Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
CIRCULAR EXTERNA ÚNICA 00004-2024 DE 2024
(julio 9)
Diario Oficial No. 52.820 de 17 de julio de 2024
SUPERINTENDENCIA DEL SUBSIDIO FAMILIAR
| Destino: | Cajas de Compensación Familiar |
| De: | Angie Katherine Monroy Bobadilla - Superintendente del Subsidio Familiar (e) |
| Asunto: | Por la cual se adiciona el Libro III y IV de la Circular Externa Única de la SSF. |
LIBRO III
TABLA DE CONTENIDO
LIBRO III
INTRODUCCIÓN
ANTECEDENTES
TÍTULO I
SISTEMA DE CONTROL INTERNO
1. Definición del Sistema de Control Interno
2. Objetivos
2.1. Objetivos de operaciones
2.2. Objetivos de informes
2.3. Objetivos de Cumplimiento
3. Definición de los componentes del Sistema del Control Interno
3.1. Principios generales
3.2. Componentes
3.2.1. Entorno o ambiente de control
3.2.2. Evaluación del riesgo
3.2.3. Actividades de control
3.2.4. Información y Comunicación
3.2.5. Actividades de Supervisión
4. Responsabilidades de los entes internos y externos
4.1. Consejo Directivo
4.2. Comité Independiente de Auditoría, Riesgos y Cumplimiento
4.3. Comité de Ética
4.5. Otros miembros de la alta dirección
5. Reglas del Sistema de Control Interno para la Gestión de Tecnología
5.1. Relaciones con proveedores
5.2. Continuidad de la Caja de Compensación Familiar
5.3. Seguridad de los sistemas
5.4. Educación y entrenamiento de usuarios
5.5. Administración de las instalaciones
6. Auditoría Interna
7. Revisor Fiscal.
TÍTULO II
GESTIÓN DE RIESGOS
1. Definición de gestión de riesgos
2. Objetivos
3. Lineamientos generales
3.3.1. Riesgo Operacional
3.3.2. Riesgo de Fraude, Corrupción y Soborno
3.3.3. Riesgo de Crédito
3.3.4. Riesgo de Liquidez
3.3.5. Riesgo de Mercado de Capitales
3.3.6.Riesgo de Lavado de Activos, Financiación del Terrorismo y Proliferación de Armas de Destrucción Masiva
4. Etapas de administración de riesgo
4.1. Planeación
4.2. Identificación
4.3. Análisis y evaluación:
4.4. Tratamiento y control de los riesgos
4.5. Seguimiento y monitoreo
4.6. GLOSARIO
LIBRO IV
TÍTULO I
RÉGIMEN DE TRANSPARENCIA DE LAS CAJAS DE COMPENSACIÓN FAMILIAR
ANTECEDENTES
1. ÁMBITO DE APLICACIÓN DEL PROGRAMA DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
2. PROGRAMAS DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
3. DISEÑO Y APROBACIÓN
4. PROCEDIMIENTO
5. DIVULGACIÓN Y CAPACITACIÓN
6. PROSELITISMO POLÍTICO
7. FUNCIONES DE LA ASAMBLEA GENERAL DE AFILIADOS
8. FUNCIONES DEL CONSEJO DIRECTIVO
9. FUNCIONES DEL DIRECTOR ADMINISTRATIVO
10. FUNCIONES DEL REVISOR FISCAL
11. REQUISITOS DEL OFICIAL DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
12. FUNCIONES DEL OFICIAL DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
13. SANCIONES:
14. PERIODO DE TRANSICIÓN PARA LA APLICACIÓN DEL PTEE:
VIGENCIA
LIBRO III
INTRODUCCIÓN
Las Cajas de Compensación Familiar son personas jurídicas de derecho privado sin ánimo de lucro, organizadas como corporaciones, en la forma prevista en el Código Civil, cumplen funciones de seguridad social y se hallan sometidas a la inspección, vigilancia y control de la Superintendencia del Subsidio Familiar, se exponen a diversos riesgos, lo cual conlleva la una necesidad de gestionarlos y desarrollar un ambiente de control adecuado.
Por tal razón, las Cajas de Compensación Familiar, deben desarrollar, establecer, implementar y mantener un Sistema de Control Interno del Subsidio Familiar, en adelante SCISF, que incorpore el Sistema Integrado de Administración de Riesgos y la Auditoría Interna para su revisión continua y de la adecuada ejecución de los procesos, así como su incorporación en los planes anuales para que estén basados en riesgos. Lo anterior, acorde con su tamaño, cobertura, servicios, productos, programas, jurisdicción y otras características propias de las Cajas de Compensación Familiar.
El Sistema de Control Interno está compuesto por políticas, principios, procedimientos y mecanismos de verificación y evaluación, con el propósito de proporcionar un grado de seguridad razonable para lograr los objetivos de control.
Los sistemas de gestión de riesgos están compuestos por metodologías de riesgos y elementos tales como políticas, procedimientos, documentación, órganos de control, infraestructura tecnológica, entre otros; con los cuales se podrán identificar, medir, controlar y monitorear eficazmente los riesgos.
La Auditoría Interna es el órgano de control interno independiente, que vela por el adecuado funcionamiento de la respectiva Caja de Compensación Familiar, y adopta normas y parámetros mínimos que garantizan el ejercicio profesional e idóneo de ésta, acorde con los estándares y mejores prácticas internacionales.
ANTECEDENTES
Mediante la Circular Externa número 0023 de 30 de noviembre de 2010, la Superintendencia del Subsidio Familiar impartió instrucciones sobre el Sistema de Control Interno en las Cajas de Compensación Familiar, Gestión de Riesgo y Comité Independiente de Auditoría, Riesgos y Cumplimiento haciendo obligatoria la adopción e implementación en todas las Cajas de Compensación Familiar a partir de la fecha de su publicación, en los siguientes términos:
i) Las Cajas de Compensación Familiar requieren una estructuración formal para la implementación y sostenimiento de un Sistema de Control Interno del Subsidio Familiar (en adelante SCISF) o su adecuación, de manera que dicho sistema contribuya al logro de sus objetivos y fortalezca la apropiada administración de los riesgos a la cual se ven expuestas.
ii) Un marco conceptual y normativo para el SCISF, como elemento fundamental del Gobierno Corporativo de las Cajas de Compensación Familiar basado en un modelo ampliamente aceptado a nivel internacional(1), que contempla en detalle la noción, contenido y alcance del sistema de control interno.
iii) Las reglas, parámetros generales y requisitos mínimos tendientes al fortalecimiento de los sistemas de control interno, hacia una evaluación continua de su eficacia razonable y requerida, deben ser implementados o ajustados por las Cajas de Compensación Familiar, de acuerdo con el tamaño de la respectiva organización, la naturaleza de sus actividades y la complejidad de sus operaciones, teniendo la relación costo/beneficio.
Como parte de su estrategia de modernización y fortalecimiento, la Superintendencia del Subsidio Familiar diseñó, estructuró y desarrolló la Circular Única que reunió en un solo instrumento, las instrucciones actuales de la Entidad, compilando todas las interacciones vigentes, en materia jurídica, contable y financiera.
Mediante la Circular Única la Superintendencia del Subsidio Familiar, en su estructura jurídica, contable y financiera no modificó la vigencia de los anexos existentes, relacionados con los lineamientos o instrucciones del Marco Conceptual y Normativos para el Sistema de Control Interno del Subsidio Familiar (SCISF), como elemento fundamental del Gobierno Corporativo para las Cajas de Compensación Familiar, sobre Gestión de Riesgo y el Comité Independiente de Auditoría, Riesgos y Cumplimiento.
En el anexo de la Circular Externa número 0023 de 2010, se describen los componentes, principios y elementos necesarios para que la organización de las Cajas de Compensación Familiar, consolide una estructura de control interno para el cumplimiento de los principios generales de autocontrol, autogestión y autorregulación y para mejorar la eficiencia y la eficacia de las operaciones y fundamentalmente, gestionar de forma eficaz sus riesgos a través de la implementación y desarrollo del Sistema de Control Interno. No obstante, el anexo no define ni asigna responsabilidades, de ahí la necesidad de generar una actualización en el proceso.
En consecuencia, dada la estrategia de modernización y fortalecimiento de la Superintendencia del Subsidio Familiar se hace necesario actualizar algunos aspectos del Sistema de Control Interno en las Cajas de Compensación Familiar (SCISF).
MARCO NORMATIVO
Para el desarrollo de las actividades del Sistema del Control Interno en las Cajas de Compensación Familiar se deben tener en cuenta, entre otras, las siguientes:
- Ley 1314 de 2009, “por la cual se regulan los principios y normas de contabilidad de información financiera y de aseguramiento de información aceptados en Colombia, se señalan las autoridades competentes, el procedimiento para su expedición y se determinan las entidades responsables de vigilar su cumplimiento”.
- Ley 1712 de 2014, “por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones”.
- Ley 2195 de 2022, “por medio de la cual se adoptan medidas en materia de transparencia, prevención y lucha contra la corrupción y se dictan otras disposiciones”.
- Decreto número 302 de 2015, “por la cual se reglamenta la Ley 1314 de 2009 sobre el marco técnico normativo para las normas de aseguramiento de la información”.
- Decreto número 2420 de 2015, “por medio del cual se expide el Decreto Único Reglamentario de las Normas de Contabilidad, de Información Financiera y de Aseguramiento de la Información y se dictan otras disposiciones”.
- Decreto número 2496 de 2015, “por medio del cual se modifica el Decreto 2420 de 2015 Único Reglamentario de las Normas de Contabilidad, de Información Financiera y de Aseguramiento de la Información y se dictan otras disposiciones”.
- Concepto 981 del 18 de marzo de 2016, Consejo Técnico de la Contaduría Pública.
- Concepto 470 del 28 de julio de 2016, Consejo Técnico de la Contaduría Pública.
- Concepto 121 de 2019, Consejo Técnico de la Contaduría Pública.
- NICC-ISQC (Norma Internacional de Control de Calidad).
- NIA- ISA (Normas Internacionales de Auditoría).
