control, como son el revisor fiscal, el contralor normativo, en los casos en que se debe tener el mismo, el oficial de cumplimiento y el auditor interno.

En el cuadro n.º 1 se han subrayado del grupo de órganos de gobierno corporativo aquellos que son parte de los órganos de control de acuerdo con lo establecido por la Circular 14 de 2009. Cada órgano de control merece un estudio particular desde el punto de vista de la responsabilidad en materia de control interno, sus competencias y las nuevas exigencias de la Circular 14 sobre documentación y evidencia de la toma de decisiones y actuaciones asignadas a cada uno en la norma.

 

Como se indicó anteriormente, el artículo 7.7 de la Circular 14 de 2009 identifica de manera clara los órganos de control del SCI, clasificando los mismos en órganos internos y órganos externos, sin definir lo que se entiende por interno o externo. Hasta el momento no existe una disposición legal en Colombia que defina el alcance de un órgano interno y/o externo.

Desde el punto de vista de gobierno corporativo, la expresión interno puede corresponder a aquellos órganos que están vinculados a la compañía de una manera determinada y que son parte de los procesos, actividades, funciones y toma de decisiones que afectan a la misma.

Los órganos externos, si bien tienen una vinculación contractual con la compañía, no son parte de las actividades, funciones y toma de decisiones habituales que puedan llegar a afectar a una empresa, sino que actúan en calidad de terceros. Dentro de los órganos externos el más común es el revisor fiscal, que tiene una vinculación contractual con la compañía, pero no forma parte de las actividades de la misma, no realiza funciones propias de la entidad y no toma decisiones que afecten el actuar de la empresa, por tal razón, este órgano solo realiza una función de supervisión en calidad de tercero y como parte.

6.1. Órganos de control interno

Dentro de los órganos de control interno la Circular 14 de 2009 establece cuatro órganos a saber: junta directiva, comité de auditoría, representante legal y auditoría interna.

6.1.1. Junta directiva

La Circular 14 de 2009 establece que los miembros de las juntas directivas serán los principales gestores del gobierno corporativo, sin establecer el alcance de la expresión gestor. En materia de gobierno corporativo, este órgano tradicionalmente ha sido el encargado de definir las políticas y lineamientos en torno a esta materia, siendo el presidente, como parte de la administración, y la alta dirección los encargados de ejecutar o gestionar dichas políticas y lineamientos. Pareciera ser que con el enfoque de la Circular 14 la junta además de definir las políticas debe ejecutar parte de las mismas.

De igual manera, la circular señala que la junta debe realizar su gestión con profesionalismo, integridad, competencia e independencia, dedicándole el tiempo necesario. Así mismo, los miembros de la junta deben ser transparentes en su gestión, procurando tener un buen conocimiento de los riesgos que involucran los productos que ofrece la empresa; evaluar con profundidad los riesgos involucrados en los instrumentos de inversión que esta utiliza y apoyar la labor de los órganos de fiscalización y control.

Con la anterior exigencia en materia de riesgo, surge la duda adicional de la posibilidad de incorporar nuevos miembros a la junta directiva, ya sean independientes que provengan de otros sectores económicos o personas ajenas a las actividades propias de la compañía.

Lo anterior, debido a que al exigir un buen conocimiento de los riesgos inherentes de la empresa, la norma deja la incertidumbre a las compañías sobre la forma de asegurar que los miembros de junta puedan conocer y evaluar con profundidad los riesgos propios del negocio. En algunas ocasiones es recomendable, como buena práctica de gobierno corporativo, traer personas expertas en otros negocios que aporten ideas nuevas y conocimiento especializado, sobre todo cuando una sociedad se enfrenta a procesos poco habituales, aunque propios de su actuar, como es el caso de fusiones, nuevas adquisiciones, internacionalización de la compañía, etc.

i. Responsabilidad

La Circular 14 en materia de control interno, conserva la responsabilidad para las diferentes actuaciones de la junta establecida en el artículo 23 de la Ley 222 de 1995, es decir, exige obrar de buena fe, con la lealtad y diligencia de un buen hombre de negocios.

ii. Nuevas competencias de la junta

Dentro del conjunto de funciones y competencias relacionadas con el SCI asignadas a la junta se pueden destacar como novedades las siguientes:

• Participar activamente en la planeación estratégica de la entidad y su seguimiento, determinando las necesidades de redireccionamiento estratégico cuando se requiera.

