Circular Externa 008 de 2023 – Implementación de un Sistema de Control Interno a todas las Entidades Vigiladas establecido por la Superintendencia Financiera de Colombia.

La Superintendencia Financiera de Colombia (en adelante «SFC«), mediante la Circular Externa 008 de 2023, sustituyó integralmente el Capítulo IV del Título I de la Parte I de la Circular Básica Jurídica referente a las instrucciones generales para la implementación por parte de las Entidades Vigiladas por la SFC (en adelante «EV«) el Sistema de Control Interno (en adelante «SCI«). El SCI debe ser aplicado por las EV a más tardar el 16 de mayo de 2024.

El SCI establece una serie de responsabilidades a las juntas directivas, al comité de auditoría, el comité de riesgos, la alta gerencia, y la auditoría interna (los cuales no detallaremos en esta entrada).

¿Qué es el SCI?

En relación con el SCI, señalamos que se trata del conjunto de políticas, principios, normas, procedimientos, y mecanismos de verificación y evaluación que deben implementar las EV, donde intervienen y participan los órganos de gobierno y control, así como todos sus funcionarios, con el fin de proporcionar un grado de seguridad razonable en el cumplimiento de sus objetivos estratégicos, y cumplir como mínimo con lo siguiente:

  1. Mejorar la eficiencia en el desarrollo de sus actividades.
  2. Prevenir y mitigar la ocurrencia de fraudes internos y externos.
  3. Realizar una gestión adecuada de los riesgos.
  4. Aumentar la confiabilidad y oportunidad en la información generada.
  5. Cumplir la normatividad aplicable.
  6. Proteger los activos de la organización.
  7. Prevenir y mitigar la ocurrencia de actos de corrupción.

¿Cuáles son los principios del SCI?

El SCI tiene básicamente tres (3) principios:

  1. Autocontrol: Establece que los funcionarios de las EV deben evaluar y controlar su trabajo, detectar desviaciones y adoptar correctivos en el ejercicio y cumplimiento de sus funciones.
  2. Autorregulación: Establece que las EV deben desarrollar métodos, normas y procedimientos internos que permitan la implementación y mejoramiento del SCI.
  3. Autogestión: Establece que las EV deben tener capacidad para coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz el funcionamiento del SCI.

¿Cuáles son los componentes del SCI?

Al respecto indicamos que el SCI, debe estar compuesto, como mínimo, por los siguientes elementos:

  1. Ambiente de control: Refiere al conjunto de políticas, normas internas, objetivos, procedimientos, y estructuras jerárquicas y de gobierno al que se encuentra sujeto todo el personal de las EV en el desempeño de las funciones relacionadas con el SCI.
  2. Gestión de riesgos: Se trata de un proceso continuo que deben realizar las EV para gestionar los riesgos asociados a sus actividades. Este proceso debe estar alineado con el Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT), las instrucciones en materia de administración de riesgos establecidas en el Marco de Gestión de Riesgos (MGR), el Sistema Integral de Administración de Riesgos (SIAR), el Sistema Integral de Administración de Riesgos de las Entidades Exceptuadas del SIAR (SARE).
  3. Actividades de control: Son las acciones que contribuyen a garantizar la correcta aplicación del SCI de las EV. Estas acciones se deben realizar en todos los niveles de las EV, en las diferentes etapas de los procesos de negocio, así como en el entorno tecnológico, y deben estar alineadas con la gestión de riesgos.
  4. Información y comunicación: Es el proceso para el intercambio de información entre las EV y los diferentes grupos de interés, internos y externos.
  5. Actividades de seguimiento y monitoreo: Son las evaluaciones internas y externas o, una combinación de ambas, que deben adelantar las EV para determinar si los componentes del SCI están presentes y funcionan adecuadamente.

¿Qué es asignación de funciones en el SCI de acuerdo con el modelo de las tres líneas?

La EV deben asignar las responsabilidades a su personal de acuerdo con el modelo de las tres líneas, el cual ayuda a definir de manera clara las responsabilidades.

  1. Primera línea: Refiere a los funcionarios de la EV encargados de identificar los riesgos asociados a las actividades que ejecuta la EV en el desarrollo de su operación e implementar los controles necesarios.
  2. Segunda línea: Refiere a los funcionarios de la EV encargados de evaluar la gestión de riesgos, apoyar la identificación de los controles para la mitigación de los riesgos, verificar la correcta aplicación de los controles y aportar su conocimiento especializado para el direccionamiento de la EV.
  3. Tercera línea: Refiere a los funcionarios de la EV encargados de ejecutar actividades de aseguramiento y asesoría independiente.

Finalmente, reiteramos que las EV deben implementar el SCI a más tardar el 16 de mayo de 2024.