Ministerio de Tecnologías de la Información y las Comunicaciones

RESOLUCIÓN 2706 DE 2010 

(Diciembre 29)

“Por la cual se fijan los requisitos y parámetros que deben observarse en la implementación del sistema de control interno que deben adoptar los interesados en obtener su habilitación como operadores de servicios postales de pago”.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

El Ministro de Tecnologías de la Información y las Comunicaciones,

en ejercicio de sus facultades legales, y en especial de las que le confiere el parágrafo segundo de la Ley 1369 de 2009, y

CONSIDERANDO:

Que el artículo 1º de la Ley 1369 de 2009 señala el régimen general de los servicios postales y, a su vez, establece que son considerados un servicio público en los términos del artículo 365 de la Constitución Política;

Que el citado artículo prevé además que la prestación de los servicios postales estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad;

Que el artículo 2º de la citada ley establece dentro de los objetivos de intervención del Estado, el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales;

Que a su vez el parágrafo 2º del artículo 4º dispone que para el caso particular de los operadores de servicios postales de pago, el Ministerio de Tecnologías de la Información y las Comunicaciones reglamentará los requisitos de tipo patrimonial y de mitigación de riesgos que se deberán acreditar para la obtención del respectivo título habilitante, adicionales a los contemplados en los literales a), c) y d) del citado artículo;

Que el Ministerio de Tecnologías de la Información y las Comunicaciones publicó para comentarios de los interesados el pasado 6 de diciembre, cinco proyectos de resolución relativos al mandato contenido en el parágrafo 2º del artículo 4º de la precitada ley, entre ellos, el borrador de la presente resolución, por el término inicial de ocho días hábiles para comentarios, límite que fue prorrogado por dos días más, y venció el 20 de diciembre;

Que se recibieron diversas comunicaciones con comentarios sobre los proyectos publicados;

Que en cumplimiento de lo dispuesto por el artículo 7º de la Ley 1340 de 2009, reglamentado por el Decreto 2897 de 2010, el Ministerio de Tecnologías de la Información y las Comunicaciones remitió a la Superintendencia de Industria y Comercio mediante Comunicación con Registro 428837 del 16 de diciembre de 2010, los proyectos de resoluciones los cuales fueron publicados en su página web, con el objeto de tener el concepto previo de esa entidad sobre los mismos;

Que mediante oficio radicado bajo el número 10-158347 del 24 de diciembre de 2010, el superintendente delegado para la protección de la competencia, se pronunció sobre los proyectos de resolución, en los siguientes términos: “(...) aunque la habilitación por parte del Ministerio de las Tecnologías de la Información y las Comunicaciones puede considerarse un obstáculo a la competencia, esta es una obligación legal la cual se basa en la característica de servicio público que tienen los servicios postales”;

Que en la fijación de los requisitos patrimoniales y de mitigación de riesgos, se tuvo en cuenta que si bien en la prestación de los servicios postales de pago se maneja dinero del público, dicha actividad no implica una intermediación financiera por ello, la prestación de servicios postales de pago conllevan un espectro de operaciones autorizadas menor que las autorizadas a las entidades financieras sometidas a la vigilancia de la Superintendencia Financiera, por lo que dichas exigencias patrimoniales y de mitigación de riesgos deben ajustarse a la naturaleza y tipo de operaciones permitidas a los nuevos agentes;

Que se hace necesario fijar los requisitos y parámetros mínimos con que deben contar los operadores postales de pago a nivel de su sistema de control interno, para una adecuada supervisión de los sistemas de administración de riesgos;

Que en los términos del numeral 14 del artículo 2º de la Resolución 517 de 2010, corresponde por delegación al director de comunicaciones del Ministerio de Tecnologías de la Información y las Comunicaciones la facultad de determinar y verificar los requisitos de tipo patrimonial y operacional exigibles a los interesados en la obtención del título habilitante para la prestación de los servicios postales;

Que para los efectos de la expedición de esta resolución, tal función es reasumida por el Ministro de Tecnologías de la Información y las Comunicaciones;

Que en virtud de lo expuesto;

RESUELVE:

