Ministerio de Tecnologías de la Información y las Comunicaciones

RESOLUCIÓN 3676 DE 2013

(Septiembre 12)

“Por la cual se establecen los requisitos y parámetros mínimos del sistema de control interno por parte de los operadores de servicios postales de pago y se deroga la Resolución 2706 de 2010”.

El Ministro de Tecnologías de la Información y las Comunicaciones,

En ejercicio de sus facultades legales, y en especial de las que le confiere el parágrafo 2º del artículo 4º de la Ley 1369 de 2009, el Decreto 2618 de 2012 y,

CONSIDERANDO:

Que la Ley 1369 de 2009 señala el régimen general de los servicios postales y a su vez el artículo 1º de la misma establece que son considerados un servicio público en los términos del artículo 365 de la Constitución Política y que por tal motivo dicha actividad se encuentra sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad;

Que el artículo 2º de la citada ley establece dentro de los objetivos de intervención del Estado el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales;

Que con fundamento en su potestad de intervención, el Ministerio de Tecnologías de la Información y las Comunicaciones expidió la Resolución 2706 de 2010, mediante la cual fijó los requisitos y parámetros que debían tener en cuenta las personas interesadas en obtener habilitación como operadores postales de pago en términos de la implementación del sistema de control interno, a efecto de lograr una adecuada supervisión de los sistemas de administración de riesgos que se generen en el giro ordinario de sus negocios postales;

Que en cumplimiento de la obligación prevista en el artículo 8º numeral 8º de la Ley 1437 de 2011, el Ministerio de Tecnologías de la Información y las Comunicaciones publicó para comentarios de los interesados el proyecto de resolución que actualmente se expide, desde el 14 de junio de 2013 hasta el 9 de julio de 2013, lapso durante el cual se recibieron diversos comentarios que fueron tenidos en cuenta para la redacción final del proyecto normativo;

Que con el fin de precisar las actividades que deben realizar los operadores de servicios postales de pago en materia del control interno cuando desarrollen actividades a través de colaboradores, y actualizar los requerimientos en materia de control interno de cara a las recomendaciones internacionales más recientes, particularmente las contenidas en el “Internal control integrated framework 2013” emitido por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO por sus siglas en inglés), es necesario sustituir integralmente las disposiciones contenidas en la Resolución 2706 de 2010;

Que de conformidad con los conceptos emanados de la delegatura para la protección de la competencia de la Superintendencia de Industria y Comercio (SIC) y en particular el oficio radicado bajo el número 13-171043-6 del 21 de agosto de 2013, los operadores postales de pago enfrentan diversos riesgos que deben ser regulados en el marco del servicio público que prestan. Así mismo, el nuevo marco regulatorio para los operadores postales de pago deberá contener las reglas mínimas de manera que no genere barreras a la entrada de nuevos participantes, adicionales a aquellas exigidas por la ley;

Que sin perjuicio de lo anterior, las reglas aplicables a los operadores de pago deben ser claras y homogéneas de forma que no generen disparidades y asimetrías con las reglas aplicables a otros sectores;

Que en virtud de lo expuesto;

RESUELVE:

ART. 1º—Objeto. La presente resolución tiene por objeto establecer los lineamientos generales que en materia de control interno deben atender los operadores de servicios postales de pago.

ART. 2º—Sujetos obligados. Los operadores de servicios postales de pago deben implementar y desarrollar un sistema de control interno (SCI), atendiendo los requisitos establecidos en la presente resolución. En consecuencia, las juntas directivas, los consejos directivos de los operadores de servicios postales de pago o el órgano que haga sus veces, deben definir las políticas y diseñar los procedimientos de control interno que se implementarán y verificar que los mismos se ajusten a las necesidades de la entidad, de manera que les permita desarrollar adecuadamente su objeto social y alcanzar sus objetivos, en condiciones de seguridad, transparencia y eficiencia.

ART. 3º—Definiciones.

Control interno. El control interno es un proceso realizado por personas, capaz de proveer seguridad razonable y de adaptarse a la estructura de cada entidad, orientado a la consecución de los objetivos relacionados con las operaciones, el reporte y el cumplimiento.

Sistema de control interno. Se entiende por sistema de control interno (SCI) el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva u órgano equivalente, la alta dirección y demás funcionarios de una organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos que se señalan en el artículo 4º de la presente resolución.

Cliente. Es la persona natural o jurídica con quien el operador de servicios postales de pago establece relación de origen legal o contractual, para la realización de sus servicios.

Colaboradores. Personas naturales o jurídicas que disponen de puntos de atención al público con las cuales el operador de servicios postales de pago realiza un contrato para ofrecer sus servicios a través de una red o grupo de redes.

Proveedor. Persona natural o jurídica que abastece con artículos o servicios que apoyan al operador de servicios postales de pago o a la empresa.

Usuario. Es la persona natural quien, sin ser cliente, utiliza los servicios de un operador de servicios postales de pago.

ART. 4º—Objetivos del sistema de control interno. El SCI que implementen los operadores de servicios postales de pago, deberá permitirles cumplir con los objetivos operativos, de reporte y de cumplimiento que a continuación se describen.