- Código de Ética de la Corporación
- Marco Internacional para la Práctica Profesional de la Auditoría Interna (MIPP)
- Marco Integrado de Control Interno COSO (Committee Sponsoring Organization of the Treadway)
- Gestión de Riesgo Empresarial COSO ERM (Committee Sponsoring Organization of the Treadway)
- Norma internacional para la Gestión de Riesgo ISO 31000
- Sistema de Gestión de Seguridad de la Información ISO/IEC 27001
- Código país
- Modelo de las tres líneas de IIA
- Norma 1112 IIA Guía para la Práctica: Auditoría Interna y la Segunda Línea de Defensa.
TÍTULO I
SISTEMA DE CONTROL INTERNO
1. Definición del Sistema de Control Interno.
El Sistema de Control Interno del Subsidio Familiar (SCISF), es el conjunto de normas, principios, fundamentos, procesos, procedimientos, acciones, mecanismos, técnicas e instrumentos de control, ordenados y relacionados entre sí para su ejecución por el Consejo Directivo, la Dirección Administrativa y todos los colaboradores de las Cajas de Compensación Familiar; diseñado para proporcionar un aseguramiento razonable en cuanto al logro de los objetivos relacionados con las operaciones, los informes a presentar y el cumplimiento normativo, con el fin de propender por una adecuada gestión de los riesgos.
2. Objetivos
El Sistema de Control Interno deberá contar como mínimo con los siguientes objetivos:
2.1. Objetivos de operaciones
Se refieren a la eficacia de las operaciones, incluyendo metas de desempeño operativo y financiero y la salvaguarda de los activos propiedad de la Caja de Compensación Familiar, o de terceros en su poder, contra posibles pérdidas; estos objetivos se convierten en una meta a corto plazo, cuyo logro mueve una organización hacia la consecución de los objetivos estratégicos o de largo plazo.
Los objetivos de operaciones se relacionan con el logro del propósito, misión, visión y objetivos estratégicos, que hayan sido definidos por cada Caja de Compensación Familiar, dentro de su autonomía, para:
2.1.1.Acompañar a la organización en el cumplimiento de sus objetivos estratégicos para propiciar el bienestar de los afiliados y sus familias.
2.1.2. Fortalecer los resultados financieros
2.1.3. Incrementar la productividad para evitar o minimizar desperdicios y reprocesos.
2.1.4. Proporcionar lineamientos para mejorar la calidad en los procesos.
2.1.5. Adoptar buenas prácticas ambientales.
2.1.6. Fomentar la cultura de innovación.
2.1.7. Contribuir al adecuado relacionamiento con los grupos de interés.
2.1.8.Prevenir y mitigar la ocurrencia de fraudes originados, tanto en el interior, como en el exterior de las Cajas de Compensación Familiar y salvaguarda y mantenimiento de los bienes de la corporación.
2.2. Objetivos de informes
Se refieren a la preparación de informes para uso corporativo y de partes interesadas, también hacen alusión a la información financiera y no financiera, tanto interna como externa y pueden abarcar la confiabilidad, la oportunidad, la transparencia u otros términos establecidos por el Gobierno o la Superintendencia del Subsidio Familiar. Así mismo, responden a una variedad de necesidades relacionadas con los lineamientos estratégicos, planes operativos e indicadores de desempeño en los distintos niveles.
2.2.1. Objetivos de Informes Financieros Externos: Cumplir con las obligaciones hacia las partes interesadas. Los estados financieros son necesarios para acceder a sistemas de crédito y pueden ser determinantes para cuando se pretende la adjudicación de contratos o en el trato con proveedores. La alta dirección, también tiene la obligación de publicar estados financieros utilizando los objetivos establecidos por las normas, reglamentos y normas externas.
2.2.2. Objetivos de Informes No Financieros Externos: Reportar información no financiera externa de conformidad con las leyes, normas, reglamentos u otros marcos.
2.2.3. Objetivos de Informes Financieros y No Financieros Internos: Incluir información considerada necesaria para la organización. Es compatible con la toma de decisiones y la evaluación de las actividades y el desempeño de la corporación.
2.3. Objetivos de Cumplimiento
Se encuentran orientados a la observancia de las leyes y regulaciones vigentes para el sistema del subsidio familiar y demás servicios ofrecidos por las Cajas de Compensación Familiar.
Como parte de la especificación de los objetivos de cumplimiento, la organización tiene que entender cuáles leyes, normas y reglamentos se aplican para los servicios que presta. Diversas leyes y reglamentos son generalmente bien conocidos, tales como los relativos a recursos humanos, impuestos y cumplimiento ambiental, pero otros pueden ser más complejos, considerando la naturaleza “sui géneris” de las Cajas de Compensación Familiar.
Para efectos del SCISF, el cumplimiento de las políticas y procedimientos internos de la organización, además de cumplir con las leyes y regulaciones externas, hace referencia a los objetivos de operaciones integradas en el proceso de control interno y están los controles inmersos en las políticas y procedimientos. Las políticas reflejan las declaraciones de la Dirección o del Consejo Directivo sobre lo que debe hacerse para efectuar el control. Los procedimientos son las acciones que implementan las políticas. Las organizaciones seleccionan y desarrollan controles dentro de cada componente para aplicar los principios pertinentes. Los controles están relacionados entre sí y pueden soportar múltiples objetivos y principios, es una función del juicio de la Dirección, basado en factores como:
2.3.1. Leyes, reglamentos y normas aplicables a la entidad.
2.3.2.La naturaleza de las Cajas de Compensación Familiar y el medio en el que operan.
2.3.3. Alcance y naturaleza del modelo operativo de Dirección.
2.3.4. Competencia del personal de la corporación en relación con el control interno.
2.3.5. El uso y dependencia de la tecnología.
2.3.6. Las respuestas de la Dirección a los riesgos evaluados.
3. Definición de los componentes del Sistema del Control Interno
El SCISF debe estar fundamentado en principios generales y específicos con el fin de establecer acciones, políticas, métodos, procedimientos, mecanismos de prevención, control, evaluación y de mejoramiento continuo de las Cajas de Compensación Familiar que les permita a las organizaciones tener una seguridad razonable acerca de la consecución de sus objetivos y cumplir con las normas que las regulan.
3.1. Principios generales
3.1.1. Autocontrol: Es la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como proporcionar ideas concretas para mejorar sus tareas y responsabilidades.
3.1.2. Autorregulación: Es la capacidad de la caja de compensación familiar para aplicar políticas, lineamientos, métodos y procedimientos que permitan el desarrollo e implementación del SCISF, dentro del marco de las disposiciones legales aplicables.
3.1.3. Autogestión: Se refiere a la capacidad de la organización para interpretar, coordinar, ejecutar y evaluar de manera eficiente y eficaz su funcionamiento.
3.2. Componentes
3.2.1. Entorno o ambiente de control
Es el conjunto de normas, procesos y estructuras que sirven de base para llevar a cabo el control interno en la organización. El Consejo Directivo y la Alta Dirección establecen las pautas respecto a la importancia del control interno, incluidas las normas de conducta esperadas. La Dirección Administrativa refuerza las expectativas de los distintos niveles de la organización.
3.2.2. Evaluación del riesgo
Las corporaciones enfrentan una variedad de riesgos de fuentes internas y externas. El riesgo se define como la posibilidad de que ocurra un evento y afecte el cumplimiento de los objetivos. La evaluación del riesgo consiste en un proceso dinámico e interactivo para identificar y evaluar los riesgos asociados a la consecución de los objetivos de la Caja de Compensación Familiar.
La Dirección Administrativa debe considerar los posibles cambios que se puedan producir en el entorno externo, así como aquellos dentro de su propio modelo de negocio que puedan impedir su capacidad para lograr los objetivos.
Una condición previa para la evaluación del riesgo es el establecimiento de objetivos vinculados a diferentes niveles de la corporación. La Dirección Administrativa establece objetivos dentro de las categorías relacionadas con operaciones, informes y cumplimiento, con la suficiente claridad para identificar y analizar los riesgos asociados a los objetivos.
3.2.3. Actividades de control
Son las medidas establecidas en las políticas y procedimientos para asegurar que se cumplan los lineamientos de la Dirección con miras a mitigar los riesgos para el logro de los objetivos. Las actividades de control se llevan a cabo en todos los niveles de la organización y en las distintas etapas de los procesos, así como en el entorno tecnológico.
3.2.4. Información y Comunicación
La información es necesaria en la entidad para cumplir con las responsabilidades de control interno en apoyo del logro de sus objetivos. La comunicación se produce tanto a nivel interno como externo y proporciona a la organización la información necesaria para ejecutar diariamente los controles. La comunicación permite al personal entender sus responsabilidades de control interno y su importancia para el logro de los objetivos.
3.2.5. Actividades de Supervisión
Las evaluaciones continuas, evaluaciones independientes, o una combinación de ambas, se utilizan para determinar si cada uno de los cinco componentes de control interno, incluidos los controles para efectuar los principios dentro de cada componente, están presentes y en funcionamiento. Los resultados son evaluados y las deficiencias se comunican oportunamente a la alta Dirección y al Consejo Directivo.
4. Responsabilidades de los entes internos y externos
4.1. Consejo Directivo
Las responsabilidades de supervisión del Consejo Directivo incluyen proporcionar asesoramiento y orientación a la Dirección, aprobar las políticas y transacciones, y supervisar las actividades de la Dirección. En consecuencia, el Consejo Directivo es una instancia importante de control interno. El Consejo y la alta Dirección establecen las pautas de la organización sobre la importancia del control interno y las normas de conducta esperadas.
Los miembros del Consejo Directivo de las Cajas de Compensación Familiar como principales gestores del Gobierno Corporativo, deben realizar su gestión con profesionalismo, integridad, competencia e independencia, dedicándole el tiempo necesario. Así mismo, deben ser transparentes en su gestión procurando tener un buen conocimiento del sistema del subsidio familiar y de los riesgos que involucran los productos y servicios ofrecidos por las Cajas de Compensación Familiar. También deben realizar seguimiento a la gestión integral de riesgos de la Caja y apoyar la labor de los órganos de inspección, vigilancia y control.