ART. 1º—Objeto. La presente resolución tiene por objeto establecer los requisitos y parámetros mínimos para la adecuada mitigación y administración del riesgo de liquidez que deben acreditar las personas jurídicas interesadas en obtener su habilitación como operadores de servicios postales de pago.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 2º—Sujetos obligados. Las personas jurídicas interesadas en obtener su habilitación como operadores de servicios postales de pago deberán implementar y desarrollar un sistema de control interno, atendiendo los requisitos establecidos en la presente resolución y mantenerlo como parte integral de su operación una vez obtengan su habilitación.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 3º—Definición y objetivo del sistema de control interno. Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva u órgano equivalente, la alta dirección y demás funcionarios del operador para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos:

i) Mejorar la eficiencia y eficacia en las operaciones del operador;

ii) Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables al operador;

iii) Prevenir y mitigar la ocurrencia de fraudes, originados tanto al interior como al exterior del operador;

iv) Realizar una gestión adecuada de los riesgos.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 4º—Principios del sistema de control interno. Los principios del SCI constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan su efectividad de acuerdo con la naturaleza de las operaciones autorizadas, funciones y características propias, y se aplican para cada uno de los aspectos que se tratan en la presente resolución.

En consecuencia, los operadores, en el diseño e implementación o revisión o ajustes del SCI deben incluir estos principios, documentarlos con los soportes pertinentes y tenerlos a disposición del Ministerio de Tecnologías de la Información y de las Comunicaciones.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 5º—Ambiente de control. El ambiente de control está dado por los elementos

de la cultura organizacional que fomentan en todos los integrantes de la entidad principios, valores y conductas orientadas hacia el control. Es el fundamento de todos los demás elementos del SCI, dado que la eficacia del mismo depende de que las entidades cuenten con personal competente e inculquen en toda la organización un sentido de integridad y concientización sobre el control.

Los elementos mínimos para crear un adecuado ambiente de control son:

i) Determinación formal por parte de la alta dirección de los principios básicos que rigen al operador, los cuales deben constar en documentos que se divulguen a toda la organización y a grupos de interés;

ii) Expedición de un código de conducta que incluya:

• Valores y pautas explícitas de comportamiento.

• Parámetros concretos determinados para el manejo de conflictos de interés, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados económicos, en adición a los que apliquen por disposición legal.

• Mecanismos para evitar el uso de información privilegiada o reservada.

• Órganos o instancias competentes para hacer seguimiento al cumplimiento del código.

• Consecuencias de su inobservancia, teniendo en cuenta factores tales como reincidencias, pérdidas para los clientes o a la entidad, violaciones a límites, entre otros.

El código de conducta debe orientar la actuación de todos los funcionarios, quienes deben comprometerse explícitamente con su cumplimiento;

iii) Adopción de procedimientos que propicien que los empleados en todos los niveles de la organización cuenten con los conocimientos, habilidades y conductas necesarios para el desempeño de sus funciones;

iv) Determinación de una estructura organizacional que permita soportar el alcance del SCI y que defina claramente los niveles de autoridad y responsabilidad, precisando el alcance y límite de los mismos. La estructura organizacional debe estar armonizada con el tamaño y naturaleza de las actividades del operador, soportando el alcance del SCI;

v) Establecimiento de objetivos que deben estar alineados con la misión, visión y objetivos estratégicos del operador, para que a partir de esta definición, se formule la estrategia

y se determinen los correspondientes objetivos operativos, de reporte y de cumplimiento para la organización.

La alta dirección del operador deberá transmitir a todos los niveles de la organización su compromiso y liderazgo respecto de los controles internos y los valores éticos, involucrando a todos los funcionarios para que asuman la responsabilidad que les corresponde frente al SCI.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 6º—Actividades de control. Las actividades de control son las políticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho del operador, en todos los niveles y funciones.