4.1. Objetivos operativos.

Los objetivos operativos se refieren a la eficiencia y eficacia de las operaciones del operador de servicios postales de pago. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Tales objetivos deben orientar al operador de servicios postales de pago a la consecución del objeto social.

Los objetivos operativos se refieren además a la prevención y mitigación de la ocurrencia de fraudes, originados tanto al interior como al exterior del operador de servicios postales de pago, así como a la evaluación y gestión adecuada de los riesgos.

4.2. Objetivos de información o de reporte.

Los objetivos de información o de reporte se refieren al incremento de la oportunidad y transparencia de la información generada por el operador de servicios postales de pago, por sus colaboradores y proveedores, cuya confiabilidad constituye un factor de suma importancia en las relaciones con los diferentes sectores o grupos de interés con los cuales se interrelaciona la organización.

4.3. Objetivos de cumplimiento:

Los objetivos de cumplimiento se refieren a la observancia y acatamiento de la normatividad aplicable a los operadores de servicios postales de pago.

ART. 5º—Alcance del sistema de control interno. Los operadores de servicios postales de pago deben implementar o ajustar su SCI a los requisitos mínimos establecidos en la presente resolución, en forma tal que el mismo resulte acorde con: (i) el tamaño de la entidad; (ii) su objeto social; (iii) el número y monto de giros postales que realicen; (iv) así como del tipo y número de actividades desarrolladas directamente o por cuenta de sus colaboradores y proveedores, teniendo en cuenta la relación beneficio/costo.

Sin perjuicio de lo anterior, los operadores de servicios postales de pago deben atender adicionalmente las normas especiales que en materia de gestión de ciertos riesgos se establecen en las demás disposiciones vigentes, en la medida que los sistemas de administración de riesgos que resultan aplicables a los operadores de servicios postales de pago es, no son independientes del SCI sino que forman parte integral del mismo.

El SCI deberá considerar especialmente, todas las actividades que realicen los operadores de servicios postales de pago a través de colaboradores, entendiendo que en ningún caso podrá trasladarse su responsabilidad a aquellos. Es decir, el operador de servicios postales de pago solo entrega la ejecución de la labor o actividad encomendada, mas no la responsabilidad que se derive de su realización, la cual conservará siempre.

Los operadores de servicios postales de pago deberán contar con un manual del SCI en donde se desarrollen todos los aspectos señalados en la presente resolución. Tales manuales deben incluir un capítulo específico en donde se establezcan las políticas, procedimientos y demás aspectos relacionados con las actividades contratadas con los colaboradores y proveedores.

Adicionalmente, con respecto a la implementación del sistema de control interno, el Ministerio de las Tecnologías de la Información y las Comunicaciones podrá exigir a través de la supervisión in situ o extra situ, toda la información que estime pertinente en ejercicio de sus atribuciones legales.

ART. 6º—Principios del sistema de control interno. Para los efectos de la presente resolución, los operadores de servicios postales de pago deberán diseñar, implementar y ajustar sus respectivos SCI con base en los principios generales y especiales que aquí se reglamentan. Lo anterior, permitirá que se establezcan las medidas, las políticas, los métodos, los procedimientos y los mecanismos de prevención, control, evaluación y mejoramiento continuo de la entidad, a fin de obtener una seguridad razonable respecto de la consecución de sus objetivos y cumpliendo las normas que los regulan.

ART. 7º—Principios generales. Los principios generales constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan la efectividad del SCI y resultan aplicables a cada uno de los aspectos que se tratan en la presente resolución.

En consecuencia, los operadores de servicios postales de pago, en el diseño e implementación, revisión o ajustes del SCI deben incluir estos principios, documentarlos con los soportes pertinentes y tenerlos a disposición de las autoridades competentes.

7.1. Autocontrol.

El control interno es realizado por personas. Por lo tanto, las actuaciones efectuadas por los responsables del control interno en el respectivo operador de servicios postales de pago deben estar sujetas al principio de autocontrol.

Para los efectos de la presente resolución, el “autocontrol” se define, como la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades.

7.2. Autorregulación.

Se refiere a la capacidad de la organización para desarrollar y aplicar métodos, normas y procedimientos que permitan el desarrollo, implementación y mejoramiento del SCI, dentro del marco de las disposiciones aplicables.

7.3. Autogestión.

La “autogestión” se refiere a la capacidad del operador de servicios postales de pago para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz el funcionamiento del SCI.

7.4. Responsabilidad.

Este principio hace referencia al diseño y ejecución consciente y responsable de las funciones asignadas en materia de control interno a todos los funcionarios del operador de servicios postales de pago.

En virtud de este principio, no podrá existir delegación de responsabilidad en la contratación de colaboradores y proveedores. En esta medida, la entidad siempre será responsable de la operación que aquellos realicen y asumirá por lo tanto los riesgos que se deriven de la misma, tales como los riesgos operativos y reputacionales, entre otros.

El principio de responsabilidad implica además, la generación de un ambiente o cultura de control interno en todos los niveles de la organización, así como la difusión de todas las políticas y procedimientos previstos en el SCI a los colaboradores y proveedores contratados para el ejercicio de las actividades asociadas al cumplimiento del objeto social principal del operador de servicios postales de pago.