• Establecer mecanismos de evaluación formal a la gestión de los administradores y sistemas de remuneración e indemnización atados al cumplimiento de objetivos a largo plazo y a los niveles de riesgo.

De esta competencia deberá excluirse a la junta directiva como administrador, dado que su sistema de remuneración es señalado por la asamblea de accionistas. No obstante, en cuanto a la evaluación en materia de gobierno corporativo, es usual la utilización del modelo de autoevaluación de la junta como mecanismo formal de gestión.

• Definir líneas claras de responsabilidad y rendición de cuentas a través de la organización.

• Analizar el proceso de gestión de riesgo existente y adoptar las medidas necesarias para fortalecerlo en aquellos aspectos que así lo requieran, lo cual comprende, entre otros aspectos, establecer protocolos de crisis que incluyan planes de contingencia.

• Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control o supervisión e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.

• Solicitar y estudiar, con la debida anticipación, toda la información relevante que requiera para contar con la ilustración suficiente para adoptar responsablemente las decisiones que le corresponden y solicitar asesoría experta, cuando sea necesario.

Esta es una medida propia de gobierno corporativo que se sugiere incorporar en el reglamento de junta por parte del Código País de gobierno Corporativo aplicable solo a los emisores del mercado de valores, donde se recomienda remitir a los miembros de la junta de manera previa la información que va a ser sometida a consideración, en cada reunión, con una antelación superior a dos días y contar con asesores externos para determinados casos.

• Aprobar los recursos suficientes para que el SCI cumpla sus objetivos.

• Efectuar seguimiento en sus reuniones ordinarias, a través de informes periódicos que le presente el comité de auditoría, sobre la gestión de riesgos en la entidad y las medidas adoptadas para el control o mitigación de los riesgos más relevantes.

El comité deberá realizar esta actividad cada tres meses e informar de manera semestral a la junta su actuación en materia de gestión de riesgos.

• Presentar al final de cada ejercicio a la asamblea general de accionistas un informe sobre el resultado de la evaluación del SCI y sus actuaciones sobre el particular.

iii. Deber de documentación de las decisiones de la junta

La Circular 14 establece la obligación de documentación de todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones relacionadas con control interno, estableciendo, además, la obligación de dejar por escrito la motivación que se dio para llegar a determinada decisión.

6.1.2. Comité de auditoría

El comité de auditoría es un comité de apoyo y dependiente de la junta, encargado de la evaluación del control interno de la misma, así como de su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde a la junta directiva.

El comité debe estar integrado por lo menos por tres miembros de la junta directiva, que deben tener experiencia, ser conocedores de los temas relacionados con las funciones asignadas al referido órgano social y ser en su mayoría independientes, esto último para aquellas entidades que por disposición legal cuentan con miembros independientes, entendiendo por independientes lo señalado en la Ley de Mercado de Valores(15).

El comité debe contar con un reglamento de funcionamiento, siendo la junta directiva el órgano competente para adoptar el mismo, incluyendo las funciones relacionadas con control interno y todas aquellas que sean propias de la compañía y del comité. El comité de auditoría debe reunirse por lo menos cada tres meses, o con una frecuencia mayor si así lo establece su reglamento o lo ameritan los resultados de las evaluaciones del SCI.

i. Responsabilidad

Desde el punto de vista de responsabilidad, la Circular 14 no establece nada al respecto, dejando la duda de qué tipo de responsabilidad es aplicable a las decisiones del comité de auditoría.