Lo anterior incluye entonces, el establecimiento de unas actividades obligatorias para todas las áreas, operaciones y procesos del operador, entre las cuales se encuentran, las siguientes:

i) Revisiones de alto nivel, como son el análisis de informes y presentaciones que solicitan los miembros de junta directiva y otros altos directivos del operador para efectos de analizar y monitorear el progreso del operador hacia el logro de sus objetivos; detectar problemas, tales como deficiencias de control, errores en los informes financieros o actividades fraudulentas, y adoptar los correctivos necesarios;

ii) Gestión directa de funciones o actividades;

iii) Controles generales, que rigen para todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada. Dentro de estos se incluyen aquellos que se hagan sobre la administración de la tecnología de información, su infraestructura, la administración de seguridad y la adquisición, desarrollo y mantenimiento del software;

iv) Controles de aplicación, los cuales incluyen pasos a través de sistemas tecnológicos y manuales de procedimientos relacionados;

v) Limitaciones de acceso a las distintas áreas de la organización, de acuerdo con el nivel de riesgo asociado a cada una de ellas, teniendo en cuenta tanto la seguridad de los funcionarios del operador como de sus bienes, de los activos de terceros que administra y de su información;

vi) Acompañamiento a los visitantes del operador para controlar que solo ingresen a los sitios permitidos y que no realicen ningún acto que afecte la seguridad de los equipos o de la información que en ellos se procesa;

vii) Controles físicos adicionales que resulten necesarios;

viii) Indicadores de rendimiento;

ix) Segregación de funciones;

x) Acuerdos de confidencialidad;

xi) Procedimientos de control;

xii) Difusión de las actividades de control.

Las actividades de control son seleccionadas y desarrolladas considerando la relación beneficio/costo y su potencial efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos de la organización.

Dichas actividades implican una política que establece lo que debe hacerse y adicionalmente los procedimientos para llevarla a cabo. Todas estas actividades deben tener como principal objetivo la determinación y prevención de los riesgos (potenciales o reales), errores, fraudes u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o el prestigio del operador.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 7º—Información y comunicación. Teniendo en cuenta que la operación de una empresa depende en gran medida de sus sistemas de información, es necesario adoptar controles que garanticen la seguridad, calidad y cumplimiento de la información generada.

Los sistemas de información y comunicación son la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción de las decisiones que les corresponde en relación con la respectiva entidad.

1. Información.

Este sistema debe ser funcional para el suministro de información que permita dirigir y controlar el negocio en forma adecuada. Asimismo, deben permitir manejar tanto los datos internos como aquellos que se reciban del exterior.

Los operadores deben contar con sistemas que garanticen que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (efectividad, eficiencia, y confiabilidad) y cumplimiento, para lo cual deberán establecer controles generales y específicos para la entrada, el procesamiento y la salida de la información, atendiendo su importancia relativa y nivel de riesgo.

Ello incluye, cuando menos, las siguientes actividades:

i) Identificar la información que se recibe y su fuente;

ii) Asignar el responsable de cada información y las personas que pueden tener acceso a la misma;

iii) Diseñar formularios y/o mecanismos que ayuden a minimizar errores u omisiones en la recopilación y procesamiento de la información, así como en la elaboración de informes;

iv) Diseñar procedimientos para detectar, reportar y corregir los errores y las irregularidades que puedan presentarse;

v) Establecer procedimientos que permitan al operador retener o reproducir los documentos fuente originales, para facilitar la recuperación o reconstrucción de datos, así como para satisfacer requerimientos legales;

vi) Definir controles para garantizar que los datos y documentos sean preparados por personal autorizado para hacerlo;

vii) Implementar controles para proteger adecuadamente la información sensible contra acceso o modificación no autorizada;

viii) Diseñar procedimientos para la administración del almacenamiento de información y sus copias de respaldo;

ix) Establecer parámetros para la entrega de copias, a través de cualquier modalidad (papel, medio magnético, entre otros);

x) Clasificar la información (en pública, privada o confidencial, según corresponda);

xi) Verificar la existencia o no de procedimientos de custodia de la información, cuando sea del caso, y de su eficacia;

xii) Implementar mecanismos para evitar el uso de información privilegiada, en beneficio propio o de terceros;

xiii) Detectar deficiencias y aplicar acciones de mejoramiento;

xiv) Cumplir los requerimientos legales y reglamentarios.

