Juntas Directivas Eficientes - KPMG

Juntas Directivas Eficientes

Enero de 2018

kpmg.com/co

Juntas Directivas Eficientes

Enero de 2018

La información aquí contenida es de naturaleza general y no tiene la intención de abordar las circunstancias de ningún individuo o entidad en particular. Aunque nos esforzamos por proporcionar información precisa y oportuna, no puede haber ninguna garantía de que dicha información es exacta a partir de la fecha en que se reciba o que continuará siendo correcta en el futuro. Nadie debe actuar sobre dicha información sin la debida asesoría profesional después de un examen detallado de la situación en particular.

© 2018 KPMG S.A.S. y KPMG Advisory, Tax & Legal S.A.S., sociedades colombianas por acciones simplificadas y firmas miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.

Derechos reservados. Tanto KPMG como el logotipo de KPMG son marcas comerciales registradas de KPMG International Cooperative (“KPMG International”), una entidad suiza.

AutoresJorge Humberto Ríos García, Presidente – KPMG en Colombia

Gerardo Buendía Bueno, Vicepresidente de Operaciones – KPMG en Colombia

Fabián Echeverría Junco, Socio Líder de Advisory, Tax & Legal – KPMG en Colombia

Claudia Patricia Contreras Ruíz, Socia de Advisory, Tax & Legal – KPMG en Colombia

Myriam Stella Gutiérrez, Socia de Advisory, Tax & Legal – KPMG en Colombia

Diego Fernando Ríos Pinilla, Director Forensic, Advisory, Tax & Legal – KPMG en Colombia

Deyanira Eliana Maritza Díaz Garzón, Gerente Senior de IARCS, Advisory, Tax & Legal – KPMG en Colombia

Víctor Adalmer Vásquez Mejía, Gerente Senior de ITA in RC, Advisory, Tax & Legal – KPMG en Colombia

Gloria Patricia Arenas Mendoza, Gerente Senior de ITA RM, Advisory, Tax & Legal – KPMG en Colombia

Marcela Ramos Parra, Gerente Senior de IARCS, Advisory, Tax & Legal – KPMG en Colombia

Yuly Paola Muñoz Algarra, Gerente de IARCS, Advisory, Tax & Legal – KPMG en Colombia

Carlos Alberto Ariza Hoyos, Gerente de IARCS, Advisory, Tax & Legal – KPMG en Colombia

Diego Miguel González Chávez, Gerente de IARCS, Advisory, Tax & Legal – KPMG en Colombia

Martín Escobar Hoyos, Consultor Senior Servicios Legales, Advisory, Tax & Legal – KPMG en Colombia

PRESENTACIÓN

1. ANTECEDENTES

2. ¿QUÉ HACE VALIOSA A UNA JUNTA DIRECTIVA?

3. COMITÉ DE AUDITORÍA EFECTIVO

3.1. RETOS Y PRIORIDADES DEL COMITÉ DE AUDITORÍA3.2. RÉGIMEN DE RESPONSABILIDAD JURÍDICA DE LOS MIEMBROS DEL COMITÉ DE AUDITORÍA3.2.1. RESPONSABILIDAD EN MATERIA SOCIETARIA3.2.2. RESPONSABILIDAD EN MATERIA TRIBUTARIA3.2.3. RESPONSABILIDAD EN MATERIA CAMBIARIA Y ADUANERA3.2.4. RESPONSABILIDAD EN OTROS EVENTOS3.3. ACERCA DEL COMITÉ DE AUDITORÍA3.3.1. INDEPENDENCIA3.3.2. APTITUDES3.3.3. EXPERIENCIA Y CAPACITACIÓN PERMANENTE3.3.4. INDUCCIÓN A NUEVOS MIEMBROS3.3.5. CUALIDADES PERSONALES3.3.6. EVALUACIÓN DEL COMITÉ DE AUDITORÍA3.3.7. REUNIONES3.3.8. REMUNERACIÓN3.4. SUPERVISIÓN DEL REPORTE FINANCIERO Y LOS CONTROLES INTERNOS RELACIONADOS3.5. EL COMITÉ DE AUDITORÍA Y SU PAPEL DE SUPERVISIÓN AL AUDITOR INTERNO Y EXTERNO3.6. LA SUPERVISIÓN DEL RIESGO3.7. GESTIÓN DEL RIESGO DE TECNOLOGÍA DE INFORMACIÓN Y COMITÉ DE AUDITORÍA3.8. CIBERSEGURIDAD: UN TEMA PARA LA JUNTA DIRECTIVA3.8.1. EN CONCRETO. ¿QUÉ ES CIBERSEGURIDAD?3.8.2. ¿POR QUÉ ES RELEVANTE PARA LA JUNTA DIRECTIVA?3.9. CULTURA, ÉTICA Y CUMPLIMIENTO3.9.1. VALORES Y ÉTICA ORGANIZACIONAL3.9.2. CÓDIGO DE ÉTICA Y CÓDIGO DE CONDUCTA3.9.3. ACCIONES DE LA ALTA DIRECCIÓN3.10. FRAUDE Y CORRUPCIÓN3.10.1. PROGRAMA INTEGRAL DE GESTIÓN DEL RIESGO DE FRAUDE, CORRUPCIÓN Y LAVADO DE ACTIVOS3.10.1.1. PREVENCIÓN3.10.1.2. DETECCIÓN3.10.1.3. RESPUESTA3.10.2. GESTIÓN DE RIESGOS DE CORRUPCIÓN Y COMITÉ DE AUDITORÍA