Del Consejo Directivo deben provenir la autoridad, orientación y vigilancia al personal directivo superior, de manera que sus miembros deberán contar con experiencia y conocimientos adecuados acerca de las actividades, los objetivos y la estructura de la respectiva entidad, como lo prevén el artículo 23 de la Ley 222 de 1995 y los numerales 1, 2 y 6 del artículo 54 de la Ley 21 de 1982.
El Consejo Directivo tiene un papel clave en la definición de las expectativas sobre la integridad y los valores éticos, la transparencia y la responsabilidad por el desempeño del control interno. Los miembros de este órgano corporativo tienen conocimiento del sistema del subsidio familiar, de las actividades de la entidad y su entorno, y dedican el tiempo necesario para cumplir con sus responsabilidades de gobernabilidad.
4.1.1. Funciones Consejo Directivo
4.1.1.1. La aprobación del informe anual del Sistema de Control Interno que se presen tará en la Asamblea General de Afiliados.
4.1.1.2. Aprobar las decisiones referentes al nombramiento y cese del auditor interno.
4.1.1.3. La aprobación de las políticas del Sistema de Control Interno.
4.1.1.4. La supervisión sobre la integridad y confiabilidad de los sistemas contables y de información interna con base, entre otros, en los informes de Auditoría Interna y de los representantes legales.
4.1.1.5. La supervisión de la información financiera y no financiera que por su condición de emisora y en el marco las políticas de información y comunicación, la corporación debe hacer pública periódicamente.
4.1.1.6. La supervisión de la independencia y eficiencia de la función de Auditoría Interna.
4.1.1.7.La supervisión de la eficiencia de las prácticas de nivel de cumplimiento de las normas éticas y de conducta adoptadas por la entidad.
4.1.1.8.El pronunciamiento sobre los informes de los órganos de control y la realización del seguimiento a las actividades a ejecutar en desarrollo de las acciones de mejora para subsanar las observaciones o levantar las recomendaciones contenidas en estos informes.
4.2. Comité Independiente de Auditoría, Riesgos y Cumplimiento
Para el adecuado cumplimiento de la labor que le corresponde a los Consejos Directivos y en especial en el cumplimiento de las funciones contenidas en los numerales 3, 6 y 8 del artículo 54 de la Ley 21 de 1982, deben contar con un Comité Independiente de Auditoría, Riesgos y Cumplimiento derivado de ese órgano social, encargado de la evaluación del control interno y la gestión integral de riesgos de la misma, así como a su mejoramiento continuo, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde al Consejo Directivo de la Caja de Compensación Familiar en esta materia, desarrollando funciones de carácter eminentemente de asesoría y apoyo.
El Consejo Directivo, a través de su Comité Independiente de Auditoría, Riesgos y Cumplimiento, realiza seguimiento de las políticas, procedimientos, riesgos y controles internos que se establezcan, el análisis de la ejecución de las operaciones, la atención de las observaciones y recomendaciones realizadas por los entes de control y la revisión periódica del Sistema de Control Interno. Entendiéndose claramente que es un Comité de Apoyo y de Asesoría para el Consejo Directivo.
Tiene la autoridad y la responsabilidad ante la alta Dirección sobre cómo están cumpliendo con sus responsabilidades frente al sistema de control interno y verificar que se tomen las medidas correctivas oportunas, cuando sea necesario. Además, realiza seguimiento a los niveles de exposición de riesgo, los impactos relacionados y la vigilancia sobre sus respuestas.
El Comité Independiente de Auditoría, Riesgos y Cumplimiento, deberá reunirse por lo menos cada dos (2) meses, o con una frecuencia mayor si así lo establece su reglamento o lo ameritan los resultados de las evaluaciones del SCISF.
4.2.1. Conformación:
Este comité deberá estar conformado mínimo por tres (3) miembros del Consejo Directivo que tendrán con voz y voto.
A su vez, asistirán a las sesiones del comité con voz y sin voto:
- Director de la Corporación
- Auditor Interno o quien haga sus veces
- Responsable de la gestión de riesgos
- Revisor Fiscal (opcional)
- Secretario del comité (Puede ser uno de los arriba citados o la secretaria general de la corporación)
A estas sesiones también se podrá invitar personal especializado, para asesoría técnica, financiera o de apoyo, quienes asistirán con voz, pero sin voto.
A las reuniones del Comité puede ser citado cualquier funcionario de la entidad, con el fin de suministrar la información que se considere pertinente acerca de asuntos de su competencia.
El Consejo Directivo deberá adoptar el Reglamento de Funcionamiento del Comité, determinando el rol de los participantes.
4.2.2. Funciones del Comité Independiente de Auditoría, Riesgos y Cumplimiento
4.2.2.1. Proponer para aprobación del Consejo Directivo u órgano que haga sus veces, la estructura, políticas, procedimientos y metodologías necesarias para el funcionamiento del Sistema de Control Interno.
4.2.2.2. Velar por que la caja cuente con una adecuada asignación de responsabilidades y atribuciones para los diferentes cargos y procesos, en relación con la gestión de riesgos, como parte integral del Sistema de Control Interno.
4.2.2.3. Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la entidad, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas.
4.2.2.4. Informar al Consejo Directivo u órgano equivalente sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida por los órganos de control para la realización de sus funciones.
4.2.2.5. Estudiar los estados financieros y elaborar el informe correspondiente para someterlo a consideración del Consejo Directivo, con base en la evaluación no sólo de los proyectos correspondientes, con sus notas, sino también de los dictámenes, observaciones de las entidades de control, resultados de las evaluaciones efectuadas por los Comités competentes y demás documentos relacionados con los mismos.
4.2.2.6. Supervisar las funciones y actividades del proceso de Auditoría Interna de la organización u órgano que haga sus veces, con el objeto de determinar su inde pendencia y objetividad en relación con las actividades que audita, determinar la existencia de limitaciones que impidan su adecuado desempeño y verificar si el alcance de su labor satisface las necesidades de control de la entidad.
4.2.2.7. Evaluar los informes de control interno practicados por el Auditor Interno, u otras instancias de control interno establecidas legalmente o en los reglamentos internos, verificando que la administración haya atendido sus sugerencias y recomendaciones.
4.2.2.8. Efectuar seguimiento sobre los niveles de exposición de riesgo, sus implicaciones para la entidad y las medidas adoptadas para su control o mitigación, por lo menos cada seis (6) meses, o con una frecuencia mayor si así resulta procedente, y presentar al Consejo Directivo de la Caja de Compensación Familiar un informe sobre los aspectos más importantes de la gestión realizada.
4.2.2.9. Evaluar programas y controles para prevenir, detectar y responder adecuadamente a los riesgos de fraude, corrupción y soborno.
4.2.2.10. Hacer seguimiento al cumplimiento de las instrucciones dadas por el Consejo Directivo u órgano equivalente, en relación con el SCI.
4.2.2.11. Analizar el funcionamiento de los sistemas de información, su confiabilidad e integridad para la toma de decisiones.
4.2.2.12. Elaborar el informe que el Consejo Directivo deberá presentar al máximo órgano social respecto al funcionamiento del SCISF, el cual incluirá entre otros aspectos:
4.2.2.12.1. Las políticas generales establecidas para la implementación del SCISF de la entidad.
4.2.2.12.2. El proceso utilizado para la revisión de la efectividad del SCISF, con mención expresa de los aspectos relacionados con la gestión de riesgos.
4.2.2.12.3. Las actividades más relevantes desarrolladas por el Comité de Auditoría, Riesgos y Cumplimiento.
4.2.2.12.4. Las deficiencias materiales detectadas, las recomendaciones formuladas y las medidas adoptadas, incluyendo entre otros temas aquellos que pudieran afectar los estados financieros y el informe de gestión.
4.2.2.12.5. Las observaciones formuladas por los órganos de supervisión y las sanciones impuestas, cuando sea del caso.
4.2.2.12.6. Presentar la evaluación de la labor realizada por Auditoría Interna o área equivalente, incluyendo entre otros aspectos el alcance del trabajo desarrollado, la independencia de la función y los recursos que se tienen asignados.
4.2.2.12.7. Las demás que le fije el Consejo Directivo, en su reglamento interno.
4.2.2.13. Analizar y aprobar el Plan Anual de Trabajo de Auditoría y de la Gestión de Riesgos y cumplimiento.
4.2.2.14. Revisar y evaluar la integridad y la adecuación de la función de gestión de riesgos y cumplimiento de la entidad.
4.3. Comité de Ética
El Consejo Directivo crea un Comité de Ética, el cual está conformado por los miembros de la Alta Gerencia, en número impar, igual o mayor a tres (3).
4.3.1. Las funciones del Comité de Ética incluyen al menos, las siguientes:
4.3.1.1. Construir, coordinar y aplicar estrategias para fortalecer los pilares de conducta ética al interior de la corporación.
4.3.1.2. Apoyar al Consejo Directivo en sus funciones de resolución de conflictos de interés.
4.3.1.3. Elaborar los programas necesarios para la divulgación y difusión de los principios y valores éticos de la corporación.
4.3.1.4. Crear y apoyar las actividades para la actualización del Código de Ética y Conducta y de Buen Gobierno.
4.3.1.5. Seguimiento periódico del grado de cumplimiento del Código de Ética y la eficacia del sistema de denuncias anónimas, evaluando las actuaciones antiéticas que se presenten y el contenido de las denuncias efectuadas.
Si llegara a existir un tema de discusión ética que implique directamente al Director Administrativo, representante legal, un miembro del Consejo Directivo, el Auditor Interno o el Revisor Fiscal; en este caso, un número impar, igual o mayor a tres (3), de miembros del Consejo Directivo accionará como Comité de Ética.
4.3.1.6. Adicionalmente, el Comité de Ética construye los lineamientos de las políticas anticorrupción para la corporación y realizará el diseño y seguimiento al Programa de Transparencia y Ética Empresarial.
Para el efecto, se tendrán en cuenta los lineamientos establecidos en Libro IV Régimen de Transparencia de las Cajas de Compensación Familiar de la Circular Única.
4.4. Representante Legal
El Director Administrativo es el representante legal de la Caja de Compensación Familiar, el responsable de implementar los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente corporación y su adecuado funcionamiento, para lo cual no debe limitarse a la revisión de los informes presentados por las diferentes áreas de la organización sino, ejecutar acciones concretas para verificar la veracidad y confiabilidad del contenido de dichos informes y la eficacia de los controles. Debe dejar constancia de sus actuaciones en esta materia.