Los administradores del operador deben definir políticas de seguridad de la información, mediante la ejecución de un programa que comprenda, entre otros, el diseño, implantación, divulgación, educación y mantenimiento de las estrategias y mecanismos para administrar la seguridad de la información, lo cual incluye, entre otros mecanismos, la celebración de acuerdos de confidencialidad, en aquellos casos en los cuales resulte indispensable suministrar información privilegiada a personas que en condiciones normales no tienen acceso a la misma.

2. Comunicación.

Los operadores deben mantener una comunicación eficaz, que fluya en todas las direcciones a través de todas las áreas de la organización (de arriba hacia abajo, a la inversa y transversalmente).

Cada empleado debe conocer el papel que desempeña dentro de la organización y dentro del SCI y la forma en la cual las actividades a su cargo están relacionadas con el trabajo de los demás. Para el efecto, el operador deberá disponer de medios para comunicar la información significativa, tanto al interior de la organización como hacia su exterior.

Como parte de una adecuada administración de la comunicación, se deben identificar, cuando menos, los siguientes elementos:

i) Canales de comunicación;

ii) Responsables de su manejo;

iii) Requisitos de la información que se divulga;

iv) Frecuencia de la comunicación;

v) Responsables;

vi) Destinatarios;

vii) Controles al proceso de comunicación.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 8º—Monitoreo. Es el proceso que se lleva a cabo para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza por medio de la supervisión continua que realizan los jefes o líderes de cada área o proceso como parte habitual de su responsabilidad frente al control interno, así como de las evaluaciones periódicas puntuales que realicen la auditoría interna u órgano equivalente, el máximo responsable de la organización y otras revisiones dirigidas.

El SCI no puede ser estático, sino dinámico, ajustándose en forma permanente a las nuevas situaciones del entorno. Con tal fin, es importante que se establezcan controles o alarmas tanto en los sistemas que se lleven en forma manual como en los que se lleven en forma computarizada, de manera que permanentemente se valore la calidad y el desempeño del sistema en el tiempo y se realicen las acciones de mejoramiento necesarias, pues ello equivale a una actividad de supervisión y administración. Para efectos de lo anterior, dicho monitoreo se debe realizar en todas las etapas de los procesos y en tiempo real en el curso de las operaciones.

Las evaluaciones permanentes y separadas permiten a la alta dirección determinar si el control interno está presente y funciona en forma adecuada en el tiempo.

Las deficiencias de control interno deben ser identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten materiales, informarse también a la junta directiva u órgano equivalente.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 9º—Evaluaciones independientes. Aunque los procedimientos de seguimiento permanente, así como la autoevaluación de cada área, proporcionan una retroalimentación importante, es necesario realizar adicionalmente evaluaciones que se centren directamente sobre la efectividad del SCI, las cuales deben ser realizadas por personas totalmente independientes del proceso, como requisito indispensable para garantizar su imparcialidad y objetividad.

Se cumple con el requisito de estas evaluaciones independientes a través de los auditores internos y del revisor fiscal, si lo hubiere, en la medida en que el alcance de la evaluación hecha por estos respecto al control interno de la respectiva entidad tenga el alcance y la cobertura requeridos en la presente resolución.

Las debilidades resultado de esta evaluación y sus recomendaciones de mejoramiento, deben ser reportadas de manera ascendente, informando sobre asuntos representativos de manera inmediata al comité de auditoría, y haciéndoles seguimiento.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 10.—Responsabilidades dentro del sistema de control:

1. Órganos internos.

1.1. Junta directiva u órgano equivalente.

Los miembros de las juntas directivas u órgano equivalente, como principales gestores del operador, deben realizar su gestión con profesionalismo, integridad, competencia e independencia, dedicándole el tiempo necesario. Así mismo, deben ser transparentes en su gestión, procurando tener un buen conocimiento de los riesgos que involucran los productos que ofrece el operador; evaluar con profundidad los riesgos asociados a los instrumentos de inversión que esta utiliza y apoyar la labor de los órganos de fiscalización y control.