Dado que el comité en su mayoría está conformado por los miembros de la junta, se podría llegar a pensar que el comité conserva la responsabilidad establecida en el artículo 23 de la Ley 222 de 1995 para los miembros de junta, es decir obrar de buena fe, con la lealtad y diligencia de un buen hombre de negocios. No obstante, la norma no hace claridad al respecto.

ii. Nuevas competencias del comité

Dentro del conjunto de competencias relacionadas con el SCI asignadas al comité de auditoría, se pueden destacar como novedades las siguientes:

• Aprobar la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI. El alcance de esta competencia no es claro teniendo en cuenta que la junta directiva es la encargada de definir y aprobar las estrategias y políticas generales relacionadas con el SCI.

• Señalar las responsabilidades, atribuciones y límites asignados a los diferentes cargos y áreas respecto de la administración del SCI, incluyendo la gestión de riesgos. De manera similar, se puede establecer que no es claro el alcance de esta competencia, teniendo en cuenta que la junta directiva es la encargada de definir líneas claras de responsabilidad y rendición de cuentas, a través de la organización.

• Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la entidad, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas. Esta competencia deja reflejada claramente la influencia que la SOX tiene en la Circular 14 de 2009.

• Velar porque los administradores suministren la información requerida por los órganos de control para la realización de sus funciones.

• Diseñar, implementar y evaluar programas y controles para prevenir, detectar y responder adecuadamente a los riesgos de fraude y mala conducta, entendiendo por fraude un acto intencionado cometido para obtener una ganancia ilícita y por mala conducta la violación de leyes, reglamentos o políticas internas.

• Evaluar los informes de control interno practicados por los auditores internos, contralor normativo u otros órganos, verificando que la administración haya atendido sus sugerencias y recomendaciones.

• Elaborar el informe que la junta directiva deberá presentar al máximo órgano social respecto al funcionamiento del SCI.

iii. Deber de documentación de las decisiones del comité

Las decisiones y actuaciones del comité de auditoría deben quedar consignadas en actas, lo que constituye toda una novedad por parte de la Circular 14, dado que además de crear las actas, estas deberán estar registradas y tener el mismo procedimiento de manejo de actas de junta directiva.

Los documentos conocidos por el comité que sean sustento de sus decisiones deberán formar parte integral de las actas y se manejarán como anexos, los cuales deberán estar adecuadamente identificados y foliados, y mantenerse bajo medidas adecuadas de conservación y custodia.

6.1.3. Representante legal

La Circular 14 de 2009, incorpora una serie de funciones y competencias para el representante legal que constituye toda una innovación en materia de control interno. La norma señala que el representante es el responsable de implementar los procedimientos de control y revelación, verificar su operatividad al interior de la compañía y su adecuado funcionamiento, demostrando la ejecución de acciones concretas que permitan asegurar la veracidad y confiabilidad del contenido de los informes que se le presenten y la eficacia de los controles.

i. Responsabilidad

La Circular 14 en materia de control interno, si bien señala que el representante legal es responsable de la implementación del SCI, no establece algún tipo de responsabilidad específica para el mismo, lo que indica que el representante conserva la responsabilidad propia de todo administrador establecida en el artículo 23 de la Ley 222 de 1995, es decir, obrar de buena fe, con la lealtad y diligencia de un buen hombre de negocios.

ii. Nuevas competencias del representante

Dentro del conjunto de funciones y competencias relacionadas con el SCI asignadas al representante, se pueden destacar como novedades las siguientes:

• Comunicar las políticas y decisiones adoptadas por la junta directiva a todos y cada uno de los funcionarios dentro de la organización, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deberán procurar el cumplimiento de los objetivos trazados por la dirección.

• Implementar los diferentes informes, protocolos de comunicación, sistemas de información y demás determinaciones de la junta relacionados con el SCI.

• Fijar los lineamientos tendientes a crear la cultura organizacional de control, mediante la definición y puesta en práctica de las políticas y los controles suficientes, la divulgación de las normas éticas y de integridad dentro de la compañía y la definición y aprobación de canales de comunicación, de tal forma que el personal de todos los niveles comprenda la importancia del control interno e identifique su responsabilidad frente al mismo.

• Realizar revisiones periódicas a los manuales y códigos de ética y de gobierno corporativo.