ART. 8º—Principios especiales. Los principios especiales deben orientar al operador de servicios postales de pago respecto de cada uno de los elementos y objetivos del SCI de que trata la presente resolución. Tales principios constituyen los lineamientos generales que le permitirán a la entidad evaluar la efectividad de su SCI.

8.1. Principios relativos al elemento ambiente de control.

— El operador de servicios postales de pago demuestra compromiso con la integridad y los valores éticos.

— La junta directiva o el órgano equivalente demuestra independencia frente a la administración y vigila el desarrollo y la ejecución del control interno.

— La administración establece las estructuras, líneas de presentación de informes y define las autoridades y responsabilidades apropiadas para el cumplimiento de los objetivos.

— El operador de servicios postales de pago demuestra su compromiso para atraer, desarrollar y conservar el personal competente.

— El operador de servicios postales de pago tiene personas responsables del cumplimiento de funciones relacionadas con el control interno.

— El operador de servicios postales de pago establece como prioritarias las relaciones que sostiene con los colaboradores y comprende que la delegación de actividades no implica delegación de responsabilidad.

8.2. Principios relacionados con el elemento valoración y gestión del riesgo.

— El operador de servicios postales de pago define sus objetivos con suficiente claridad de manera que le permitan identificar y valora adecuadamente los riesgos a los cuales se encuentra expuesto.

— El operador de servicios postales de pago identifica, analiza y determina cómo deben ser administrados los riesgos a los cuales se encuentra expuesto.

— En la valoración y gestión de los riesgos, el operador de servicios postales de pago considera el potencial por el fraude.

— El operador de servicios postales de pago identifica y valora los cambios que de manera importante podrían impactar al SCI.

8.3. Principios aplicables a las actividades de control.

— El operador de servicios postales de pago selecciona y desarrolla actividades de control que contribuyan a la mitigación de los riesgos, a niveles aceptables, para el logro de los objetivos.

— El operador de servicios postales de pago selecciona y desarrolla las actividades de control generales sobre la tecnología para respaldar el logro de sus objetivos.

— El operador de servicios postales de pago despliega las actividades de control tal y como se manifiestan en las políticas y en los procedimientos establecidos.

8.4. Principios relativos a la información y la comunicación.

— El operador de servicios postales de pago obtiene, genera y utiliza información de calidad para respaldar el funcionamiento del SCI.

— El operador de servicios postales de pago comunica internamente la información necesaria para respaldar el funcionamiento del control interno.

— El operador de servicios postales de pago se comunica con sus colaboradores y proveedores en relación con las materias que afectan el funcionamiento del SCI.

8.5. Principios relacionados con el monitoreo de las actividades.

— El operador de servicios postales de pago selecciona, desarrolla y lleva a cabo evaluaciones continuas, separadas o una combinación de ambas, para comprobar si los componentes del control interno se encuentran presentes y están funcionando.

— El operador de servicios postales de pago evalúa y comunica de manera oportuna a las partes responsables por realizar las acciones correctivas, incluyendo a los administradores de la entidad, las deficiencias del SCI.

ART. 9º—Elementos del sistema de control interno. Para el cumplimiento de los principios y objetivos mencionados en la presente resolución, los operadores de servicios postales de pago deberán consolidar una estructura de control interno que considere por lo menos los elementos que se señalan a continuación:

9.1. Ambiente de control.

El ambiente de control es el conjunto estándares, procesos y estructuras que guían a todas las personas en los distintos niveles del operador de servicios postales de pago para llevar a cabo sus responsabilidades relacionadas con el control interno, así como para tomar las decisiones que resulten necesarias de cara al cumplimiento de sus objetivos. El ambiente de control comprende los lineamientos establecidos por la junta directiva de la entidad o el órgano que haga sus veces, respecto de la importancia del control interno, las normas de conducta esperadas, así como la integridad y los valores éticos de la organización.

El ambiente de control incluye los parámetros de gobernabilidad, la estructura del operador de servicios postales de pago, las políticas de selección y vinculación de personal, la integridad y los valores éticos, así como los elementos de la cultura organizacional que fomentan en todos los integrantes de la entidad principios, valores y conductas orientadas hacia el control.

El ambiente de control es el fundamento de los demás elementos del SCI, dado que de la eficacia del mismo depende que las entidades cuenten con personal competente e inculquen en toda la organización un sentido de integridad y concientización respecto del control.

Los requisitos mínimos para crear un adecuado ambiente de control son:

i) Determinación formal de los principios básicos que rigen la entidad.

— La alta dirección del operador de servicios postales de pago debe definir los princi­pios básicos de la respectiva entidad y demostrar con sus directrices, sus actuaciones y su comportamiento, su compromiso con la integridad y los valores éticos, así como su liderazgo respecto del control interno.

— Tales principios deben encontrarse documentados, ser divulgados a toda la organización así como a los grupos de interés e incluirse inclusive en lo posible, en los programas de capacitación.

— La organización debe asegurarse además, que los colaboradores y proveedores contratados para la realización de actividades operativas, conozcan los principios y valores éticos y se adhieran a los estándares de conducta de la entidad.