De la junta directiva u órgano equivalente debe provenir la autoridad, orientación y vigilancia al personal directivo superior, de manera que sus miembros deberán contar con experiencia y conocimientos adecuados acerca de las actividades, los objetivos y la estructura de la respectiva entidad.

Funciones generales

Sin perjuicio de las obligaciones especiales asignadas a este órgano en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno, en cumplimiento de los deberes que le señala el artículo 23 de la Ley 222 de 1995, la junta directiva u órgano equivalente es la instancia responsable de:

i) Participar activamente en la planeación estratégica del operador, aprobarla y efectuar seguimiento, para determinar las necesidades de redireccionamiento estratégico cuando se requiera;

ii) Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones del comité de auditoría;

iii) Establecer mecanismos de evaluación formal a la gestión de los administradores y sistemas de remuneración e indemnización atados al cumplimiento de objetivos a largo plazo y los niveles de riesgo;

iv) Definir claras líneas de responsabilidad y rendición de cuentas a través de la organización;

v) Designar a los directivos de las áreas encargadas del SCI y de la gestión de riesgos, salvo que el régimen aplicable al operador o sus estatutos establezcan una instancia diferente para el efecto;

vi) Adoptar las medidas necesarias para garantizar la independencia del auditor interno y hacer seguimiento a su cumplimiento;

vii) Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control o supervisión e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar;

viii) Solicitar y estudiar, con la debida anticipación, toda la información relevante que requiera para contar con la ilustración suficiente para adoptar responsablemente las decisiones que le corresponden y solicitar asesoría experta, cuando sea necesario;

ix) Requerir las aclaraciones y formular las objeciones que considere pertinentes respecto

a los asuntos que se someten a su consideración;

x) Aprobar los recursos suficientes para que el SCI cumpla sus objetivos;

xi) Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que le presente el comité de auditoría, sobre la gestión de riesgos en el operador y las medidas adoptadas para el control o mitigación de los riesgos más relevantes;

xii) Evaluar los estados financieros, con sus notas, antes de que sean presentados a la asamblea de accionistas o máximo órgano social, teniendo en cuenta los informes y recomendaciones que le presente el comité de auditoría;

xiii) Presentar al final de cada ejercicio a la asamblea general de accionistas, junta de socios o máximo órgano social un informe sobre el resultado de la evaluación del SCI y sus actuaciones sobre el particular.

Todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones antes mencionadas deberán constar por escrito en el acta de la reunión respectiva y estar debidamente motivadas. La junta directiva u órgano equivalente determinará la información que deba ser divulgada a los diferentes niveles de la organización, de acuerdo con lo que considere pertinente.

1.2. Comité de auditoría.

Para el adecuado cumplimiento de la labor que le corresponde a las juntas directivas u órganos equivalentes de los operadores estos deben contar con un comité de auditoría, dependiente de ese órgano social, encargado de la evaluación del control interno de la misma, así como a su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde a la junta directiva u órgano equivalente en la materia, desarrollando funciones de carácter eminentemente de asesoría y apoyo.

Funciones del comité

El comité de auditoría tendrá como funciones primordiales las siguientes:

i) Proponer para aprobación de la junta directiva u órgano que haga sus veces, la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI;

ii) Presentarle a la junta directiva o al órgano que haga sus veces, las propuestas relacionadas con las responsabilidades, atribuciones y límites asignados a los diferentes cargos y áreas respecto de la administración del SCI, incluyendo la gestión de riesgos;

iii) Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos del operador, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas;

iv) Informar a la junta directiva u órgano equivalente sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida por los órganos de control para la realización de sus funciones;

v) Velar porque la preparación, presentación y revelación de la información financiera se ajuste a lo dispuesto en las normas aplicables, verificando que existen los controles necesarios;

vi) Estudiar los estados financieros y elaborar el informe correspondiente para someterlo a consideración de la junta directiva, con base en la evaluación no solo de los proyectos correspondientes, con sus notas, sino también de los dictámenes, observaciones de las entidades de control, resultados de las evaluaciones efectuadas por los comités competentes y demás documentos relacionados con los mismos;