• Velar por el estricto cumplimiento de los niveles de autorización, cupos u otros límites o controles establecidos en las diferentes actividades realizadas por la entidad, incluyendo las adelantadas con los administradores y miembros de junta. Para el caso de grupos empresariales, la matriz, subordinadas y demás vinculados económicos.

• Certificar que los estados financieros y otros informes relevantes para el público no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situación patrimonial o las operaciones de la correspondiente entidad.

• Incluir en su informe de gestión un aparte independiente en el que se dé a conocer a la asamblea de accionistas la evaluación sobre el desempeño del SCI y de manera especial de cada uno de los elementos del SCI.

iii. Deber de documentación

El representante legal debe dejar constancia documental de sus actuaciones relacionadas con el SCI, a través de memorandos, cartas, actas de reuniones o los documentos que resulten pertinentes para el efecto.

6.1.4. Auditoría interna

Como se indicó al inicio de este documento, la Circular 14 contempla la auditoría interna como una actividad que se materializa a través del auditor interno en los casos en que se cree este órgano.

La actividad de auditoría se fundamenta en criterios de independencia y objetividad de aseguramiento y consulta, ayudando con la misma a cumplir los objetivos trazados por la compañía y a evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno corporativo bajo un enfoque sistemático y disciplinado.

La actividad de auditoría interna es realizada por el auditor interno, sin embargo, la Circular 14 permite que las entidades supervisadas por la Superfinanciera tengan un auditor, contralor o funcionario que cumpla las funciones de auditoría, lo que da lugar a que las entidades estudien los casos en que consideran que un mismo órgano puede cumplir varias funciones incluyendo las de auditoría.

La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno de la entidad. Para tal efecto, utilizando un enfoque sistemático y disciplinado, el auditor deberá evaluar lo siguiente:

Gestión de riesgos: el auditor interno debe evaluar la eficacia del sistema de gestión de riesgos de la compañía y las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización.

Sistema de control interno: la actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos que realice el auditor y promoviendo la mejora continua, sin perjuicio de la autoevaluación y el autocontrol que corresponden a cada funcionario de la organización.

Gobierno corporativo: la actividad de auditoría interna a través de su auditor debe evaluar y hacer las recomendaciones apropiadas con el fin de mejorar el proceso de gobierno corporativo, para lo cual debe evaluar el diseño, implantación y eficacia de los objetivos, programas y actividades de la organización.

i. Responsabilidad

La Circular 14 de 2009 incorpora una responsabilidad especial para el auditor interno en materia de control interno, señalando que los auditores deben cumplir su trabajo con el cuidado y la pericia que se espera de un especialista razonablemente prudente y competente.

Este tipo de responsabilidad establecida para el auditor interno deja varios interrogantes desde el punto de vista de su materialización, dado que no es claro lo que se debe entender por cuidado y pericia de un especialista prudente y competente bajo criterios de razonabilidad.

ii. Nuevas competencias del auditor interno

Las principales funciones del auditor interno, o de quien tenga a su cargo responsabilidades equivalentes, son las siguientes:

• Elaborar el plan anual de auditoría antes de finalizar el año anterior y darle estricto cumplimiento.

• Someter a consideración del comité de auditoría el presupuesto anual de funcionamiento del área de auditoría interna.

• Realizar una evaluación detallada de la efectividad y adecuación del SCI en las áreas y procesos de la organización que resulten relevantes.

• Revisar los procedimientos adoptados por la administración para garantizar el cumplimiento de los requerimientos legales y regulatorios, códigos internos y la implementación de políticas y procedimientos.

• Contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno de la empresa, utilizando un enfoque sistemático y disciplinado.

• Adelantar las investigaciones especiales que considere pertinentes, dentro del ámbito de su competencia, para lo cual deberá contar con la colaboración de expertos en aquellos temas en que se requiera.

• Hacer seguimiento a los controles establecidos por la entidad, mediante la revisión de la información contable y financiera.

• Evaluar los problemas encontrados y solicitar las acciones de mejoramiento correspondientes.