— Será responsabilidad de la junta directiva o del órgano que haga sus veces, establecer procesos que le permitan evaluar el cumplimiento de las normas de conducta establecidas por el operador de servicios postales de pago y de realizar los correctivos a que haya lugar de manera oportuna;

ii) Adopción de procedimientos que propicien que los empleados en todos los niveles de la organización, así como los colaboradores y proveedores, cuenten con los conocimientos, habilidades y conductas necesarios para el desempeño de sus funciones.

— El operador de servicios postales de pago debe contar con estándares debidamente documentados respecto de las competencias, habilidades, aptitudes e idoneidad de sus funcionarios, así como del perfil y requisitos que deban cumplir los colaboradores y proveedores que quisieran contratar;

— El operador de servicios postales de pago debe determinar las políticas y prácticas de gestión humana que aplicará en los procesos de selección, inducción, formación, capacitación, sistemas de compensación o remuneración y de evaluación del desempeño de sus empleados en todos sus niveles, las cuales deben ser diseñadas e implementadas para facilitar un efectivo control interno, ya sea que se realice el proceso directamente o a través de terceros. El operador de servicios postales de pago podrá aplicar tales políticas, según corresponda, respecto de los colaboradores y proveedores contratados para la realización de actividades operativas, según corresponda;

iii) Establecimiento de políticas de capacitación, remuneración, incentivos y programas de sucesión.

— El operador de servicios postales de pago podrá establecer políticas de capacitación, remuneración e incentivos para atraer, motivar, entrenar, desarrollar, reforzar los niveles de desempeño esperados y conservar a los funcionarios, colaboradores y proveedores de servicios competentes.

— El operador de servicios postales de pago deberá definir políticas relacionadas con los planes y programas de capacitación para las sucesiones de los principales ejecutivos de la organización, con el fin de que los candidatos a ocupar tales posiciones cuenten con la debida capacitación y entrenamiento necesario para asumir sus funciones.

— Tratándose de colaboradores y proveedores contratados para la realización de actividades operativas, la entidad deberá establecer planes de sucesión respecto de aquellos. Tales planes deben incluir, como mínimo, las medidas que adoptará la entidad para el intercambio de conocimientos y de información.

— Los operadores de servicios postales de pago deberán además, realizar una revisión y ajuste constante del número adecuado de personas, colaboradores o proveedores, en consideración a los objetivos y los riesgos que se deben mitigar.

— La alta dirección del operador de servicios postales de pago la entidad, debe desarrollar planes de contingencia para la asignación de responsabilidades importantes relacionadas con el control interno;

iv) Definición de políticas respecto de los procesos tercerizados

— Los operadores de servicios postales de pago deberán asignar personal necesario con responsabilidad directa respecto de los procesos tercerizados, principalmente respecto de aquellos contratados para la realización de las actividades operativas de la entidad.

— Las políticas que defina el operador de servicios postales de pago deben considerar expresamente que la entidad no puede delegar su responsabilidad en los colaboradores, particularmente para la realización de actividades relacionadas con los servicios postales de pago.

— Los colaboradores que contrate la entidad, deberán contar con condiciones contractuales claras y concisas relacionadas con los objetivos de la entidad, las expectativas de conducta y rendimiento, así como los niveles de competencia;

v) Expedición de un código de conducta, el cual orientará la actuación de todos los funcionarios, quienes deben comprometerse explícitamente con su cumplimiento. Dicho código debe incluir, por lo menos:

— Valores y pautas explícitas de comportamiento.

— Parámetros concretos determinados para el manejo de conflictos de interés, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados económicos, colaboradores y proveedores subcontratados.

— Políticas y procedimientos establecidos por la entidad respecto de las actividades operativas contratadas con colaboradores y proveedores.

— Mecanismos para evitar el uso de información reservada.

— Órganos o instancias competentes para hacer seguimiento al cumplimiento del código.

— Consecuencias de su inobservancia;

vi) Definición de una estructura organizacional óptima

— Los operadores de servicios postales de pago deberán establecer una estructura organizacional que permita soportar el alcance del SCI y que defina claramente los niveles de autoridad y responsabilidad. La estructura organizacional debe estar armonizada con el (i) tamaño de la entidad; (ii) su objeto social; (iii) el número y monto de giros postales que realicen; (iv) así como del tipo y número de actividades desarrolladas directamente o por cuenta de colaboradores y proveedores, teniendo en cuenta la relación beneficio/costo.

— Los operadores de servicios postales de pago deberán realizar una asignación clara de roles y responsabilidades, los cuales deberán además ser conocidos por todos los funcionarios de la entidad.

— La junta directiva del operador de servicios postales de pago, o el órgano que haga sus veces, debe mostrar independencia en la administración y contar con las habilidades necesarias y experiencia para llevar a cabo sus responsabilidades, lo cual debe ser evaluado con regularidad.

— Particularmente, resulta deseable que los integrantes de las juntas acrediten conocimiento del mercado de servicios postales de pago y de la compañía, cuenten con las habilidades necesarias para resolver dilemas éticos y la resolución de conflictos de distintas materias.

