CIRCULAR EXTERNA 007 DE 2019
(Marzo 28)
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 482 de 29 de marzo de 2019
Señores
REPRESENTANTES LEGALES Y REVISORES FISCALES DE LAS ENTIDADES VIGILADAS.
Referencia: Modificación del Capítulo IV, Título I de la Parte I de la Circular Básica Jurídica-CBJ.
Apreciados señores:
Para facilitar la interposición de denuncias a quienes detecten eventuales irregularidades al interior de las entidades vigiladas se adiciona una instrucción en relación con los canales de comunicación y herramientas especiales con las que las entidades vigiladas deben contar para su recepción y trámite, en convergencia con estándares internacionales. Por consiguiente, esta Superintendencia, en ejercicio de sus facultades, en especial las conferidas en el numeral 5º del artículo 11.2.1.4.2 del Decreto 2555 de 2010, imparte las siguientes instrucciones:
PRIMERA: Modificar el numeral 4.4.2.7 del Capítulo IV, Título I de la Parte I de la Circular Básica Jurídica, referido al Sistema de Control Interno de las entidades vigiladas.
SEGUNDA: La presente circular rige a partir de la fecha de publicación, las políticas internas por parte de las entidades vigiladas para la recepción y tratamiento de denuncias a las que hace referencia el anexo de esta Circular, deberán estar aprobadas por sus Juntas Directivas antes del 2 de julio de 2019.
Se anexan las páginas objeto de modificación.
Cordialmente,
JORGE CASTAÑO GUTIÉRREZ
Superintendente Financiero de Colombia
4.4.1.12. Implementar mecanismos para evitar el uso de información privilegiada, en beneficio propio o de terceros.
4.4.1.13. Detectar deficiencias y aplicar acciones de mejoramiento.
4.4.1.14. Cumplir los requerimientos legales y reglamentarios.
Además de la información que deba proporcionarse al mercado y a la SFC de conformidad con las normas vigentes, debe difundirse, de acuerdo con lo que los administradores de la entidad consideren pertinente, la información que hace posible conducir y controlar la organización, sin perjuicio de aquella que sea de carácter privilegiado, confidencial o reservado, respecto de la cual deben adoptarse todas las medidas que resulten necesarias para su protección, incluyendo lo relacionado con su almacenamiento, acceso, conservación, custodia y divulgación. Se entiende por información sujeta a reserva o privilegiada aquella a la cual sólo tienen acceso directo ciertas personas (sujetos calificados), en razón de su profesión u oficio, la cual, por su carácter, está sujeta a reserva, ya que de conocerse puede ser utilizada con el fin de obtener provecho o beneficio para sí o para un tercero.
Con tal propósito, los administradores de la entidad deben definir políticas de seguridad de la información, mediante la ejecución de un programa que comprenda, entre otros, el diseño, implantación, divulgación, educación y mantenimiento de las estrategias y mecanismos para administrar la seguridad de la información, lo cual incluye, entre otros mecanismos, la celebración de acuerdos de confidencialidad, en aquellos casos en los cuales resulte indispensable suministrar información privilegiada a personas que en condiciones normales no tienen acceso a la misma.
La confidencialidad es uno de los elementos más importantes de la seguridad de la información y tiene como propósito garantizar que ella sólo pueda ser conocida, consultada y divulgada por personas autorizadas. Este elemento está directamente relacionado con el principio de “prudencia”, necesario para evitar la filtración, difusión inapropiada y tergiversación de la información.
Lo anterior se entiende sin perjuicio de lo establecido en el Sistema de Administración de Riesgo Operativo –SARO y en el Capítulo I del Título II del Parte I de esta Circular respecto a los requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios.
4.4.2. Comunicación
La entidad debe mantener una comunicación eficaz, que fluya en todas las direcciones a través de todas las áreas de la organización (de arriba hacia abajo, a la inversa y transversalmente).
Cada empleado debe conocer el papel que desempeña dentro de la organización y dentro del SCI, y la forma en la cual las actividades a su cargo están relacionadas con el trabajo de los demás. Para el efecto, la entidad debe disponer de medios para comunicar la información significativa, tanto al interior de la organización como hacia su exterior.