• Presentar a la junta directiva, por lo menos al cierre de cada ejercicio, un informe acerca de los resultados de su labor, incluyendo, entre otros aspectos, las deficiencias detectadas en el SCI, en los casos en que sea aplicable.

6.2. Órganos de control externo

Los órganos de control externo identificados en la Circular 14 de 2009 son: revisor fiscal y contralor normativo.

6.2.1. Revisor fiscal

Es importante establecer que en octubre de 2008 la Superintendencia Financiera de Colombia expidió la Circular 54, sobre revisoría fiscal. Esta norma compila los principales aspectos relacionados con el nombramiento, funciones y desarrollo de actividades relacionadas con la revisoría fiscal, para hacerlas aplicables a cada una de las entidades supervisadas por la Superfinanciera.

Dentro de los principales aspectos incorporados en esta norma, y atendiendo prácticas internacionales de gobierno corporativo, se incluyeron nuevas medidas que deben ser adoptadas por las sociedades que tengan la obligación de tener revisor fiscal y se encuentren bajo la supervisión de la Superfinanciera. Estas medidas buscan garantizar la independencia del revisor y el buen gobierno de las empresas y su relación con el mismo.

El conjunto de nuevas medidas de gobierno corporativo se puede resumir de la siguiente manera:

• De una parte se exige la exclusividad en la prestación de los servicios de revisoría fiscal, prohibiéndose así que se contraten servicios diferentes al de revisoría, dado que la contratación de servicios como asesoría tributaria, asesoría jurídica y asesoría en materia de administración de riesgos y control interno puede llegar, en un momento dado, a afectar la independencia que debe tener en todo momento la persona que realiza la labor de revisoría externa.

• Otra medida es la obligación de incluir a partir del 2009, en los contratos que se suscriba con la revisoría fiscal, cláusulas donde la firma se obligue a rotar a las personas que al interior de la entidad adelantan dicha función, es decir los equipos de trabajo, con una periodicidad de cinco años por lo menos.

• Por otro lado, una de las mayores novedades corresponde a la designación como revisor fiscal de personas o firmas que no hayan recibido de la compañía, su matriz o sus subordinadas ingresos que representen el 25% o más del total de los ingresos anuales en Colombia, durante los últimos cinco años del respectivo revisor fiscal, con base en una certificación que para el efecto imparta este último.

• Un último aspecto, en materia de gobierno corporativo, es el correspondiente a la consecución de pluralidad de propuestas para el nombramiento del revisor fiscal. La pluralidad de propuestas debe ser estudiada de manera preliminar por el comité de auditoría de la compañía, para que posteriormente el mismo comité, someta a consideración de la junta directiva los posibles candidatos, que se presentarán a su vez y serán susceptibles de elección ante la asamblea de accionistas de la sociedad, y los resultados obtenidos del proceso de selección.

En materia de control interno, la Circular 14 establece que el revisor fiscal de la entidad debe valorar los sistemas de control interno y administración de riesgos implementados por las entidades a fin de emitir la opinión a la que se refiere la Circular 54 de 2008.

Es decir que la evaluación que realiza el revisor fiscal debe tener en cuenta cada uno de los elementos del sistema utilizando como marco de referencia los estándares internacionales que resulten aplicables.

6.2.2. Contralor normativo

El contralor normativo fue creado originalmente en la Ley 964 de 2005, Ley de Mercado de Valores, para las sociedades comisionistas de bolsa, como un órgano independiente de la dirección y administración de las sociedades, nombrado por la junta directiva a diferencia del revisor fiscal que es designado por la asamblea de accionistas.

Por su parte, el Decreto 2175 de 2007, sobre carteras colectivas, hace extensiva la figura del contralor señalando la obligación de contar con el mismo en las sociedades fiduciarias, comisionistas y sociedades administradoras que administren carteras colectivas.

La Circular 14 de 2009 de manera expresa señala que el contralor normativo es parte de los órganos de control externo, estableciendo unos criterios de independencia para el ejercicio de sus actividades y señalando, además, una serie de causales que pueden dar lugar a inhabilidades. Así mismo, la norma señala que la vinculación del contralor normativo se efectuará a través de un contrato de prestación de servicios u otra modalidad que en ningún caso implique subordinación.