El Director Administrativo es responsable ante el Consejo Directivo por el diseño, implementación y realización de un sistema eficaz de control interno. Marca la pauta en la parte superior que afecta el ambiente de control y los demás componentes del control interno.
Adicional a lo anterior, deberá mantener a disposición del Auditor Interno, el Revisor Fiscal y demás órganos de supervisión o control, los soportes necesarios para acreditar la correcta implementación del SCISF en sus diferentes elementos, procesos y procedimientos.
4.4.1. Son responsabilidades del Director Administrativo directamente o a través de un equipo determinado o unidad operativa dentro de la corporación, con relación al Sistema de Control Interno, las siguientes:
4.4.1.1. Ejercer liderazgo, dar ejemplo, actuar en coherencia con los valores corporativos, las normas, las expectativas de competencia, la estructura organizativa y la responsabilidad como bases del sistema de control interno, especificando los objetivos y las políticas globales.
4.4.1.2. Proporcionar a los órganos de control interno y externo, toda la información que requieran para el desarrollo de su labor.
4.4.1.3. Mantener la vigilancia y control sobre los riesgos que enfrenta la entidad.
4.4.1.4. Orientar el desarrollo y ejecución de las actividades de control a nivel de entidad y delegar en distintos niveles el diseño, ejecución, realización y evaluación de los controles internos.
4.4.1.5. Comunicar los valores, políticas clave, requerimientos de información, tipo de planificación e informes necesarios.
4.4.1.6. Evaluar las deficiencias de control y el impacto en la eficacia continua y a largo plazo del Sistema de Control Interno.
4.4.1.7. Realizar seguimiento periódico a los procesos o unidades que lideran el soporte, las finanzas, la prestación de servicios, el cumplimiento y los riesgos para evaluar cómo se están llevando a cabo sus responsabilidades de control interno.
4.4.1.8. Establecer un direccionamiento claro en relación con ética y buen gobierno y velar por el cumplimiento de los lineamientos contenidos en el Código de Buen Gobierno, Ética y Transparencia Corporativa, relacionados con el Sistema Integrado de Administración de Riesgos.
4.4.1.9. Asegurar la implementación de los Planes de Mejora requeridos para subsanar las deficiencias en el SCISF.
4.4.1.10. Velar porque las etapas y elementos del Sistema Integrado de Administración de Riesgos cumplan con los requisitos normativos y porque se implementen los procedimientos y se apliquen de forma correcta los controles establecidos para la adecuada administración de los riesgos ante los cuales se vea expuesta la entidad en el desarrollo de su actividad.
4.4.1.11. Velar por el cumplimiento de los lineamientos establecidos en el Código de Ética y Conducta y Código de Buen Gobierno en materia de conflictos de interés y uso de información privilegiada que tengan relación con el Sistema Integrado de Administración de Riesgos.
4.4.1.12. Hacer seguimiento y pronunciarse respecto de los informes periódicos que presente el Comité de Auditoría, Riesgos y Cumplimiento sobre el perfil de riesgos de la entidad y las estrategias de mitigación definidas, además de los informes presentados por la Revisoría Fiscal.
4.4.1.13. Informar de manera oportuna mediante oficio al ente de control correspondiente y de acuerdo con la normatividad vigente, acerca de cualquier situación excepcional que se presente o prevea que pueda presentarse como mínimo en el ámbito de la administración de los riesgos prioritarios, de las causas que la originan y de las medidas que se propone poner en marcha por parte de la entidad para corregir o enfrentar dicha situación, si procede.
4.4.1.14. Apoyar y garantizar el efectivo cumplimiento de las políticas definidas por el Consejo Directivo.
4.4.1.15. Conocer y discutir los procedimientos a seguir en caso de sobrepasar o exceder los límites de exposición frente a los riesgos, así como los planes de contingencia a adoptar respecto de cada escenario extremo.
4.5. Otros miembros de la alta dirección
La alta dirección no sólo comprende al Director Administrativo, sino también el equipo directivo, quien conduce las unidades operativas y funciones clave que habilitan la prestación del servicio.
4.5.1. Funciones de alta Dirección con respecto al Sistema de Control Interno:
4.5.1.1. Ejercer liderazgo, dar ejemplo, actuar en coherencia con los valores corporativos, las normas, las expectativas de competencia, la estructura organizativa y la responsabilidad que forman las bases del SCISF, especificando los objetivos y las políticas globales.
4.5.1.2. Propender por la vigilancia sobre los riesgos que enfrenta la organización, considerando la creciente velocidad del cambio, proveedores de servicios subcontratados, grupos de interés y los factores de riesgo resultantes.
4.5.1.3. Orientar el desarrollo y la realización de los controles a todo nivel y delegar el diseño, la ejecución, la realización y la evaluación de los controles internos en los diferentes niveles de la entidad.
4.5.1.4. Comunicar los requerimientos de información.
4.5.1.5. Evaluar las deficiencias de control interno y el impacto en su eficacia continua y a largo plazo.
4.5.1.6. Realizar reuniones periódicas con finanzas, Auditoría Interna, Gestión de Riesgos, Tecnología de la Información, Recursos Humanos, o las áreas que hagan sus veces en cada una de las unidades operativas, para evaluar el cumplimiento de sus responsabilidades respecto al Sistema de Control Interno.
4.5.1.7. Promover la cultura y gestión adecuada de sus riesgos, el reporte de eventos de riesgo materializados e implementar los controles para su tratamiento.
4.5.1.8. Gestionar los riesgos a los que puede estar expuesta la información de la corporación en lo referente a la pérdida de confidencialidad (fuga de información), integridad (alteración indebida) y disponibilidad (que esté disponible cuando sea requerida).
5. Reglas del Sistema de Control Interno para la Gestión de Tecnología
La corporación deberá gestionar sus riesgos tecnológicos y definir los controles a implementar.
5.1. Relaciones con proveedores
Definir e implementar a nivel contractual requerimientos de seguridad de la información y ciberseguridad hacía proveedores y con alcance a los servicios contratados, incluyendo requerimientos como:
5.1.1. Política de seguridad de la información.
5.1.2. Gestión de riesgos.
5.1.3. Capacitación y sensibilización en seguridad de la información.
5.1.4. Seguridad de recurso humano.
5.1.5. Control de acceso.
5.1.6. Administración de los sistemas.
5.1.7. Continuidad de negocio.
5.1.8. Auditorías de cumplimiento.
5.1.9. Respaldo y entrega de información cuando finalice el servicio.
5.1.10. Responsabilidad demostrada frente al tratamiento de datos personales.
5.2. Continuidad de la Caja de Compensación Familiar
5.2.1. Garantizar la continuidad del servicio y la integridad de los datos durante las interrupciones que afecten los servicios prestados.
5.2.2. Disponer de planes de continuidad debidamente documentados y que respondan a la recuperación de los servicios prestados.
5.2.3. Asegurar ante un evento de interrupción de los servicios prestados y que sea imputable totalmente a éste, la prestación del servicio manteniendo los acuerdos de niveles de servicio establecidos.
5.2.4. Ejecutar pruebas de continuidad de negocio y recuperación ante desastres tecnológicos.
5.2.5. Definir y documentar cronograma para ejercicios de continuidad de los servicios, estos deben ser previamente informados y coordinados de forma conjunta con el fin de establecer responsables, usuarios y observadores.
5.3. Seguridad de los sistemas
5.3.1. Los sistemas de información y los recursos tecnológicos deben estar asegurados. Sobre estos dispositivos se deben realizar revisiones periódicas en pro de garantizar la correcta aplicación de las configuraciones de seguridad.
5.3.2. Las aplicaciones o sistemas de información deben disponer de herramientas o recursos criptográficos, que permitan cifrar y proteger la información sensible, personal o confidencial.
5.3.3. Se deben establecer los procedimientos de seguridad a seguir cuando se encuentre evidencia de la alteración o manipulación de los dispositivos o de la información.
5.4. Educación y entrenamiento de usuarios
Brindar a los empleados y proveedores, la educación y la formación apropiada en gestión de riesgos, seguridad de la información, ciberseguridad y protección de datos, cuyos programas deberán dictarse por lo menos una vez al año y ser impartidas en el proceso de inducción de los nuevos colaboradores. Los programas de capacitación deberán evidenciarse a través de los registros de participación y evaluación constante.
5.5. Administración de las instalaciones
5.5.1. El acceso a las instalaciones y oficinas debe ser controlado en pro de proteger la información y prevenir el robo de documentos y equipos que contienen información de la Caja de Compensación Familiar.
5.5.2. El acceso a las áreas de procesamiento de datos, a los centros de cableado y a las zonas de alto uso de información confidencial debe ser restringido y monitoreado.
5.5.3. Proteger las instalaciones, los centros de procesamiento de datos y cableado, los equipos y los servicios de tecnología, contra ataques maliciosos, daños accidentales, amenazas naturales y acceso físico no autorizado.
5.5.4. Garantizar la disponibilidad de los servicios ante la interrupción del suministro eléctrico, el aumento desmesurado de temperatura o cualquier otro factor del entorno que pueda afectar la prestación del servicio.
5.6. Administración de operaciones de tecnología
5.6.1. Hacer seguimiento y monitoreo al uso de los recursos, hacer los ajustes que sean necesarios y establecer las proyecciones de los requisitos de capacidad futura, para asegurar el desempeño requerido por el sistema.
5.6.2. Dotar a sus terminales, equipos de cómputo y redes locales de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de los afiliados o de las operaciones de la Caja de Compensación Familiar, dentro de los servicios prestados.
5.6.3. Establecer los mecanismos y políticas necesarios para que el mantenimiento de los dispositivos en las terminales o de los equipos de cómputo, y la instalación o desinstalación de programas solo puedan ser realizados por personal debidamente autorizado.
6. Auditoría Interna
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Apoya a la organización en el cumplimiento de sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno(2).