6

8

10

14

1520202021212222232323242424242526293436363740424243444546485051

Contenido

52 52 53 53 53 54

56

5766676872737478828488

1631333538394445

3.11. ASUNTOS DE CUMPLIMIENTO FISCAL LOCAL E INTERNACIONAL DE LA ORGANIZACIÓN3.11.1. ESTRATEGIA BASE EROSION AND PROFIT SHIFTING – BEPS3.11.2. ACUERDOS DE INTERCAMBIO DE INFORMACIÓN3.11.3. INSTRUMENTOS BILATERALES3.11.4. FATCA3.11.5. INSTRUMENTOS MULTILATERALES

4. HERRAMIENTAS DE APOYO A LA GESTIÓN DE JUNTAS DIRECTIVAS Y COMITÉS DE AUDITORÍA

4.1. PERFIL DE ESPACIOS DE RESPONSABILIDAD DE LAS JUNTAS DIRECTIVAS Y COMITÉS DE AUDITORÍA4.2. MODELO DE REGLAMENTO DEL COMITÉ DE AUDITORÍA4.3. MODELO DE AGENDA DEL COMITÉ DE AUDITORÍA4.4. REVISIÓN DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN4.5. REVISIÓN DE LA RESPONSABILIDAD DEL COMITÉ DE AUDITORÍA SOBRE LOS REPORTES FINANCIEROS4.6. REVISIÓN DE RIESGOS DE CONTINUIDAD DE NEGOCIO4.7. REVISIÓN DE RIESGOS DE FRAUDE, CORRUPCIÓN Y LAVADO DE ACTIVOS4.8. EVALUACIÓN DE LA AUDITORÍA INTERNA4.9. EVALUACIÓN DE LOS AUDITORES EXTERNOS Y LA REVISORÍA FISCAL4.10. AUTOEVALUACIÓN DEL COMITÉ DE AUDITORÍA4.11. ¿CÓMO IDENTIFICAR EL RIESGO INHERENTE DE CORRUPCIÓN Y FRAUDE EN SU ORGANIZACIÓN?

Gráfica 1. Principales retos de las organizacionesGráfica 2. Marco para evaluar el nivel de madurez de la administración de riesgosGráfica 3. Construcción de ERM efectivoGráfica 4. Líneas de defensa – Administración de riesgos de TIGráfica 5. Componentes perfil de riesgos cibernéticosGráfica 6. Áreas de focoGráfica 7. Fundamentos de la gestión de riesgos de fraude, corrupción y lavado de activosGráfica 8. Sistema de gestión de riesgos de fraude, corrupción y lavado de activos

Índice de gráficas

Las Juntas Directivas y los Comités de Auditoría siempre han representado un reto importante en las diferentes organizaciones1; dado lo anterior, sus funciones y responsabilidades son modificadas continuamente, pero siempre buscando armonizar los negocios, los riesgos y la competitividad de la Organización brindando garantías de transparencia para los grupos de interés (accionistas, administradores, empleados, proveedores, banqueros, Gobierno, etc.).

Así mismo, estos órganos tienen un rol importante en el desarrollo del entorno económico y financiero en todo el mundo, por ende, sus funciones pueden variar dependiendo del tipo de Organización o de su objeto social; sin embargo, siguiendo las directrices del gobierno corporativo sus principales funciones son:

1. Proveer el direccionamiento estratégico, sin desarrollar la formulación estratégica que está a cargo de la Administración Ejecutiva, pero sí de manera imperativa velar por su ejecución.

2. Aprobar las principales políticas de la Organización, determinando el nivel de riesgo aceptable y asegurar que los negocios son direccionados ordenadamente y que se dispone de un adecuado sistema de información, control y supervisión.

Presentación3. Designar al Presidente/Gerente de la Organización y

asegurar la calidad del equipo directivo y del proceso de sucesión; para lo cual, debe tener certeza de que este equipo directivo cuente con las competencias necesarias para cumplir con las funciones asignadas. Así mismo, debe establecer políticas para la evaluación de la gestión de este cuerpo directivo.