El contralor normativo, desde el punto de vista de control interno para las firmas comisionistas, tiene unas funciones especiales orientadas a establecer, implementar y verificar el cumplimiento de las políticas y mecanismos encaminados a supervisar el cumplimiento de la normatividad aplicable, detectar prevenir y manejar los diferentes conflictos de interés que se presenten, velar por la separación de activos de la compañía y la de sus clientes, supervisar la adecuada clasificación de los clientes, y verificar las exigencias legales para las personas que realizan operaciones del mercado de valores a nombre de la compañía, entre otros.

Con relación a las funciones asignadas en materia de control interno al contralor normativo, para las sociedades que administran carteras colectivas, es de señalar que la norma no introdujo aspectos diferentes a los que ya se encontraban señalados en el Decreto 2175 de 2007 sobre carteras colectivas.

Conclusiones

1. El Sistema de Control Interno (SCI), contemplado en la Circular 14 de 2009 de la Superfinanciera, toma como referencia los siguientes modelos internacionales: COSO Integrado, SOX (Sarbanes-Oxley Act of 2002 Section 404), Basilea, COBIT y los estándares del Instituto de Auditores Internos (IIA).

2. La Circular 14 de 2009 expedida por la Superfinanciera recoge parte de los elementos establecidos en la definición planteada en COSO I, en cuanto a que establece que el sistema de control interno está en cabeza de la junta directiva, la alta dirección y todos los funcionarios de la organización. No obstante, no se concibe el control interno como un proceso, sino como un sistema complementario al de riesgos y gobierno corporativo.

3. La Circular 14 de 2009 adopta parcialmente los requerimientos establecidos en la SOX, en especial lo relacionado con las competencias y la conformación del comité de auditoría, la obligación para la junta directiva de realizar un informe que contenga el resultado de la evaluación del sistema de control interno de la compañía, incorpora el deber de certificación de los estados financieros por parte del representante legal y la función certificadora del cumplimiento de los diferentes aspectos que exige la Circular 14 previa evaluación que se haga del SCI por parte de la junta directiva.

4. La Circular 14 de 2009, pareciera que no incluye los componentes señalados en el informe COSO II de manera expresa, no obstante, si bien los mismos no se encuentran señalados con la denominación de COSO II, al incorporar los elementos que conforman el SCI, partiendo de la base del modelo COSO I, incluye varios aspectos y exigencias relacionadas con el modelo Enterprise Risk Management - Integrated Framework - COSO II.

5. La Circular 14 de la Superfinanciera, además de incorporar dentro del SCI el área de tecnología como un aspecto de gran relevancia, adopta varios de los pasos y elementos establecidos en el modelo internacional COBIT.

6. La Circular 14 de 2009 parte de la base de la adopción de Basilea II, y establece de manera expresa que el marco conceptual y normativo que se desarrolla a través de la circular para el SCI se convierte en un elemento fundamental del gobierno corporativo de las entidades supervisadas.

7. Los principios orientadores del SCI colombiano son: autocontrol, autorregulación y autogestión.

8. Los elementos del SCI de acuerdo con la Circular 14 son: ambiente de control, gestión de riesgos, actividades de control, información y comunicación, monitoreo y evaluaciones independientes.

9. Para efectos de control interno, la Circular 14 toma parte de los órganos de dirección, administración y supervisión que son propios del gobierno corporativo de una compañía y le asigna unas competencias especiales sobre el SCI. Estos órganos son internos —junta directiva, comité de auditoría, representante legal y auditoría interna— y externos: revisor fiscal y contralor normativo.

10. Desde el punto de vista de la responsabilidad de los órganos de control, la Circular 14 establece de manera expresa la responsabilidad para algunos órganos internos y deja de lado el tema para los órganos externos. En cuanto a los órganos internos, señala que la junta directiva debe actuar de acuerdo con lo estipulado en el artículo 23 de la Ley 222 de 1995, es decir obrar de buena fe, con la lealtad y diligencia de un buen hombre de negocios. Con relación al comité de auditoría y al representante legal no establece mención al respecto, y en cuanto al auditor interno crea una responsabilidad especial señalando que los auditores deben cumplir su trabajo con el cuidado y la pericia que se espera de un especialista razonablemente prudente y competente.