vii) Proponer a la junta directiva programas y controles para prevenir, detectar y responder adecuadamente a los riesgos de fraude y mala conducta, entendiendo por fraude un acto intencionado cometido para obtener una ganancia ilícita, y por mala conducta la violación de leyes, reglamentos o políticas internas, y evaluar la efectividad de dichos programas y controles;

viii) Supervisar las funciones y actividades de la auditoría interna u órgano que haga sus veces, con el objeto de determinar su independencia y objetividad en relación con las actividades que audita, determinar la existencia de limitaciones que impidan su adecuado desempeño y verificar si el alcance de su labor satisface las necesidades de control de la entidad;

ix) Efectuar seguimiento sobre los niveles de exposición de riesgo, sus implicaciones para el operador y las medidas adoptadas para su control o mitigación, por lo menos cada seis (6) meses, o con una frecuencia mayor si así resulta procedente, y presentar a la junta directiva un informe sobre los aspectos más importante de la gestión realizada;

x) Evaluar los informes de control interno practicados por los auditores internos u otros órganos, verificando que la administración haya atendido sus sugerencias y recomendaciones;

xi) Hacer seguimiento al cumplimiento de las instrucciones dadas por la junta directiva u órgano equivalente, en relación con el SCI;

xii) Solicitar los informes que considere convenientes para el adecuado desarrollo de sus funciones;

xiii) Analizar el funcionamiento de los sistemas de información, su confiabilidad e integridad para la toma de decisiones;

xiv) Elaborar el informe que la junta directiva deberá presentar al máximo órgano social respecto al funcionamiento del SCI, el cual deberá incluir entre otros aspectos:

a) Las políticas generales establecidas para la implementación del SCI de la entidad;

b) El proceso utilizado para la revisión de la efectividad del SCI, con mención expresa de los aspectos relacionados con la gestión de riesgos;

c) Las actividades más relevantes desarrolladas por el comité de auditoría;

d) Las deficiencias materiales detectadas, las recomendaciones formuladas y las medidas adoptadas, incluyendo entre otros temas aquellos que pudieran afectar los estados financieros y el informe de gestión;

e) Las observaciones formuladas por los órganos de supervisión y las sanciones impuestas, cuando sea del caso;

f) Si existe o no un departamento de auditoría interna o área equivalente. Si existe, presentar la evaluación de la labor realizada por la misma, incluyendo, entre otros aspectos, el alcance del trabajo desarrollado, la independencia de la función y los recursos que se tienen asignados. En caso de no existir, señalar las razones concretas por las cuales no se ha considerado pertinente contar con dicho departamento o área.

Conformación del comité

El comité deberá estar integrado por lo menos por tres (3) miembros de la junta directiva u órgano equivalente, quienes deben tener experiencia, ser conocedores de los temas relacionados con las funciones asignadas al referido órgano social.

A las reuniones del comité puede ser citado cualquier funcionario del operador, con el fin de suministrar la información que se considere pertinente acerca de asuntos de su competencia.

1.3. Representante legal

Sin perjuicio de las obligaciones especiales asignadas al representante legal en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno el representante legal es la instancia responsable de:

i) Implementar las estrategias y políticas aprobadas por la junta directiva u órgano equivalente en relación con el SCI;

ii) Comunicar las políticas y decisiones adoptadas por la junta directiva u órgano equivalente a todos y cada uno de los funcionarios dentro de la organización, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deberán procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los lineamientos por ella establecidos;

iii) Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al SCI, en desarrollo de las directrices impartidas por la junta directiva, garantizando una adecuada segregación de funciones y asignación de responsabilidades;

iv) Implementar los diferentes informes, protocolos de comunicación, sistemas de información y demás determinaciones de la junta relacionadas con SCI;

v) Fijar los lineamientos tendientes a crear la cultura organizacional de control, mediante la definición y puesta en práctica de las políticas y los controles suficientes, la divulgación de las normas éticas y de integridad dentro de la institución y la definición y aprobación de canales de comunicación, de tal forma que el personal de todos los niveles comprenda la importancia del control interno e identifique su responsabilidad frente al mismo;

