CONCEPTO 137822 DE 2024
(diciembre 18)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA FINANCIERA
VIGILADAS, SISTEMA DE CONTROL INTERNO-SGI, COMITÉ DE AUDITORÍA
Concepto 2024137822-011 del 18 de diciembre de 2024
Síntesis: el comité de auditoría es un órgano de apoyo y asesoría a la junta directiva de las entidades vigiladas, u órgano que haga sus veces, especialmente para efectos de la evaluación del SCI y la auditoría interna. Sin perjuicio de ello, todas las instancias que componen la estructura de gobernanza de las entidades vigiladas en materia de control interno deben procurar, de manera conjunta, materializar los objetivos estratégicos de las organizaciones y facilitar la gestión de los riesgos.
«(…) preguntas sobre el comité de auditoría de las entidades vigiladas
“Señalar si el contenido del concepto número 1999040689-2 de septiembre de 1999 emitido por la Superintendencia Financiera está a hoy vigente sobre la materia antes referida.”
En primer término, nos permitimos aclarar que el referido pronunciamiento fue emitido por la entonces Superintendencia Bancaria con el alcance previsto en el artículo 25 del Código Contencioso Administrativo. En este sentido, como cualquier concepto jurídico no obligatorio, se trató de una opinión, apreciación o juicio expresado por esa Autoridad, dentro del ámbito de su competencia, con fundamento en las normas que se encontraban vigentes en ese momento y que regulaban el asunto consultado.
Por tal razón, cualquier consideración sobre su contenido y alcance debe efectuarse bajo el análisis de los preceptos allí examinados, esto es, los artículos 22 y 23 de la Ley 222 de 1995 y el numeral 7, Capítulo IX, Título I de la Circular Básica Jurídica -en adelante CBJ- (Circular Externa 007 de 1996) de la Superintendencia Bancaria.
Respecto de dichas normas e instructivos, le informamos que las disposiciones legales mencionadas aún se encuentran vigentes, en tanto que las instrucciones fueron subrogadas por la actual CBJ (Circular Externa 29 de 2014), cuyas disposiciones en materia de control interno fueron recientemente modificadas a través de la Circular Externa 008 de 2023 con el fin de continuar con la convergencia hacia las mejores prácticas internacionales y promover el desarrollo de estructuras de gobierno corporativo robustas[1].
“¿A qué se refiere o cuál es el alcance de la expresión 'éstas deben contar con un Comité de Auditoría, dependiente de ese órgano social'?”
Dado que su inquietud se formula en el contexto del numeral 7, Capítulo IX, Título Primero - Control Interno - de la anterior CBJ (Circular Externa 007 de 1996) expedida por la Superintendencia Bancaria, el alcance de la expresión objeto de su pregunta debe examinarse con referencia a lo que disponía dicho instructivo sobre el particular. Así, el numeral 7.7.1.2 señalaba:
Para el adecuado cumplimiento de la labor que le corresponde a las juntas directivas u órganos equivalentes de las entidades sometidas a inspección y vigilancia, éstas deben contar con un Comité de Auditoría, dependiente de ese órgano social, encargado de la evaluación del control interno de la misma, así como a su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde a la junta directiva u órgano equivalente en la materia, desarrollando funciones de carácter eminentemente de asesoría y apoyo. (Se resalta)
Ahora bien, respecto del Comité de Auditoría y con referencia al alcance de la mencionada instrucción se pronunció la otrora Superintendencia Bancaria en el oficio 1999040689-2 del 7 de septiembre de 1999, al cual Usted alude en su comunicación y respecto del cual nos referimos en la respuesta anterior.
“Sírvase por favor informar cuál es la posición de la Superintendencia Financiera sobre los comités de auditoría, en el entendido de que estos órganos son dependientes de la junta directiva”.
“En ese sentido, sírvase informar si el comité de auditoría es o no un órgano dependiente de la junta directiva de una sociedad vigilada por la Superintendencia Financiera de Colombia”.
Como lo indicamos en las respuestas anteriores, el alcance de la expresión objeto de su consulta debe entenderse, estrictamente, dentro del contexto en el cual se utiliza, es decir el numeral 7, Capítulo IX, Título I de la Circular Externa 007 de 1996 de la Superintendencia Bancaria.
Ahora, como tal instructivo fue subrogado por la Circular Externa 029 de 2014 de la Superintendencia Financiera de Colombia, mediante la cual se reexpidió la actual Circular Básica Jurídica, en la actualidad el rol del comité de auditoría en la estructura de gobernanza de las entidades vigiladas debe analizarse de conformidad con las instrucciones vigentes en ella contenidas, en especial las del Capítulo IV, Título I, Parte I, que, cabe resaltar, no se refieren a dicho órgano en los términos por usted señalados.