Bibliografía

ARRUÑADA, Benito. (1998) Teoría Contractual de la Empresa. Madrid: Marcial Pons Ediciones Jurídicas y Sociales S.A.

AUTORREGULADOR DEL MERCADO DE VALORES DE COLOMBIA, AMV. (2008) Guía de Control Interno en la Intermediación del Mercado de Valores, mayo del 2008.

www.amvcolombia.org.co. 

BANCO DE PAGOS INTERNACIONALES (2002) “Sanas prácticas para la administración y supervisión del riesgo operacional”. Comité de Basilea sobre Supervisión Bancaria, julio. Traducción de la Superintendencia de Bancos de Guatemala.

BARBER, Carlos; CRUZ, Guillermo y FABRE, Jorge. (2006) La Institucionalización de la Empresa. Casos de Éxito de Gobierno Corporativo. México: Centro de Excelencia en Gobierno Corporativo, 1.ª Edición.

CADBURY, Adrian. (1992) The Financial Aspects of Corporate Governance. U.K., Gee and Co.

— (2002) Corporate Governance and Chairmanship: a Personal View. Oxford University Press.

COMITÉ DE BASILEA SOBRE SUPERVISIÓN BANCARIA (1998) Marco de Referencia para los Sistemas de Control Interno en las Organizaciones Bancarias. Basilea, septiembre.

CONFECÁMARAS (2007) Experiencias Exitosas de Gobierno Corporativo en la Región Andina. Colombia: Ed. Periódicas Ltda.

— (2002) Código Marco de Buen Gobierno de Confecámaras. Colombia, Confecámaras.

DICK, I.J. Alexander. (2000) Ownership Structure, Legal Protections and Corporate Governance. Working Paper, Harvard University.

FAMA, E.F. y JENSER, M.C. (1983) “Agency problems and residual claims”, Journal of Law and Economic, n.º 26, pp. 327-349.

FRANKS, Julian y MAYER, Colin (1996) “Hostile Takeovers and the Correction of Managerial Failure”, Journal of Financial Economics, v. 40, n.º 1.

— MAYER, Colin and ROSSI, Stefano. (2002) The Origination and Evolution of Ownership and Control of the Corporation . Working Paper, London Business School and University of Oxford.

GALLATI, R. (2003) “Risk management and capital adequacy”. New York: McGraw-Hill.

GROSSMAN, Sanford J. y HART, Oliver. (1986) “The Costs and Benefits of Ownership: A Theory of Vertical and Lateral Integration”, Journal of Political Economy, v. 94.

HELLWIG, Martin. (2000) “On the Economics and Politics of Corporate Finance and Corporate Control”, en Vives, Xavier (ed.) (1995) Corporate Governance. Cambridge University Press.

INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA (2002) Normas para el ejercicio profesional de la auditoría interna. Madrid.

JENSEN, M. y MECKLING, W. (1976) “Theory of the Firm: Managerial Behavior, Agency Costs, and Capital Structure”, Journal of Financial Economics, nros. 1 y 2.

JENSEN, Michael C. (2001) Value Maximization, Stakeholder Theory, and the Corporate Objective Function. Working Paper, n.º 01-09, Amos Tuck School of Business at Dartmouth College.

LAGOS VILLAREAL, Osvaldo. (2005) “La responsabilidad civil de los directores de sociedades anónimas”, Foro de Derecho Mercantil – Revista Internacional , abril-junio, Bogotá.

MAYER, Colin, FRANKS, Julian y RENNEBOOG, Luc. (2001) “Who disciplines management in poorly performing companies?”, Journal of Financial Intermediation, v. 10.

ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT, OECD (1999 y 2004) “OECD Principles of Corporate Governance”.