La independencia de la Auditoría Interna debe ser asegurada por el Comité Independiente de Auditoría, Riesgos y Cumplimiento. El alcance del trabajo de Auditoría Interna debe ser decisión reservada al Comité Independiente de Auditoría, Riesgos y Cumplimiento sobre la base de la recomendación del Auditor Interno, además de informar a la Dirección los temas clave detectados, también deben ser comunicados al Comité Independiente de Auditoría, Riesgos y Cumplimiento.
La Auditoría Interna, puede considerar el aseguramiento a nivel interno o a través de proveedores externos.
A su vez, la Dirección Administrativa o el Consejo Directivo podrán determinar, de acuerdo con su autonomía administrativa y el tamaño de la Caja de Compensación Familiar, si las funciones de Riesgo, Auditoría y Cumplimiento quedan a cargo de una misma área o proceso, siempre y cuando tengan una evaluación independiente, que confirme la independencia y objetividad.
7. Revisor Fiscal.
Son funciones taxativas del Revisor Fiscal, las relacionadas en el artículo 207 del Código de Comercio, Estatuto Anticorrupción y Circulares de las Superintendencias que regulan la actividad de la revisoría fiscal en las Cajas de Compensación Familiar.
Así mismo, según el artículo 48 de la Ley 21 de 1982, las Cajas Compensación Familiar están obligadas a tener Revisor Fiscal; sus funciones están determinadas en el artículo 49 de la misma ley, en concordancia con la Sección IV del Decreto número 1072 de 2015 Único Reglamentario del Sector Trabajo y las normas que las deroguen o complementen.
7.1. Conforme a la normatividad anterior, las responsabilidades relacionadas con control interno son:
7.1.1. Asegurar que las operaciones de la Caja de Compensación Familiar se ejecuten de acuerdo con las decisiones de la Asamblea General y el Consejo Directivo, con las prescripciones de las leyes, el régimen orgánico del subsidio familiar y los estatutos.
7.1.2. Dar oportuna cuenta, por escrito, a la Asamblea, al Consejo Directivo, al Director Administrativo y a la Superintendencia del Subsidio Familiar según los casos, de las irregularidades que ocurran en el funcionamiento de la entidad y en el desarrollo de sus actividades.
7.1.3. Colaborar con la Superintendencia del Subsidio Familiar, y rendir los informes generales periódicos y especiales que le sean solicitados.
7.1.4. Inspeccionar los bienes e instalaciones de la corporación y exigir las medidas que tiendan a su conservación o a la correcta y cabal prestación de los servicios sociales a que están destinados.
7.1.5. Autorizar con su firma los inventarios, balances y demás estados financieros.
De conformidad con lo señalado en las normas legales y reglamentarias vigentes, el Revisor Fiscal debe asegurar que las operaciones de la Caja de Compensación Familiar cumplan con las disposiciones legales vigentes, debe actuar con independencia, su función es de carácter preventivo y tiene una responsabilidad de colaboración con las autoridades gubernamentales.
A pesar de la profundidad y la naturaleza del trabajo del Revisor Fiscal, esto no es un sustituto o un complemento de un adecuado sistema de control interno, que se mantiene bajo la plena responsabilidad de la Dirección.
TÍTULO II
GESTIÓN DE RIESGOS
1. Definición de gestión de riesgos
La gestión de riesgos es el proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance asociado a los objetivos de la organización.
Las Cajas de Compensación Familiar deben establecer un sistema de gestión de riesgos que incluya como mínimo la planeación, identificación, análisis y evaluación, tratamiento, control, seguimiento y monitoreo constante sobre los riesgos estratégicos, financieros y no financieros de cada corporación.
2. Objetivos
2.1. Definir y alinear el apetito del riesgo con la estrategia adoptada.
2.2. Identificar, medir, gestionar y monitorear los riesgos de los procesos organizacionales.
2.3. Fortalecer las decisiones asociadas a los planes de tratamiento en respuesta a los riesgos identificados.
2.4. Identificar las oportunidades y optimizar recursos a partir del análisis de riesgos.
3. Lineamientos generales
Las Cajas de Compensación Familiar deben contar con las capacidades para identificar, evaluar y controlar los riesgos que puedan afectar el logro de sus objetivos y el de la Superintendencia del Subsidio Familiar.
3.1. El Sistema Integrado de Administración de Riesgos debe incluir los siguientes elementos:
3.1.1. Ciclo General de Gestión de Riesgos
3.1.2. Documentación soporte (Políticas, procedimientos, instructivos)
3.1.3.Establecer una estructura organizacional, la cual debe ser independiente y sin sesgos de las áreas misionales y de operación de la corporación para la gestión.
3.1.4. Herramientas e infraestructura tecnológica que soporte la gestión.
3.1.5.Esquemas de generación de cultura de riesgos (Capacitaciones, Sensibilizaciones, Divulgación y Comunicación)
3.2. Las corporaciones deberán adelantar y documentar como mínimo los siguientes procedimientos respecto a la gestión de riesgos:
3.2.1.Identificar las amenazas que enfrenta la entidad y las fuentes de estas.
3.2.2.Medir la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de la CCF (ambientales, geopolíticos, tecnológicos, económicos y sociales).
3.2.3.Velar por el adecuado diseño e implementación de las acciones encaminadas al tratamiento de los diferentes riesgos a los que este expuesta la corporación.
3.2.4.Construir los mapas de riesgos que resulten pertinentes, los cuales deben ser actualizados periódicamente.
3.2.5.Registrar, medir y monitorear los eventos de pérdidas por materialización de riesgos.
3.2.6.Hacer seguimiento a través del Comité Independiente de Auditoría, Riesgos y Cumplimiento o quien haga sus veces, estableciendo los reportes o acciones de verificación que la administración de la entidad disponga.
3.2.7.Diseñar y apoyar las metodologías de identificación, medición, control y monitoreo de los riesgos a los que se expone la entidad, para su gestión.
3.2.8.Desarrollar e implementar el sistema de reportes internos y externos en materia de gestión de riesgos de la organización.
3.3. Subsistemas de riesgo
Las Cajas de Compensación Familiar deberán como mínimo gestionar los siguientes subsistemas de riesgo de acuerdo con sus operaciones y tamaño de la entidad:
3.3.1. Riesgo Operacional
Corresponde a la posibilidad de que la corporación presente desviaciones de sus objetivos misionales como consecuencia de deficiencias, inadecuaciones o fallas en los procesos, en el recurso humano, en los sistemas tecnológicos, legales, en la infraestructura, ya sea por causa interna o por la ocurrencia de acontecimientos externos, entre otros.
Cuando se presenten eventos de riesgos materializados se debe documentar y agrupar en:
a) Pérdidas cuantificables: Pérdidas que generan pérdidas económicas a la entidad o a alguno de sus servicios.
b) Pérdidas No cuantificables: Generan alertas y posibles desviaciones sin generar pérdidas económicas.
La corporación debe evaluar el riesgo inherente asociado a sus operaciones y generar la metodología para la gestión integral del ciclo de riesgo operacional.
3.3.2. Riesgo de Fraude, Corrupción y Soborno
Corresponde a la posibilidad de que una entidad pueda prevenir, detectar y reducir, los actos de fraude, corrupción y soborno para fortalecer la cultura, ética y transparencia de la corporación.
La corporación debe, como mínimo, recopilar los diferentes aspectos, normas, políticas y procedimientos para la prevención del riesgo de fraude corrupción y soborno, con el fin de que sea una herramienta de consulta inmediata, y en concordancia con los demás manuales de operación y funciones de la organización que permita la observancia adecuada de los controles establecidos para la protección y salvaguarda de los intereses de la entidad.
3.3.3. Riesgo de Crédito
Corresponde a la posibilidad de que la corporación incurra en pérdidas como consecuencia del incumplimiento de las obligaciones por parte de sus deudores, en los términos acordados, como, por ejemplo, monto, plazo y demás condiciones.
La corporación debe evaluar el riesgo inherente que sus activos pierdan valor, como consecuencia de que un deudor o contraparte incumpla sus obligaciones y generar la metodología para la gestión integral del ciclo de riesgo de crédito.
3.3.4. Riesgo de Liquidez
Corresponde a la posibilidad de que la corporación no cuente con recursos líquidos para cumplir con sus obligaciones de pago, tanto en el corto (riesgo inminente) como en el mediano y largo plazo (riesgo latente).
La Caja de Compensación Familiar debe evaluar el riesgo inherente asociado a iliquidez para el cumplimiento de sus obligaciones y generar la metodología para la gestión integral del ciclo de este riesgo.
3.3.5. Riesgo de Mercado de Capitales
Corresponde a la posibilidad de incurrir en pérdidas derivadas de un incremento no esperado, de sus obligaciones con acreedores, tanto internos como externos, o la pérdida en el valor de sus activos, por causa de las variaciones en los parámetros del mercado tales como las tasas de interés, la tasa de cambio o cualquier otro parámetro de referencia que afecte los precios del mercado financiero y, por ende, cualquier elemento de los estados financieros de una entidad.
La corporación debe evaluar el riesgo inherente asociado a los cambios o fluctuación del mercado y generar la metodología para la gestión integral del ciclo de riesgo de mercado de capitales.
3.3.6.Riesgo de Lavado de Activos, Financiación del Terrorismo y Proliferación de Armas de Destrucción Masiva
El riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la proliferación de armas de destrucción masiva (LA/FT/FPADM) es la posibilidad que, en la realización de las operaciones, se introduzcan recursos provenientes de actividades relacionadas con el lavado de activos, la financiación al terrorismo, o la financiación de la proliferación de armas de destrucción masiva o que la corporación pueda ser utilizada por organizaciones al margen de la ley como instrumento para adquirir, resguardar, ocultar, transportar, transformar, almacenar, conservar, custodiar, recolectar, entregar, recibir, aportar, promover, organizar, apoyar, mantener, financiar, sostener, administrar, invertir o aprovechar dineros, recursos y cualquier otro tipo de bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos de recursos vinculados con las mismas.
La corporación debe evaluar el riesgo inherente asociado con el LAFT-FPADM y generar la metodología para la gestión integral del ciclo de riesgo de LAFT-FPADM
4. Etapas de administración de riesgo
Como ciclo general de riesgos se deben contemplar las siguientes etapas:
4.1. Planeación
Definición de alcance de las actividades para la gestión de riesgos y análisis de contexto interno y externo que afecte a la Caja de Compensación Familiar.