vi) Realizar revisiones periódicas a los manuales y códigos de ética;

vii) Proporcionar a los órganos de control internos y externos, toda la información que requieran para el desarrollo de su labor;

viii) Proporcionar los recursos que se requieran para el adecuado funcionamiento del SCI, de conformidad con lo autorizado por la junta directiva u órgano equivalente;

ix) Certificar que los estados financieros y otros informes relevantes para el público no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situación patrimonial o las operaciones del operador;

x) Establecer y mantener adecuados sistemas de revelación y control de la información financiera, para lo cual deberán diseñar procedimientos de control y revelación para que la información financiera sea presentada en forma adecuada;

xi) Establecer mecanismos para la recepción de denuncias (líneas telefónicas, buzones especiales en el sitio web, entre otros) que faciliten a quienes detecten eventuales irregularidades ponerlas en conocimiento de los órganos competentes del operador;

xii) Incluir en su informe de gestión un aparte independiente en el que se dé a conocer al máximo órgano social la evaluación sobre el desempeño del SCI.

Adicionalmente, debe mantener a disposición del auditor interno, el revisor fiscal, si lo hubiere, y demás órganos de supervisión o control los soportes necesarios para acreditar la correcta implementación del SCI, en sus diferentes elementos, procesos y procedimientos.

1.4. Auditoría Interna o departamento que cumpla funciones equivalentes.

Funciones

Las principales funciones del auditor interno o de quien tenga a su cargo responsabilidades equivalentes son las siguientes, sin perjuicio de la responsabilidad de autocontrol que corresponde a todos los funcionarios del operador, según los principios señalados en el artículo 5º de de la presente resolución:

i) Elaborar el plan anual de auditoría antes de finalizar el año anterior y darle estricto cumplimiento;

ii) Someter a consideración del comité de auditoría el presupuesto anual de funcionamiento del área de auditoría interna;

iii) Realizar una evaluación detallada de la efectividad y adecuación del SCI, en las áreas y procesos de la organización que resulten relevantes, abarcando entre otros aspectos los relacionados con la administración de riesgos de la entidad, los sistemas de información, administrativos, financieros y tecnológicos, incluyendo los sistemas electrónicos de información y los servicios electrónicos;

iv) Evaluar tanto las transacciones como los procedimientos de control involucrados en los diferentes procesos o actividades de la entidad, en aquellos aspectos que considere relevantes;

v) Revisar los procedimientos adoptados por la administración para garantizar el cumplimiento con los requerimientos legales y regulatorios, códigos internos y la implementación de políticas y procedimientos;

vi) Verificar en sus auditorías la eficacia de los procedimientos adoptados por la administración para asegurar la confiabilidad y oportunidad de los reportes al Ministerio de las Tecnologías de la Información y las Comunicaciones y a la Comisión de Regulación de Comunicaciones;

vii) Contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno del operador, utilizando un enfoque sistemático y disciplinado;

viii) Adelantar las investigaciones especiales que considere pertinentes, dentro del ámbito de su competencia, para lo cual deberá contar con la colaboración de expertos en aquellos temas en que se requiera;

ix) Presentar comunicaciones e informes periódicos al comité de auditoría o a la junta directiva o a la administración cuando lo estime conveniente, sobre el resultado del ejercicio de sus funciones;

x) Hacer seguimiento a los controles establecidos por el operador, mediante la revisión de la información contable y financiera;

xi) Evaluar los problemas encontrados y solicitar las acciones de mejoramiento correspondientes;

xii) Presentar a la junta directiva, por lo menos, al cierre de cada ejercicio, un informe acerca de los resultados de su labor, incluyendo, entre otros aspectos, las deficiencias detectadas en el SCI.

Es de advertir que si bien resulta viable que la administración del operador contrate externamente la realización de las actividades propias de la auditoría, en ningún caso ello implica el traslado de la responsabilidad sobre la auditoría misma. Es decir, que la administración del operador solo entrega la ejecución de la labor más no la responsabilidad misma de la realización de la auditoría, la cual conservará siempre.