Sin perjuicio de lo anterior, a título simplemente ilustrativo, le informamos que el comité de auditoría es un órgano de apoyo a la junta directiva en materia de control interno, que se integra por lo menos con 3 miembros de dicho cuerpo colegiado o el que haga sus veces, quienes deben tener experiencia y conocimiento en la materia y ser en su mayoría independientes para aquellas entidades que por disposición legal o estatutaria deben contar con tales miembros en el referido órgano social.
En ese rol de apoyo y asesoría a la junta directiva u órgano que haga sus veces, especialmente para efectos de la evaluación del Sistema de Control Interno (SCI) y la auditoría interna, entre otros aspectos, el comité de auditoría tiene unas responsabilidades mínimas respecto de los componentes del SCI, es decir: ambiente de control, gestión de riesgos, actividades de control, información y comunicación, así como seguimiento y monitoreo, las cuales se interrelacionan con las que tiene la junta directiva.
Sobre este último particular, es de resaltar que de conformidad con las instrucciones vigentes en materia de SCI, la estructura de gobierno de las entidades vigiladas, que comprende la junta directiva y sus comités de apoyo, la alta gerencia y la auditoría interna, deben procurar, de manera conjunta, materializar los objetivos estratégicos de las organizaciones y facilitar la gestión de los riesgos.
El texto completo de las instrucciones vigentes está disponible en la página web de esta Superintendencia, www.superfinanciera.gov.co, en la ruta: inicio > Marco jurídico > Normativa general > Circular Básica Jurídica (C.E. 029/14) > Parte I > Título I > Capítulo IV o dando clic aquí.
“Del mismo modo, sírvase informar si, ¿el comité de auditoría debe funcionar conforme a los reglamentos, parámetros e indicaciones que, para tal fin, imparta la junta directiva de la entidad vigilada respectiva?”
Frente a su inquietud, es de anotar que de conformidad con lo dispuesto en el numeral 3.1.10 y el literal g del numeral 4.1.1, ambos del Capítulo IV, Título I, Parte I de la CBJ, el comité de auditoría de las entidades vigiladas funciona de conformidad con su reglamento interno, el cual es elaborado por la alta gerencia y aprobado por la junta directiva.
En todo caso, debe tenerse en cuenta que, en materia de control interno, el comité de auditoría debe cumplir, como mínimo, con las responsabilidades y funciones establecidas en el numeral 4.2 del citado instructivo, sin perjuicio de las demás que le sean asignadas en las políticas internas de la entidad.
“Dado que el comité de auditoría es un órgano colegiado, ¿podría alguno de sus integrantes, valiéndose de su rol como miembro del comité de auditoría, solicitar información a la administración de la sociedad de forma individual sin representación del comité de auditoría?”
“En línea con la pregunta anterior, ¿podría el integrante del comité de auditoría pedir información a la administración de la sociedad respecto de asuntos que no tienen que ver con las funciones del comité de auditoría?”
Sobre el particular, le informamos que esta Superintendencia en el escenario de la respuesta a una consulta de carácter general no puede pronunciarse sobre esta clase de inquietudes, toda vez que las mismas deben ser resueltas por cada entidad vigilada con sujeción a lo establecido en el reglamento de funcionamiento del comité de auditoría y demás documentos internos que componen su SCI.
Entre esos documentos, destacamos el código de ética y conducta, que debe definir las normas de conducta a que se sujetan los funcionarios, administradores y demás personas que participan en una entidad vigilada, así como la política de seguridad de la información que debe establecer los mecanismos de control para asegurar y proteger la información y, que incluyen, entre otros, “[p]permitir el acceso a sistemas, programas y datos exclusivamente a usuarios autorizados en virtud de sus funciones” (se subraya).
(…).»
1. En la expedición de estas nuevas instrucciones, este Organismo tuvo en cuenta las últimas actualizaciones del Marco Integrado de Control Interno publicadas por el Comité de Organizaciones Patrocinadoras de la Comisión de Normas de los Estados Unidos de América (COSO, por sus siglas en inglés), el Modelo de las Tres Líneas expedido por el Instituto de Auditores Internos del Reino Unido (IIA, por sus siglas en inglés) y los lineamientos definidos por el Comité de Supervisión Bancaria de Basilea en materia de gobierno corporativo.