4.2. Identificación
El objetivo de la identificación del riesgo es conocer los sucesos que se pueden producir en la organización, las consecuencias que puedan tener sobre los objetivos de la empresa, y la interrelación de estos sucesos entre los diferentes subsistemas de riesgo administrados.
Las herramientas para identificación de riesgos las debe definir la corporación, teniendo en cuenta entre otros:
a) Procedimientos con base en evidencias, como por ejemplo la revisión de datos históricos, propios o del sector.
b) Los enfoques metódicos del equipo, en el que los expertos identifican los riesgos a través de una serie de preguntas.
c) Métodos de razonamiento inductivo.
4.3. Análisis y evaluación:
Es el proceso por el cual se analiza la probabilidad de ocurrencia y posibles consecuencias e impacto del daño o del evento que surge como resultado de la exposición a determinados riesgos.
Este análisis puede realizarse teniendo en cuenta diferentes grados de detalle y complejidad, dependiendo de qué es lo que se quiere lograr con el análisis. Por otro lado, es importante conocer la disponibilidad, la confiabilidad de la información y los recursos.
Para este análisis y evaluación comúnmente se aplican técnicas cualitativas, cuantitativas o ambas, según la entidad y la información disponible.
Para realizar este análisis es clave tener en cuenta:
a) La probabilidad de que pueda ocurrir y las consecuencias que traería.
b) El origen e impacto de las consecuencias.
c) La eficacia y eficiencia de los controles establecidos.
d) El nivel de sensibilidad y confianza.
Se deberá considerar el análisis de los riesgos inherentes (antes de controles) y residuales (teniendo en cuenta los controles implementados y en ejecución). Se entenderá por valoración del riesgo, la medida cualitativa o cuantitativa de su probabilidad de ocurrencia y su posible impacto.
4.4. Tratamiento y control de los riesgos
El tratamiento de riesgos consiste en buscar los niveles de riesgos aceptables de acuerdo con la tolerancia definida y aprobada por la organización.
Todo riesgo que exceda los límites o desviaciones aceptadas debe ser objeto de actividades de tratamiento orientadas a llevar los riesgos al nivel de tolerancia establecido.
Es necesario tener en cuenta que la eliminación total de un riesgo solamente es posible con la supresión de la actividad que lo provoca.
Todos los planes de tratamiento deberán establecer formalmente:
a) Responsables
b) Plazos de ejecución y actividades establecidas
c) Reportes de avances de la ejecución del plan definido.
4.5. Seguimiento y monitoreo
En la etapa de monitoreo se hace seguimiento a los riesgos, la efectividad del plan de tratamiento de estos, las estrategias y el sistema integrado de administración que se establece para controlar la implementación; y asegurar que las circunstancias cambiantes no alteren las prioridades dado que pocos riesgos permanecen estáticos.
Con el fin de realizar el respectivo seguimiento y monitoreo permanente y continuo de la evolución de los perfiles de riesgo, y la exposición frente a posibles pérdidas a causa de la materialización de cada uno de los riesgos identificados, la Caja de Compensación Familiar debe desarrollar un sistema de alertas tempranas que facilite la rápida detección, corrección y ajustes de las deficiencias en cada uno de sus Subsistemas de Administración de Riesgo para evitar su materialización, con una periodicidad acorde con los eventos y factores de riesgo identificados como potenciales, así como con la frecuencia y naturaleza de los mismos, es necesario definir los límites máximos de exposición o niveles aceptables de riesgo definidos y aprobados por la corporación.
La entidad debe contar con indicadores de gestión para hacer seguimiento a la administración de los riesgos residuales y que estos se encuentren y se mantengan en los niveles de aceptación establecidos.
4.6. GLOSARIO
4.6.1.Actividad de Control: Acción establecida a través de políticas y procedimientos que ayuda a asegurar que se cumplan las directrices de la gerencia para mitigar los Riesgos, para el logro de los objetivos.
4.6.2.Administración del riesgo: “La Administración de Riesgos (ERM - Enterprise Risk Management) es el término aplicado al establecimiento de una infraestructura y cultura adecuadas, y a la aplicación de un método sistemático y lógico para identificar, analizar, evaluar, mitigar, monitorear y comunicar los riesgos asociados con cualquier actividad, función o proceso de una forma que permita a las organizaciones minimizar las pérdidas y maximizar las ganancias”.
4.6.3.Alta Dirección: Director Administrativo o líder de la organización y el equipo de la alta dirección.
4.6.4.Anulación por la alta Dirección: Omisión de políticas o procedimientos establecidos por parte de la alta dirección, para fines ilegítimos, con el propósito de obtener beneficios personales o de una mejor presentación de la situación financiera o estado de cumplimiento de una entidad.
4.6.5.Control: Medidas o acciones que tome la dirección, las capacidades, negocios o equipos soporte de las Cajas de Compensación Familiar para gestionar y minimizar la materialización de los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.
4.6.6.Control de Detección: Un control diseñado para descubrir un evento indeseado o el resultado después que se ha producido el procesamiento inicial pero antes de que el objetivo final se haya concluido (contrasta con Control Preventivo).
4.6.7.Control Interno: Un proceso, efectuado por el consejo directivo, la gerencia y otro personal de una entidad, diseñado para proporcionar un aseguramiento razonable en cuanto al logro de los objetivos relacionados con las operaciones, informes y cumplimiento.
4.6.8.Control Interno Eficaz: Un sistema eficaz de control interno ofrece aseguramiento razonable de lograr los objetivos de la entidad. Se requiere que cada uno de los cinco componentes del control interno y los principios relevantes estén presentes y en funcionamiento, y que los cinco componentes del control interno están operando juntos.
4.6.9.Control Preventivo: Un control diseñado para evitar un evento o resultado indeseado, en el momento de la aparición de la anomalía (contraste con Control de Detección).
4.6.10.Controles de Aplicación: Procedimientos programados en el software de aplicación y en los procedimientos manuales relacionados, diseñados para ayudar a garantizar la integridad y exactitud del procesamiento de información.
4.6.11.Controles Automáticos: Actividades de control realizadas en su mayoría o en su totalidad a través de la tecnología (por ejemplo, funciones de control automáticas programados en software para computadores; contrasta con Controles Manuales).
4.6.12.Controles Generales sobre Tecnología: Actividades de control que ayudan a garantizar la continuidad y el funcionamiento adecuado de la tecnología. Incluyen los controles sobre la infraestructura tecnológica, la gestión de la seguridad y la procura, desarrollo y mantenimiento de tecnología. Otros términos que también se usan para describir los controles generales sobre tecnología son “controles generales sobre computación” y “controles de tecnología de la información.”
4.6.13.Controles Manuales: Controles que se realizan de forma manual, no a través de la tecnología (contrasta con Controles Automáticos).
4.6.14.Controles de Transacción: Actividades de control que apoyan directamente las acciones para mitigar los riesgos de procesamiento de transacciones en los procesos de negocio de la entidad. Los controles de transacción pueden ser manuales o automáticos, y es probable que cubran los objetivos de integridad, exactitud y validez de procesamiento de información.
4.6.15.Corrupción: Obtención de un beneficio particular por acción u omisión, uso indebido de una posición o poder, o de los recursos o de la información.
4.6.16.COSO: Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a proporcionar el liderazgo de pensamiento a través de la creación de marcos y orientaciones para la gestión del riesgo empresarial, el control interno y la disuasión del fraude (ver www.coso.org).
4.6.17.Cumplimiento: Relacionado con la conformidad con las leyes y reglamentos aplicables a la entidad.
4.6.18.Deficiencia de Control: Un sinónimo de Deficiencia de Control Interno. Una deficiencia de control también puede describir una deficiencia con respecto a un control determinado o una actividad de control.
4.6.19.Deficiencia de Control Interno: Un defecto en un componente o componentes y principios relevantes que reduce la posibilidad de que la corporación pueda alcanzar sus objetivos.
4.6.20.Deficiencia Importante: Una deficiencia de control interno o una combinación de deficiencias que reduce considerablemente la posibilidad de que la entidad pueda alcanzar sus objetivos.
4.6.21.Efectividad de controles: Es la combinación de la evaluación obtenida en el diseño y la eficacia operativa de los controles; se considera que un control es efectivo cuando el resultado de la evaluación de su diseño y eficacia operativa fue adecuado.
4.6.22.Evento: Incidente o situación que ocurre o puede pasar en un lugar particular durante un intervalo de tiempo determinado.
4.6.23.Factores de riesgo (Causas): Se entienden por factores de riesgo, las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos (Recurso humano, procesos, tecnología, infraestructura) o externos (situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad).
4.6.24.Fraude Interno: Actos que tienen como resultado defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales vigentes en los que se encuentra implicado, al menos, un colaborador o tercero contratado para ejecutar procesos a nombre de la entidad.
4.6.25.Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de esta o incumplir normas o leyes, en los que se encuentra implicado un tercero ajeno a la entidad.
4.6.26.Impacto (Consecuencia): Pérdida económica o no económica con nivel de gravedad en que puede incurrir la organización de carácter reputacional, económica, ambiental, legal, del recurso humano, social, operativo. Se entiende como la consecuencia que puede ocasionar a las Cajas de Compensación Familiar la materialización del riesgo. Estos pueden ser entre otros de tipo legal, reputacional, económico, ambiental.
4.6.27. Integridad: Calidad o estado de ser de principio moral sólido; rectitud, honestidad y sinceridad, el deseo de hacer lo correcto, de profesar y vivir de acuerdo con un conjunto de valores y expectativas.
4.6.28. Intervención de la Alta Dirección: Omisión de políticas o procedimientos establecidos por parte de la gerencia, para fines legítimos, cuando maneja transacciones o eventos no recurrentes o anormales que de otra manera podrían ser manejados inadecuadamente.
4.6.29. Limitaciones Inherentes: Limitaciones de todos los sistemas de control interno. Las limitaciones se refieren a los requerimientos previos de control interno, los acontecimientos externos que escapan al control de la entidad, los límites del juicio humano, la realidad de que pueden producirse averías, y la posibilidad de que la gerencia anule controles y actúe en colusión.