Como parte de una adecuada administración de la comunicación, se deben identificar cuando menos los siguientes elementos:
4.4.2.1. Canales de comunicación
4.4.2.2. Responsables de su manejo
4.4.2.3. Requisitos de la información que se divulga
4.4.2.4. Frecuencia de la comunicación
4.4.2.5. Responsables
4.4.2.6. Destinatarios
4.4.2.7. Actividades de control a los procesos de comunicación
En relación con los canales de comunicación, la entidad debe contar con canales de comunicación particulares para la recepción de denuncias (tales como líneas telefónicas, correos electrónicos, buzones especiales en el sitio Web y otros mecanismos digitales) con el fin de que las personas que detecten eventuales irregularidades, incumplimientos normativos, violaciones al código de ética y conducta u otros hechos o circunstancias que afecten o puedan afectar el adecuado funcionamiento del SCI, puedan ponerlos en conocimiento de los órganos competentes dentro de la entidad. Estos canales de comunicación particulares para la recepción de denuncias deben contar con salvaguardias que garanticen la confidencialidad de las denuncias y de la identidad de los denunciantes. Las entidades deben diferenciar claramente estos canales de recepción de denuncias de los canales de formulación de quejas derivadas en las fallas en la prestación de servicios.
Las entidades deben contar con políticas internas y manuales de procedimiento sobre la recepción y tratamiento de denuncias que prevean al menos los siguientes elementos: protección a denunciantes de buena fe frente a represalias, confidencialidad de las denuncias y de la identidad de los denunciantes, capacitación a los funcionarios de la entidad sobre estas políticas, manuales y procedimientos, las diferentes instancias dentro de la entidad vigilada que asumirán conocimiento de las denuncias, incluyendo las reglas y principios que rijan su investigación, análisis, tratamiento, escalamiento, e información a las autoridades competentes. Igualmente, las entidades podrán incluir en sus políticas mecanismos de incentivo y recompensa a denunciantes de buena fe.
Estas políticas y sus modificaciones deben ser aprobadas por la junta directiva de la entidad. Tales políticas junto con los manuales de procedimiento que sean necesarios para hacerlas efectivas deben estar a disposición de la SFC.
Adicionalmente, los administradores de la entidad deben adoptar los procedimientos necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y, en general, el cumplimiento de todos los requisitos que incidan en la credibilidad y utilidad de la información que la respectiva organización revela al público.
El principio de transparencia que rige el mercado de valores y el sistema financiero exige que se proporcione a los consumidores financieros y demás participantes del mercado, en igualdad de condiciones, información oportuna, suficiente y de calidad sobre los datos y hechos relevantes que permitan una adecuada formación de precios y la adopción de decisiones debidamente fundamentadas. De esta manera se disminuye el riesgo de desigualdad de oportunidades para actuar en el mercado, derivado del manejo de información privilegiada.
En tal sentido, los administradores de las entidades supervisadas deben adoptarse las medidas y los controles que resulten necesarios para evitar el suministro de información privilegiada a uno o más participantes del mercado.
4.5. Monitoreo
Es el proceso que se lleva a cabo para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza por medio de la supervisión continua que realizan los jefes o líderes de cada área o proceso como parte habitual de su responsabilidad frente al control interno (vicepresidentes, gerentes, directores, etc. dentro del ámbito de la competencia de cada uno de ellos), así como de las evaluaciones periódicas puntuales que realicen la auditoría interna u órgano equivalente, el presidente o máximo responsable de la organización y otras revisiones dirigidas.
El SCI no puede ser estático, sino dinámico, ajustándose en forma permanente a las nuevas situaciones del entorno. Con tal fin, es importante que se establezcan controles o alarmas tanto en los sistemas que se lleven en forma manual como en los que se lleven en forma computarizada, de manera que permanentemente se valore la calidad y el desempeño del sistema en el tiempo y se realicen las acciones de mejoramiento necesarias, pues ello equivale a una actividad de supervisión y administración. Para efectos de lo anterior, dicho monitoreo se debe realizar en todas las etapas de los procesos y en tiempo real en el curso de las operaciones.
Las evaluaciones permanentes y separadas permiten a la alta dirección determinar si el control interno está presente y funciona en forma adecuada en el tiempo.
Las deficiencias de control interno deben ser identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resulten materiales, informarse también a la junta directiva u órgano equivalente.