9.2. Valoración y gestión de riesgos.

En el desarrollo de sus actividades, los operadores de servicios postales de pago se encuentran expuestos a diversos riesgos de origen interno o externo, los cuales deben ser valorados y gestionados a fin de que la organización cumpla con sus objetivos operacionales, de reporte y de cumplimiento. Para el efecto, los operadores de servicios postales de pago deben atender las disposiciones generales que aquí se establecen, así como aquellas específicas que resulten aplicables y que se encuentren previstas en las disposiciones vigentes, particularmente las relacionadas con el riesgo de lavado de activos y de la financiación del terrorismo, riesgo de liquidez y riesgo operativo.

Para los efectos de la presente resolución, el riesgo es definido como la posibilidad de ocurrencia de un evento que afecte el cumplimiento de los objetivos de la respectiva entidad. La evaluación de los riesgos es la base para determinar cómo se llevará a cabo su gestión e involucra por lo tanto, la realización de un proceso dinámico y reiterado.

En el proceso de valoración a que se refiere el presente artículo, los operadores de servicios postales de pago deben considerar, además de los riesgos internos y externos a los que se encuentran expuestos, el impacto de posibles cambios dentro de su propio modelo de negocio, los riesgos en todos los niveles de la organización y respecto de todos aquellos que interactúen con la entidad (bienes, servicios e información) tanto a nivel interno como respecto de las partes de interés relevantes (colaboradores, proveedores, inversionistas, acreedores, accionistas, empleados, clientes, usuarios, compradores, intermediarios y competidores, así como organismos públicos, medios de comunicación, entre otros).

Los operadores de servicios postales de pago deberán contar con sistemas de administración de riesgos que permita la minimización de los costos y daños causados por estos, con el propósito de prevenir o evitar la materialización de eventos que puedan afectar el normal desarrollo de los procesos y el cumplimiento de los objetivos empresariales, o, en caso de que ello no resulte razonablemente posible, de mitigar su impacto.

9.3. Actividades de control.

Las actividades de control comprenden el conjunto de las políticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones.

Las actividades de control pueden ser preventivas, correctivas o una combinación de las dos, y deben ser realizadas de manera diligente mediante personal competente.

Lo anterior incluye la realización de actividades tales como: evaluaciones de alto nivel; limitaciones de acceso a las distintas áreas de la organización; controles generales sobre la tecnología; acuerdos de confidencialidad; procedimientos de control; controles respecto de las actividades realizadas a través de colaboradores y proveedores, particularmente las contratadas para la realización de las actividades operativas de la entidad; y demás que el operador de servicios postales de pago estime convenientes.

Las actividades de control deben ser seleccionadas y desarrolladas considerando la relación beneficio/costo y su potencial efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos del operador de servicios postales de pago.

9.4. Información y comunicación.

En desarrollo de sus funciones, los operadores de servicios postales de pago obtienen, generan, divulgan y utilizan información, y la comunican tanto al interior como al exterior de la organización. Por lo tanto el adecuado manejo de la información es necesario para el buen funcionamiento del SCI.

En consecuencia, es necesario que el operador de servicios postales de pago adopte sistemas de información y comunicación, así como los controles que garanticen la seguridad, calidad y cumplimiento de la información generada y obtenida en desarrollo de sus operaciones. Tales sistemas de información y comunicación son la base para identificar, capturar e intercambiar información en una forma y periodo de tiempo determinado, permitiéndole al personal cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción de las decisiones que les corresponda en relación con la respectiva entidad.

i) Información

El adecuado funcionamiento del SCI exige que los operadores de servicios postales de pago administren información con calidad, particularmente aquella proveniente de la operación del servicio postal de pago. Lo anterior, implica que la información sea suficiente, oportuna, vigente, veraz, accesible, verificable, conservada y que se proteja además, la información sensible.

Las expectativas en el manejo de la información deben extenderse además, a los colaboradores contratados para la realización de las operaciones de la entidad.

El sistema que implementen los operadores de servicios postales de pago debe ser funcional para el suministro de información, de manera tal que les permita administrar tanto los datos internos como aquellos que se reciban del exterior.

El sistema de información debe considerar además, que el volumen de información, su complejidad y la dependencia de partes externas, implican un grado mayor del nivel de sofisticación.

Los administradores del operador de servicios postales de pago deben definir políticas de seguridad de la información.

Los operadores de servicios postales de pago deben contar con sistemas que garanticen que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (efectividad, eficiencia, y confiabilidad) y cumplimiento, para lo cual deberán establecer controles generales y específicos para la entrada, el procesamiento y la salida de la información, atendiendo su importancia relativa y nivel de riesgo;

ii) Información contable

La información contable que genere el operador de servicios postales de pago debe ser oportuna, razonable, veraz y cumplir con las normas, principios y reglamentos que resulten aplicables. Por lo tanto, los operadores de servicios postales de pago deben asegurarse que todos los estados financieros, informes de gestión y demás reportes que suministren sean confiables, de manera que la información que se presente a la junta directiva o al órgano que haga sus veces, a las asambleas, a los entes de supervisión, fiscalización y control, así como aquella que sea publicada, reflejen en forma fidedigna la realidad económica de la entidad;

iii) Información a los clientes y usuarios

De acuerdo con lo previsto por el artículo 4º de la Resolución 3038 de 2011 de la Comisión de Regulación de Comunicaciones y demás normas que la modifiquen, adicionen, complementen o sustituyan, los operadores de servicios postales de pago deberán suministrar a los clientes y usuarios información clara, veraz, suficiente, oportuna y gratuita acerca de las características de los servicios ofrecidos, sus condiciones de prestación, haciendo referencia específica a su calidad y a las tarifas ofrecidas, con el fin de que aquellos formen su consentimiento de manera libre y con todos los elementos necesarios para tomar la decisión de contratar los servicios ofrecidos;

iv) Comunicación

Los operadores de servicios postales de pago deben mantener una comunicación eficaz, que fluya en todas las direcciones a través de todas las áreas de la organización (de arriba hacia abajo, a la inversa y transversalmente).