4.6.30. Perfil de Riesgo: Resultado consolidado de la medición permanente de los riesgos a los que se ven expuestas las cajas de compensación familiar.
4.6.31.Plan de mejora: Conjunto de acciones planteadas por el equipo evaluado, que se implementan para reducir la exposición de los riesgos. Así mismo son medidas que buscan subsanar o corregir hallazgos que se hayan identificado en la ejecución de las auditorías llevadas a cabo por entes de control internos y/o externos.
4.6.32.Probabilidad: En la terminología de la gestión del riesgo, la palabra “probabilidad” se utiliza para hacer referencia a la oportunidad de que algo suceda, esté o no definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito utilizando términos generales o matemáticos o la frecuencia en un periodo de tiempo determinado.
4.6.33. Política: Declaración de la alta gerencia o del consejo directivo sobre lo que se debe hacer para efectuar control. Tales declaraciones pueden ser documentadas, declaradas explícitamente en comunicaciones o, implícitas a través de acciones y decisiones. Una política sirve como base para los procedimientos.
4.6.34. Presente y En Funcionamiento: Se aplica a componentes y principios. “Presente” se refiere a la determinación de que existen componentes y principios pertinentes en el diseño e implementación del Sistema de Control Interno para lograr los objetivos especificados. “En Funcionamiento” se refiere a la determinación de que los componentes y los principios pertinentes siguen existiendo en la ejecución del Sistema de Control Interno para lograr los objetivos especificados.
4.6.35.Procedimiento: Una acción que implementa una política.
4.6.36.Respuesta al Riesgo: Decisión de aceptar, evitar, reducir o compartir los riesgos.
4.6.37.Riesgo: Posibilidad de que ocurra un evento y afecte negativamente el logro de los objetivos.
4.6.38.Riesgo Inherente: Riesgo para el logro de los objetivos en la ausencia de cualquier medida de la gerencia que podría modificar, ya sea la probabilidad, o el impacto del riesgo.
4.6.39.Riesgo Residual: Riesgo para el logro de los objetivos que queda remanente después que la respuesta de la gerencia ha sido diseñada e implementada.
4.6.40.Soborno: Ofrecimiento de dinero u objeto de valor a una persona para conseguir un favor o un beneficio personal, o para que no cumpla con una determinada obligación o control.
4.6.41.Tecnología: Aplicaciones de software que se ejecutan en un computador, sistemas de control de fabricación, entre otros.
4.6.42.Tolerancia al riesgo: Variación aceptable en relación con el desempeño en el logro de los objetivos.
4.6.43.Tratamiento del riesgo: Es la respuesta establecida por la primera línea de defensa para la mitigación del riesgo, según el nivel de riesgo definido por la organización. Respuesta que puede significar aceptarlo, evitarlo, mitigarlo o transferirlo.
4.6.44.Valores éticos: Valores morales que permiten una toma de decisiones para determinar el curso apropiado de la conducta. Estos valores deben basarse en lo que es correcto, lo que puede ir más allá de lo legal.
LIBRO IV
TÍTULO I
RÉGIMEN DE TRANSPARENCIA DE LAS CAJAS DE COMPENSACIÓN FAMILIAR
ANTECEDENTES
La corrupción es una problemática que ha impactado en el desarrollo económico del país, afectando la formulación e implementación de políticas públicas y la ejecución de programas y proyectos sociales para satisfacer intereses particulares.
Por tal motivo, se deben tomar medidas tendientes a garantizar un desarrollo equitativo que fortalezca la igualdad social, por medio de controles adecuados, que detecten y prevengan las prácticas corruptas, como el soborno transnacional y el cohecho por dar u ofrecer.
Para prevenir la corrupción, Colombia ha ratificado tratados internacionales como la Convención Interamericana contra la Corrupción, la Convención de las Naciones Unidas contra la Corrupción y la Convención para Combatir el Cohecho de Servidores Públicos Extranjeros en Transacciones Comerciales Internacionales.
El artículo 1o del Decreto número 2595 de 2012, dispone que la Superintendencia del Subsidio Familiar está a cargo de la supervisión de las cajas de compensación familiar, con el fin de preservar la estabilidad, seguridad y confianza en el sistema del subsidio familiar para que los servicios sociales a su cargo lleguen a la población de trabajadores afiliados y sus familias bajo los principios de eficiencia, eficacia, efectividad y solidaridad en los términos señalados en la ley.
El numeral 4 del artículo 2o del Decreto número 2595 de 2012, en concordancia con el numeral 2 del artículo 5o ibidem, señalan que es función de la Superintendencia del Subsidio Familiar instruir a sus vigiladas sobre la manera como deben cumplirse las disposiciones que regulan su actividad, fijar los criterios técnicos y jurídicos que faciliten el cumplimiento de las normas que les compete aplicar y señalar los procedimientos para su cabal aplicación.
El artículo 21 de la Ley 789 de 2002 establece el régimen de transparencia al que se encuentran sometidas las cajas de compensación familiar, en concordancia con el artículo 2.7.4.4.7 Decreto número 1072 de 2015.
Por su parte, la Ley 2195 del 2022 adoptó medidas en materia de transparencia, prevención y lucha contra la corrupción, obligando a las personas jurídicas, las sucursales de sociedades extranjeras, las personas jurídicas que integren uniones temporales o consorcios, las empresas industriales y comerciales del Estado, las empresas de economía mixta y las entidades sin ánimo de lucro domiciliadas en Colombia, a adoptar Programas de Transparencia y Ética Empresarial (PTEE) que incluyan mecanismos y normas internas de auditoría.
En efecto, el artículo 9o de la Ley 2195 de 2022 dispone que les corresponde a las superintendencias o autoridades de inspección, vigilancia y control determinar el contenido de los programas de transparencia y ética empresarial que deben implementar sus vigiladas.
El parágrafo segundo ibidem señala:
“Las superintendencias o autoridades de inspección, vigilancia o control de la rama ejecutiva en coordinación con la Secretaría de Transparencia de la Presidencia de la República, determinarán los lineamientos mínimos que deben prever los programas de transparencia y ética empresarial con el fin estandarizar las acciones, las políticas, los métodos, procedimientos, mecanismos de prevención, control, evaluación y de mejoramiento continuo. Dichos lineamientos serán evaluados y actualizados, de conformidad con los estándares internacionales y nuevas prácticas que fortalezcan los programas de transparencia y ética empresarial, al menos cada cuatro (4) años.”
Teniendo en cuenta que las Cajas de Compensación Familiar se encuentran sometidas al control y vigilancia del Estado en la forma establecida por la ley, es necesario fijar unos criterios mínimos que garanticen la transparencia, el acceso a la información, la rendición de cuentas y la lucha contra la corrupción.
Así mismo, las Cajas de Compensación Familiar deberán acatar las recomendaciones internacionales emitidas por el Grupo de Acción Financiera Internacional (GAFI), en materia de lavado de activos, y financiación del terrorismo en concordancia con la Convención Interamericana contra la Corrupción, ratificada por Colombia mediante la Ley 412 de 1997, y la Convención de las Naciones Unidas contra la Corrupción, ratificada a través de la Ley 970 de 2005 y todas aquellas normas que se relacionen, sucedan o complementen.
Por lo anterior, las Cajas de Compensación Familiar tendrán que adoptar medidas que garanticen la correcta ejecución de los recursos del sistema del subsidio familiar, por tal motivo, deberán contar con mecanismos internos para la prevención de actos de corrupción.
El objetivo del presente título consiste en dar unos lineamientos mínimos para que las Cajas de Compensación Familiar, ordenen sus Programas de Transparencia y Ética Empresarial (PTEE), en el marco de la Ley 2195 de 2022.
1. ÁMBITO DE APLICACIÓN DEL PROGRAMA DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
Según lo establece el artículo 39 de la Ley 21 de 1982, las Cajas de Compensación Familiar “son personas jurídicas de derecho privado sin ánimo de lucro, organizadas como corporaciones en la forma prevista en el código civil, cumplen funciones de seguridad social (...)” y se encuentran sometidas a la inspección, vigilancia y control de la Superintendencia del Subsidio Familiar de conformidad con lo establecido en el Decreto número 2595 de 2012, por tal razón, los presentes lineamientos van dirigidos exclusivamente a las Cajas de Compensación Familiar.
2. PROGRAMAS DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
Las Cajas de Compensación Familiar deberán realizar la formulación del programa de transparencia y ética empresarial de manera participativa con base en un diagnóstico que les permita identificar las alertas tempranas de riesgo de corrupción, debilidades en el acceso a la información y rendición de cuentas, teniendo presente el marco legal nacional y los estándares internacionales.
Conforme las anteriores premisas, las corporaciones deben adoptar un programa de transparencia y ética empresarial en el que se compilen todas las normas en materia de prevención y disminución del riesgo de corrupción y el riesgo de soborno trasnacional.
Con el objetivo de prevenir la corrupción al interior de las Cajas de Compensación Familiar, es necesario que estas implementen medidas efectivas de transparencia y fortalezcan los mecanismos de control.
Para ello, las Cajas de Compensación Familiar deberán modificar su Código de Buen Gobierno agregando un acápite dirigido al cumplimiento del programa de ética empresarial permitiéndole a la corporación prevenir, detectar y corregir las situaciones que puedan ser catalogadas como una práctica de corrupción; promoviendo valores como la honestidad, integridad y responsabilidad en el manejo de los recursos del sistema del subsidio familiar.
Las corporaciones promoverán la participación ciudadana, para ello de manera anual se realizará una rendición de cuentas por parte de las Cajas de Compensación Familiar, con la finalidad de fortalecer la transparencia en el manejo de los recursos del sistema del subsidio familiar y el control de la ciudadanía sobre los recursos de los trabajadores y sus familias.
Adicionalmente, cada año se realizará un evento nacional donde participen diversas Cajas de Compensación Familiar seleccionadas de forma aleatoria con el propósito de realizar una rendición de cuentas, divulgar la gestión, los resultados e impactos obtenidos durante la vigencia, así mismo, fomentar el control social.