En tal sentido, la administración del operador debe realizar el direccionamiento, administración y seguimiento de la actividad realizada por el tercero, sin delegar la toma de decisiones tales como los riesgos en los cuales se debe concentrar primordialmente la auditoría o la adopción del plan de auditoría. Adicionalmente, debe garantizarse el acceso permanente de la administración y del supervisor a la información de la auditoría y a los papeles de trabajo, el establecimiento de un plan de contingencias para que no cese la labor en caso de algún problema en la ejecución del contrato y la independencia entre el auditor interno y externo (si existe este último), teniendo en cuenta que las dos funciones mencionadas no pueden ser desarrolladas por la misma firma.

2. Órganos externos.

Revisor fiscal

El revisor fiscal del operador, si lo hubiere, debe valorar los sistemas de control interno y administración de riesgos implementados por las entidades a fin de emitir su opinión.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 11.—Documentos mínimos que deben sustentar la implementación del SCI. Respecto a la implementación del sistema de control interno, el Ministerio de las Tecnologías de la Información y las Comunicaciones podrá exigir a través de la supervisión in situ o extra situ, los manuales, formatos, procedimientos y demás documentos específicamente requeridos en la presente resolución, algunos de los cuales se relacionan a continuación, sin perjuicio de cualquier otra información que estime pertinente en ejercicio de sus atribuciones legales:

i) Planes y programas definidos por el operador para el logro de sus objetivos, incluyendo las correspondientes acciones, responsables y cronogramas, lo cual comprende, entre otros, el plan estratégico de tecnología;

ii) Código de conducta o su equivalente y documento mediante el cual este se adopte oficialmente;

iii) Documentos que soporten la socialización de los principios y valores a todos los funcionarios de la entidad;

iv) Metodología y herramienta definidas en la organización para hacer la evaluación que hará la organización respecto de la aplicación de los principios de autocontrol, autorregulación y autogestión, a nivel general, por áreas o procesos, según resulte pertinente;

v) Mapas y matrices de los riesgos relevantes, que contenga como mínimo: identificación de factores internos y externos de riesgo para la organización, riesgos identificados por procesos, análisis de probabilidad de ocurrencia de los riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias;

vi) Política para manejo de riesgos definida por la junta directiva u órgano equivalente y la metodología e instrumentos para la gestión de riesgos en el operador, incluyendo la definición de los comités u órganos responsables;

vii) Políticas establecidas en materia de manejo de información y comunicación, que incluyan mecanismos específicos para garantizar la conservación y custodia de información reservada o confidencial y evitar su filtración;

viii) Documento que soporte la comunicación a todos los funcionarios del operador del mapa de riesgos y de las políticas y metodologías a que se refieren los artículos anteriores;

ix) Políticas y metodología para evaluación del desempeño, a todos los niveles de la organización, incluyendo los indicadores definidos para medir la eficiencia;

x) Estructura organizacional, manual de funciones, competencias y requisitos a nivel de cargo;

xi) Plan anual de auditoría interna;

xii) Reportes efectuados por los distintos órganos competentes en materia de control;

xiii) Informes sobre resultados obtenidos en el proceso de seguimiento y evaluación al cumplimiento de los planes y programas, que incluya la medición de la satisfacción de los clientes, usuarios y otras partes interesadas;

xiv) En relación con el consumidor lo siguiente:

a) Políticas de servicio;

b) Políticas de transparencia e integridad en las relaciones con los mismos (información acerca de productos y tarifas, mecanismos y sistemas de atención);

c) Estrategias de servicio al consumidor;

d) Mecanismos establecidos para la recepción, registro y atención de quejas, sugerencias o recomendaciones por parte de los clientes, usuarios u otros grupos de interés y acciones de mejora adelantadas con ocasión del análisis de las mismas;

xv) Actas y/o papeles de trabajo en que consten las decisiones y actuaciones de los órganos de control;

xvi) Programas o planes de mejoramiento.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 12.—Vigencia. La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 29 de diciembre de 2010.

(Nota: Derogada por la Resolución 3676 de 2013 artículo 13 del Ministerio de Tecnologías de la Información y las Comunicaciones)