ORTEGA, Jaime Andrés (2005) “Marco Conceptual del nuevo modelo de control interno en Colombia”. X Congreso Internacional del CLAD sobre la Reforma del Estado y de la Administración Pública, Santiago, Chile, octubre. pp. 18-21,

PAZ-ARES, Cándido. (2004) El Gobierno Corporativo como estrategia de Creación de Valor. Bolsa de Valores de Colombia. Bogotá: Ed. Zona.

RESTREPO CAMPIÑO, Mónica; SUÁREZ ORTIZ, Édgar y SERNA GÓMEZ, Humberto. (2007) Prácticas de Buen Gobierno Corporativo en el Sector Financiero Latinoamericano. Federación Latinoamericana de Bancos – Felaban, octubre. Bogotá: Guías de Impresión.

SAURINA SALAS, Jesús y FREIXAS DARGALLO, Xavier (2004) “Teoría y práctica de la regulación bancaria”, Moneda y Crédito , n.º 218, pp.111-157.

SIGNES DE MESA, Juan Ignacio. (2007) Ley Sarbanes-Oxley y las Sociedades Cotizadas de menor tamaño: ¿Sirve un mismo modelo para todos los tipos de Sociedades? Documentos de Trabajo del Departamento de Derecho Mercantil, septiembre. Universidad Complutense de Madrid.

www.ucm.es/BUCM/der/10437.php. 

THE COMMITTEE OF SPONSORING ORGANISATIONS OF THE TREADWAY COMMISSION, COSO (1994) Internal Control – Integrated Framework, July.

(1) Por entidades supervisadas deberá entenderse las entidades vigiladas y controladas por la Superfinanciera de acuerdo con lo establecido en el Decreto 4327 del 2005.

(2) La Securities and Exchange Commission (SEC) a través del Managemen´t Report expedido en 2003 que buscaba desarrollar la sección 404 de la SOX, definió la debilidad material o sustantiva como aquella que da lugar a un control interno no efectivo, dado que surge con ocasión de la evaluación que hacen los administradores sobre sus sistemas de control interno, y el mismo arroja una o más deficiencias significativas que pueden afectar los datos incorporados en la información financiera que se reporta.

(3) La Circular 14 de 2009 define la eficiencia como la capacidad de producir el máximo de los resultados con el mínimo de los recursos, energía y tiempo.

(4) Con la Ley 1328 del 2009, las compañías de financiamiento comercial se denominarán “compañías de financiamiento” y las casas de cambio, “sociedades de intermediación cambiaria y de servicios financieros especiales”.

(5) Pueden existir entidades que por su actividad son vigiladas por la Superfinanciera y que a su vez se encuentren inscritas como emisores del mercado de valores a través de la emisión de acciones o títulos de renta fija, en este caso no se considerarán empresas controladas.

(6) Al respecto véase el Oficio 220-30623 de mayo 3 de 2000 de la Superintendencia de Sociedades.

(7) El artículo 73 del estatuto orgánico del sistema financiero en su numeral 5.º establece la creación del presidente de la junta.

(8) Al respecto véase el artículo 46 de la Ley 964 de 2005.

(9) Al respecto véase el numeral 7.3 de la Circular Externa 14 de 2009.

(10) Al respecto véase el artículo 7.5.2 de la Circular 14 de 2009.

(11) Esta obligación ya se encontraba establecida en la Circular 19 de 2008 expedida por el Autorregulador del Mercado de Valores (AMV), para las entidades que realizan intermediación del mercado de valores, en cuanto al acceso a las áreas de tesorería y aquellas que realizaban operaciones de intermediación de mercado de valores.

(12) Al respecto véase el artículo 7.6 de la Circular 14 de 2009.

(13) Para efectos de la Circular 14 de 2009 la expresión administración señalada en varios apartes de la norma pareciera que cobija a los administradores de la compañía identificados en la Ley 222 de 1995, es decir la junta directiva y los representantes legales y la alta dirección.

(14) El artículo 22 de la Ley 222 de 1995 establece que son administradores: “el representante legal, el liquidador, el factor, los miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos ejerzan o detenten estas funciones”.

(15) Al respecto véase el artículo 44 de la Ley 964 de 2005.