3. DISEÑO Y APROBACIÓN
Para el diseño y la aprobación del programa de transparencia y ética empresarial se deben contemplar las siguientes fases: elaboración del diagnóstico; formulación; implementación; seguimiento y evaluación a las cuales se les debe asignar los recursos necesarios y un responsable; estas fases se desarrollarán en un lenguaje claro, sencillo, e incluyente.
4. PROCEDIMIENTO
4.1. Las CCF diseñarán una metodología participativa que oriente el desarrollo de cada una de las fases del PTEE de acuerdo con sus particularidades, el enfoque diferencial y enfoque territorial.
4.2. Las CCF socializarán con los diversos actores involucrados la metodología participativa diseñada para el desarrollo de cada una de las fases del PTEE.
4.3. Las CCF elaborarán de manera participativa con los diferentes actores involucrados un diagnóstico que les permita identificar las alertas tempranas de riesgo de corrupción, debilidades en el acceso a la información y rendición de cuentas; con este insumo elaborar una matriz de riesgos que contribuya a formular el PTEE.
4.4. Con los insumos recopilados en el diagnóstico, las CCF elaborarán participativamente con los diferentes actores involucrados la formulación del PTEE, junto con el régimen de inhabilidades e incompatibilidades.
4.5. Formular acorde a la realidad de la corporación el programa de transparencia y ética empresarial.
4.6. Las CCF divulgarán previamente a los diferentes actores involucrados el documento de formulación del PTEE para la respectiva retroalimentación y ajuste si se llegara a requerir.
4.7. Las CCF diseñarán un plan de acción para implementar el PTEE que contribuirá a prevenir hechos de corrupción, fortalecer los procesos de acceso a la información y la rendición de cuentas.
4.8. Previa socialización del documento de formulación y el plan de acción del PTEE se procederá con su respectiva aprobación a cargo del consejo directivo o quien haga sus veces.
4.9. Las CCF realizarán evaluación periódica (mínimo cada cuatro años) al PTEE que le permitirá efectuar una reformulación de estos cuando se requiera.
5. DIVULGACIÓN Y CAPACITACIÓN
El programa de transparencia y ética empresarial será socializado previamente con los diferentes actores involucrados en un lenguaje claro, sencillo e incluyente; así mismo, las Cajas de Compensación Familiar diseñarán estrategias de divulgación y capacitación permanente de acuerdo con sus características y particularidades aplicando el enfoque territorial y el enfoque diferencial.
6. PROSELITISMO POLÍTICO
Con el propósito de fortalecer los principios de eficiencia, eficacia y transparencia de la gestión de las Cajas de Compensación Familiar, estas se abstendrán de realizar proselitismo político en cada una de las fases del programa de transparencia y ética empresarial.
7. FUNCIONES DE LA ASAMBLEA GENERAL DE AFILIADOS
Conforme lo establece el artículo 47 de la Ley 21 de 1982, es función de la Asamblea General de Afiliados velar por el cumplimiento de los principios del subsidio familiar, así como de las orientaciones y directrices que profieran el Gobierno nacional y la Superintendencia del Subsidio Familiar, en ese sentido, para cumplir con el régimen de transparencia le corresponden las siguientes funciones:
1. Vigilar el cumplimiento del régimen de transparencia.
2. Verificar que los estatutos respondan a los criterios establecidos en la presente circular.
8. FUNCIONES DEL CONSEJO DIRECTIVO
Teniendo en cuenta que el artículo 54 de la Ley 21 de 1982 determina que le corresponde a los Consejos Directivos adoptar la política administrativa de las Cajas de Compensación Familiar, para dar cumplimiento al régimen de transparencia le corresponden las siguientes funciones:
8.1. Definir la política de cumplimiento del régimen de transparencia.
8.2. Designar la dependencia que se hará cargo de las políticas del régimen de transparencia, y de la designación del oficial de transparencia.
8.3. Comprometerse a prevenir los riesgos de corrupción de tal manera que la Caja de Compensación Familiar pueda administrar los recursos del sistema del subsidio familiar de manera transparente y ética.
8.4. Asegurar el suministro de los recursos económicos y tecnológicos que requiera la dependencia encargada de ejecutar el régimen de transparencia.
9. FUNCIONES DEL DIRECTOR ADMINISTRATIVO
Acorde a la función de cumplir y hacer cumplir la ley y los ordenamientos de la Superintendencia del Subsidio Familiar contenida en el artículo 55 de la Ley 21 de 1982, se les asignan a los directores administrativos de las Cajas de Compensación Familiar, las siguientes funciones:
9.1. Verificar que las políticas del régimen de transparencia definidas por el Consejo Directivo se ejecuten.
9.2. Asegurarse que los procedimientos de implementación de la política de transparencia se encuentren documentados, garantizando que la información responda a los criterios de integridad, confiabilidad, disponibilidad, efectividad, eficiencia y cumpliendo con la normatividad de archivo.
9.3. Certificar ante la Superintendencia del Subsidio Familiar el cumplimiento del régimen de transparencia, cuando la Entidad lo requiera.
10. FUNCIONES DEL REVISOR FISCAL
Conforme a la función de dar oportuna cuenta a la Superintendencia del Subsidio Familiar de las irregularidades que ocurran en el funcionamiento de la entidad y en el desarrollo de sus actividades contemplada en el artículo 49 de la Ley 21 de 1982, le corresponde al Revisor Fiscal el deber de observar las alertas que puedan dar lugar a sospecha de un acto de corrupción.
Adicionalmente, deberá valorar y reportar a la Superintendencia del Subsidio Familiar concepto del funcionamiento del programa de transparencia y ética empresarial de la respectiva caja de compensación familiar, de conformidad con lo establecido en el parágrafo 4 del artículo 9o de la Ley 2195 de 2022.
11. REQUISITOS DEL OFICIAL DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
Las Cajas de Compensación Familiar deberán asignar un oficial de transparencia y su respectivo suplente. El oficial de transparencia y ética empresarial verificará el cumplimiento del artículo 9o de la Ley 2195 de 2022 y los lineamientos establecidos en el presente título.
Para ser oficial de transparencia y ética empresarial se deberán cumplir con los siguientes requisitos:
11.1. Pertenecer al área de planeación u otras afines de la planta de la corporación. No podrá ser oficial de transparencia y ética empresarial el funcionario que ocupe cargos del nivel directivo o de las áreas comerciales, contables o afines a las actividades previstas en el objeto social principal de las respectivas Cajas de Compensación Familiar, a fin de evitar un posible conflicto de interés, en concordancia con el régimen de inhabilidades e incompatibilidades.
11.2. El oficial de transparencia que se designe debe tener capacidad de decisión frente a la gestión del sistema de administración del riesgo de lavado de activos y financiación del terrorismo LA/FT.
11.3. Certificar conocimiento en administración de riesgos mediante la siguiente documentación:
11.3.1.Certificación del curso e-learning de la UIAF en el módulo general.
11.3.2.Certificación de estudios en materia de riesgos, que incluya un módulo LA/FT, expedida por una Institución de Educación Superior, reconocida oficialmente por el Ministerio de Educación Nacional, con una duración mínima de 90 horas, o expedida por una organización internacional o acreditar una experiencia mínima de dos años en administración de riesgos.
El oficial de transparencia y ética empresarial de las Cajas de Compensación Familiar no requerirán tramitar su posesión ante la Superintendencia del Subsidio Familiar y deberán ejercer sus cargos a partir del cargo al que pertenecen.
12. FUNCIONES DEL OFICIAL DE TRANSPARENCIA Y ÉTICA EMPRESARIAL
Los oficiales de transparencia y ética empresarial tendrán las siguientes funciones:
12.1. Presentar con el Director Administrativo, para aprobación del consejo directivo, la propuesta del PTEE.
12.2. Presentar, por lo menos una vez al año, informes al Consejo Directivo como mínimo, los reportes deberán contener una evaluación y análisis sobre la eficiencia y efectividad del PTEE y, de ser el caso, proponer las mejoras respectivas.
12.3. Velar por el cumplimiento efectivo, eficiente y oportuno del PTEE.
12.4. Implementar una matriz de riesgos y actualizarla conforme a las necesidades propias de la CCF, sus factores de riesgo, conforme a la política de cumplimiento.
12.5. Garantizar la implementación de canales apropiados para permitir que cualquier persona informe, de manera confidencial y segura acerca de incumplimientos del PTEE y posibles actividades sospechosas relacionadas con corrupción.
12.6. Establecer procedimientos internos de investigación en la entidad obligada para detectar incumplimientos del PTEE y actos de corrupción.
12.7. Coordinar el desarrollo de programas internos de capacitación.
12.8. Realizar la evaluación del cumplimiento del PTEE al que se encuentra expuesta la CCF.
13. SANCIONES:
Con fundamento en el artículo 9o de la Ley 2195 de 2022, el incumplimiento de las instrucciones contenidas en el presente título dará lugar a las sanciones determinadas en el numeral 17 del artículo 24 de la Ley 789 de 2002, cuya imposición le compete a la Superintendencia del Subsidio Familiar por medio de la Superintendencia Delegada para la Responsabilidad Administrativa y las Medidas Especiales, de acuerdo a sus competencias establecidas en el artículo 16 del Decreto número 2591 de 2012.
14. PERIODO DE TRANSICIÓN PARA LA APLICACIÓN DEL PTEE:
Las Cajas de Compensación Familiar deberán revisar y ajustar sus programas de transparencia y ética empresarial conforme con los lineamientos previstos en el presente libro. El periodo de transición será de la publicación de la presente adición a la Circular Externa Única hasta el treinta y uno (31) de diciembre del año 2024.
VIGENCIA.
Lo contenido en la presente adición a la Circular Externa Única rige a partir de la fecha de su publicación en el Diario Oficial.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 9 de julio de 2024.
La Superintendente del Subsidio Familiar (e),
Angie Katherine Monroy Bobadilla
NOTAS AL FINAL:
1. COSO Integrado (Committee Sponsoring Organization of the Treadway Commission of sponsoring Organizations of the Treadway…)”.
2. https://na.theiia.org/translations/PublicDocuments/GPI-Distinctive-Roles-in-Organizational- Governance-Spanish.pdf