Cada empleado debe conocer el papel que desempeña dentro de la organización y dentro del SCI y la forma en la cual las actividades a su cargo están relacionadas con el trabajo de los demás. Para el efecto, el operador de servicios postales de pago deberá disponer de medios para comunicar la información significativa, tanto al interior de la organización como hacia su exterior;

v) Comunicación interna

Los operadores de servicios postales de pago deberán atender las siguientes directrices en lo que respecta a la comunicación interna:

— Difundir al interior de la organización toda la información necesaria respecto del SCI.

— Definir métodos adecuados para la comunicación de la información considerando factores tales como el tiempo, el público y la naturaleza de la información.

— Divulgar el código de conducta de la entidad.

— Establecer mecanismos para evaluar y comunicar apropiadamente la comunicación proveniente de terceros, proveedores y colaboradores.

— Establecer políticas y procedimientos efectivos y rigurosos en materia de comunicación con colaboradores y proveedores. Tales políticas deben contemplar los métodos que defina la entidad para obtener o recibir la información proveniente de colaboradores y proveedores y para compartirla al interior de la organización. Lo anterior, permitirá identificar todo evento o circunstancia que pueda tener impacto en los objetivos de la entidad.

— Comunicar a la junta directiva o al órgano que haga sus veces, la información relevante proveniente de los colaboradores y proveedores.

— Seleccionar un método de comunicación apropiado, considerando el público objetivo, la naturaleza de la comunicación, así como los requerimientos legales, regulatorio y las expectativas de la organización.

— Habilitar canales de comunicación para los colaboradores, proveedores, clientes y usuarios.

— Establecen canales de comunicación especiales para salvaguardar la información confidencial, en caso de que los canales que se utilicen con regularidad operen de manera inadecuada e ineficiente;

vi) Elementos de la comunicación

Como parte de una adecuada administración de la comunicación, se deben identificar cuando menos los siguientes elementos:

— Canales de comunicación.

— Responsables de su manejo.

— Requisitos de la información que se divulga.

— Frecuencia de la comunicación.

— Destinatarios.

— Controles al proceso de comunicación.

— Los demás que defina el operador de servicios postales de pago.

Adicionalmente, los administradores de la entidad deben adoptar los procedimientos necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y en general el cumplimiento de todos los requisitos que incidan en la credibilidad y utilidad de la infor­mación que la respectiva organización revela al público.

9.5. Actividades de monitoreo.

Las actividades de monitoreo permiten verificar si cada uno de los elementos del SCI a los que se refiere la presente resolución, se encuentran presentes y funcionan de manera efectiva, de manera tal que les permita a los operadores de servicios postales de pago verificar la calidad de desempeño del control interno a través del tiempo.

El monitoreo del SCI se debe realizar a través de evaluaciones permanentes, separadas o una combinación de ambos esquemas, según lo que la administración considere necesario.

El SCI no puede ser estático, sino dinámico, ajustándose en forma permanente a las nuevas situaciones del entorno. Por ello, los operadores de servicios postales de pago deberán establecer controles o alarmas tanto en los sistemas que se lleven en forma manual como en los que se lleven en forma computarizada, de manera que permanentemente se valore la calidad y el desempeño del sistema en el tiempo y se realicen las acciones de mejoramiento necesarias. Las deficiencias de control interno deben ser identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten materiales, informarse también a la junta directiva u órgano equivalente a fin de que las mismas sean corregidas o solucionadas oportunamente.

i) Evaluaciones internas

Las evaluaciones internas del SCI de los operadores de servicios postales de pago deben ser realizadas por los jefes o líderes de cada área o proceso como parte habitual de su responsabilidad frente al control interno (vicepresidentes, gerentes, directores, etc. dentro del ámbito de la competencia de cada uno de ellos). El resultado de las evaluaciones internas del SCI también puede provenir como resultado de las evaluaciones periódicas puntuales que realicen la auditoría interna u órgano equivalente, el presidente o máximo responsable de la organización y otras revisiones dirigidas;

ii) Evaluaciones independientes

Los operadores de servicios postales de pago deberán realizar evaluaciones independientes que permitan evaluar la efectividad del SCI, las cuales deben ser realizadas por personas totalmente independientes del proceso a fin de garantizar su imparcialidad y objetividad.

Las evaluaciones independientes pueden ser realizadas por parte de los auditores internos y del revisor fiscal.

Lo anterior sin perjuicio de que la administración, si así lo considera conveniente, utilice como práctica de buen gobierno corporativo el trabajo de auditores externos para revisar la efectividad del control interno.

Las debilidades resultado de esta evaluación y sus recomendaciones de mejoramiento, deben ser reportadas de manera ascendente, informando sobre asuntos representativos de manera inmediata al comité de auditoría.

ART. 10.—Obligaciones especiales respecto de los servicios tercerizados. Para el adecuado funcionamiento del SCI y cumplir sus objetivos, los operadores de servicios postales de pago deben atender las siguientes disposiciones en toda contratación de servicios a través de colaboradores y proveedores:

— Procurar que los colaboradores y proveedores que se contraten, cuenten con las condiciones profesionales y la experiencia necesaria para desarrollar las actividades contratadas. Lo anterior, considerando que en estos eventos no existe delegación de responsabilidad.

— Adoptar las medidas adecuadas para que la contratación no influya en el adecuado funcionamiento del SCI.

— Considerar el horizonte temporal de los contratos, las implicaciones operacionales y económicas asociadas a un eventual cambio de contratista o terminación del contrato, así como los riesgos legales, reputacionales, operativos y demás inherentes a la contratación.

— Evaluar las actividades realizadas por los colaboradores así como la eficacia del SCI respecto de las actividades externalizadas. Para ello podrán utilizarse indicadores de rendimiento.

— Permitir contractualmente el acceso a la revisión del proceso contratado.

— Cumplir las demás obligaciones establecidas en la normatividad vigente, así como aquellas adicionales que los operadores de servicios postales de pago consideren pertinentes, en aras de garantizar el cumplimiento de sus objetivos.

ART. 11.—Normas de control interno para el uso de tecnología. Para el adecuado funcionamiento del SCI los operadores de servicios postales de pago deberán establecer, desarrollar, documentar y comunicar políticas de tecnología y definir los recursos, procesos, procedimientos, metodologías y controles necesarios para asegurar su cumplimiento.

Las políticas deberán ser objeto de evaluación y mejoramiento continuo. Por lo tanto, deben ser revisadas por lo menos una vez al año o al momento de presentarse cambios significativos en el ambiente operacional o del negocio, para lo cual la administración deberá contar con estándares, directrices y procedimientos debidamente aprobados.

ART. 12.—Roles y responsabilidades dentro del sistema de control. El control interno es realizado por personas. Por lo tanto, los operadores de servicios postales de pago deben establecer roles y responsabilidades al interior de la entidad relacionadas con el SCI. Lo anterior contribuirá a proporcionar una seguridad razonable respecto del cumplimiento de los objetivos establecidos por la entidad.

12.1. Junta directiva u órgano equivalente.

La junta directiva u órgano equivalente desempeña un papel fundamental en la definición de las expectativas del operador de servicios postales de pago en cuanto a la integridad, los valores éticos y las responsabilidades asignadas respecto del SCI.

Los miembros de las juntas directivas u órgano equivalente, como principales gestores del gobierno corporativo, deben realizar su gestión con objetividad, profesionalismo, integridad, competencia e independencia, dedicándole el tiempo necesario. Así mismo deben ser transparentes en su gestión, procurando conocer y evaluar los riesgos que involucran las actividades realizadas por el operador de servicios postales de pago y apoyar la labor de los órganos de fiscalización y control.

De la junta directiva u órgano equivalente debe provenir la autoridad, orientación y vigilancia al personal directivo superior, de manera que sus miembros deberán contar con experiencia y conocimientos adecuados acerca de las actividades, los objetivos y la estructura de la respectiva entidad.

Sin perjuicio de las obligaciones especiales asignadas a este órgano en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno, en cumplimiento de los deberes que le señala el artículo 23 de la Ley 222 de 1995, la junta directiva u órgano equivalente es la instancia responsable de:

— Guiar y dirigir la gestión del operador de servicios postales de pago respecto del desarrollo y funcionamiento efectivo del SCI.

— Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones del comité de auditoría.

— Analizar los procesos de gestión de riesgo existentes y adoptar las medidas necesarias para fortalecerlo en aquellos aspectos que así lo requieran.

— Designar a los directivos de las áreas encargadas del SCI y de la gestión de riesgos, salvo que el régimen aplicable a la respectiva entidad o sus estatutos establezcan una instancia diferente para el efecto.

— Adoptar las medidas necesarias para garantizar la independencia del auditor interno y hacer seguimiento a su cumplimiento.

— Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control o supervisión e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.

— Aprobar los recursos suficientes para que el SCI cumpla sus objetivos.

— Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que le presente el comité de auditoría, sobre la gestión de riesgos en la entidad y las medidas adoptadas para el control o mitigación de los riesgos más relevantes.

— Evaluar las recomendaciones relevantes sobre el SCI que formulen el comité de auditoría y los otros órganos de control interno y externos, adoptar las medidas pertinentes y hacer seguimiento a su cumplimiento.

— Evaluar los estados financieros, con sus notas, antes de que sean presentados a la asamblea de accionistas o máximo órgano social, teniendo en cuenta los informes y recomendaciones que le presente el comité de auditoría.

— Presentar al final de cada ejercicio a la asamblea general de accionistas, junta de socios o máximo órgano social un informe sobre el resultado de la evaluación del SCI y sus actuaciones sobre el particular.

Todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones antes mencionadas deberán constar por escrito en el acta de la reunión respectiva y estar debidamente motivadas. La junta directiva u órgano equivalente determinará la información que deba ser divulgada a los diferentes niveles de la organización y a los terceros, de acuerdo con lo que considere pertinente.

12.2. Comité de auditoría.

Los operadores de servicios postales de pago deberán contar con un comité de auditoría, el cual le permitirá cumplir a la junta directiva u órgano equivalente, asumir las funciones que le corresponden.

El comité de auditoría dependerá de la junta directiva y se encargará de llevar a cabo evaluación del control interno de la misma, así como a su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde a la junta directiva u órgano equivalente en la materia, desarrollando funciones de carácter eminentemente de asesoría y apoyo.

i) Funciones del comité

El comité de auditoría tendrá como funciones primordiales las siguientes:

— Proponer para aprobación de la junta directiva u órgano que haga sus veces, la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI.

— Evaluar la estructura del control interno de la entidad.

— Velar porque la preparación, presentación y revelación de la información se ajuste a lo dispuesto en las normas aplicables, verificando que existen los controles necesarios.

— Supervisar las funciones y actividades de la auditoría interna u órgano que haga sus veces, con el objeto de determinar su independencia y objetividad en relación con las actividades que audita, determinar la existencia de limitaciones que impidan su adecuado desempeño y verificar si el alcance de su labor satisface las necesidades de control de la entidad.

— Efectuar seguimiento sobre los niveles de exposición de riesgo, sus implicaciones para la entidad y las medidas adoptadas para su control o mitigación y presentar a la junta directiva un informe sobre los aspectos más importantes de la gestión realizada.

— Evaluar los informes de control interno practicados por los auditores internos y demás órganos de la entidad, verificando que la administración haya atendido sus sugerencias y recomendaciones.

— Hacer seguimiento al cumplimiento de las instrucciones dadas por la junta directiva u órgano equivalente, en relación con el SCI.

— Solicitar los informes que considere convenientes para el adecuado desarrollo de sus funciones al interior de la entidad.

— Elaborar el informe que la junta directiva deberá presentar al máximo órgano social respecto al funcionamiento del SCI.

— Las demás que le fije la junta directiva, en su reglamento interno.

ii) Conformación del comité

El comité deberá estar integrado por un número de miembros de la junta directiva u órgano equivalente que permita tomar decisiones por mayoría simple. Es deseable que por lo menos uno de los integrantes del comité sea un miembro independiente.

iii) Funcionamiento del comité

La junta directiva u órgano equivalente deberá adoptar el reglamento de funcionamiento del comité, incluyendo para el efecto, además de las funciones aquí consagradas, todas aquellas que en su criterio sean propias del operador de servicios postales de pago. En dicho reglamento deberá definirse además, la periodicidad de las reuniones del comité, las disposiciones relativas a los informes sobre las tareas desarrolladas y las tareas asignadas al mismo y los demás aspectos que considere necesario el operador de servicios postales de pago.

12.3. Representante legal.

Sin perjuicio de las obligaciones especiales asignadas al representante legal en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno, el representante legal es la instancia responsable de:

— Implementar las estrategias y políticas aprobadas por la junta directiva u órgano equivalente en relación con el SCI.

— Realizar revisiones periódicas a los manuales y códigos de ética y de gobierno corporativo.

— Velar porque se dé estricto cumplimiento a las normas que reglamentan la actividad del servicio postal de pago.

— Verificar la operatividad de los controles establecidos al interior de la entidad, particularmente aquellos que se establezcan respecto del servicio postal de pago.

— Incluir en su informe de gestión un aparte independiente en el que se dé a conocer al máximo órgano social la evaluación sobre el desempeño del SCI en cada uno de los elementos señalados en el artículo 9º de la presente resolución.

— Preparar un informe con destino a la junta directiva acerca del correcto funcionamiento de los colaboradores y proveedores en términos de control interno.

— Las demás que determine el operador de servicios postales de pago.

12.4. Auditoría interna o departamento que cumpla funciones equivalentes.

Los operadores de servicios postales de pago deberán contar con un auditor interno, quien será nombrado por la junta directiva o el órgano que haga sus veces y se encargará de evaluar de manera independiente y con objetividad, la eficacia de los sistemas de gestión de riesgos, el SCI y realizar las recomendaciones para mejorar el gobierno de la entidad.

La junta directiva o el órgano que haga sus veces, deberá definir y documentar las responsabilidades y funciones específicas del auditor interno, así como el perfil necesario para desempeñar el cargo.

— Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces deberá presentar un informe de su gestión y su evaluación sobre la eficacia del sistema de control interno, incluyendo todos sus elementos en el SCI.

12.5. Revisor fiscal.

Además de las funciones establecidas en otras disposiciones, el revisor fiscal de la entidad debe valorar los sistemas de control interno y administración de riesgos implementados por las entidades a fin de emitir su opinión al respecto.

ART. 13.—Vigencia. La presente resolución rige a partir de la fecha de su publicación y deroga todas las disposiciones que resulten contrarias, particularmente la Resolución 2706 de 2010.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 12 de septiembre de 2013.