4. Asegurar que la Organización cumple con estándares éticos, legales y de gobierno proveyendo ejemplo al más alto nivel.

5. Prevenir y gestionar crisis.

En los países más avanzados, las Mejores Prácticas de Buen Gobierno Corporativo parten de un enfoque de Gestión del Riesgo y dentro de él, la principal obligación de la Junta Directiva es mantener un apropiado Sistema de Gestión Integral partiendo de la estrategia institucional que tenga en cuenta los riesgos de la Organización, su impacto, mitigación y costo del control. Naturalmente, corresponderá a la administración su implementación y a la Junta Directiva su evaluación posterior.

Los entes regulatorios han afianzado sus exigencias de supervisión en respuesta a situaciones de mercado, dada la complejidad de los negocios y el impacto colectivo

1 En este documento usaremos los términos Organización u organizaciones, según sea apropiado, para referirnos indistintamente a la Empresa, la Firma, la Entidad, la Institución, la Compañía, la Corporación, el Organismo, la Agencia o el Negocio.

del riesgo. Estas regulaciones requieren un nivel técnico y cultural que ayude a identificar oportunidades de mejoramiento en el desarrollo del negocio y control del riesgo que van más allá de los controles financieros.

Esta publicación hace énfasis en la responsabilidad de la Junta Directiva relacionada con asegurar que la Organización disponga de un adecuado sistema de información, control y auditoría, revisando las funciones y operatividad del Comité de Auditoría, órgano de la Junta a cargo de esa responsabilidad. Repasamos la naturaleza de las funciones de la Junta Directiva y del Comité de Auditoría, la fundamentación de su tarea partiendo del análisis de los riesgos que podrían impedir el cumplimiento de la estrategia de negocios, los instrumentos de control para mitigar y gestionar tales riesgos y la invitación a considerar nuevas áreas de atención en respuesta a desarrollos de la Organización, exigencias sociales o requerimientos regulatorios.

Este documento no pretende fijar reglas inflexibles para los procedimientos de la Junta Directiva y Comités de Auditoría, ni establecer un modelo de código que rija la conducta de sus miembros. Es importante entender que las exigencias para que un director se desempeñe eficazmente varían de una Organización a otra y dependen de factores tales como el tamaño, si la Organización es abierta (las que ofrecen títulos al público en las bolsas de valores) o cerrada, de su situación financiera, de la naturaleza y alcance de sus operaciones y de las relaciones personales entre los miembros de la Junta Directiva y la alta gerencia. No obstante, existen ciertas funciones básicas que se esperan de todas las Juntas Directivas como también cierto tipo de comportamiento que todo director debe evitar. Las causas que determinan el éxito de un director tienden a ser las mismas para todas las organizaciones, ya sean grandes o pequeñas, abiertas o cerradas, con o sin ánimo de lucro.

El contenido de este documento se elaboró con el esfuerzo y dedicación de un selecto grupo de profesionales y consultores de KPMG en Colombia. Gracias a ellos podemos brindar un contenido de alto valor.

Aspiramos a que tanto los miembros de las Juntas Directivas y Comités de Auditoría como los funcionarios ejecutivos, encuentren en esta guía apoyo práctico para mejorar el desempeño de sus responsabilidades.

KPMG International, consciente de la importancia e impacto de las Juntas Directivas y sus Comités de Auditoría, para profundizar la cultura, institución, profesionalización y operación del Gobierno corporativo en las organizaciones en búsqueda de Transparencia y Eficiencia, sustento de su credibilidad en las distintas partes interesadas, instituyó el Global Audit Committee Institute – ACI Advisory Board, con capítulos locales en más de 35 países, incluyendo Colombia, para investigar, compartir y difundir las mejores prácticas de gestión de las Juntas Directivas. Le invitamos a consultar periódicamente las páginas de internet www.kpmg.com/aci y www.kpmg.com/co.

Cordialmente,

Jorge Humberto Ríos GarcíaPresidenteKPMG en Colombia

1. Antedecentes

- 9 - KPMG en Colombia - Juntas Directivas Eficientes

A lo largo de la historia se han presentado escándalos financieros que han incidido en la situación económica de muchos inversionistas en los diferentes mercados del mundo, nuestros días no escapan a este tipo de conductas, por ende, no se han hecho esperar los cuestionamientos sobre la ética en los negocios, y sobre la actuación de los diferentes órganos administrativos de las organizaciones que han afectado el mercado económico con las repercusiones ya conocidas. Así mismo, se cuestionó el ejercicio de la disciplina contable, la transparencia de la información financiera y la efectividad de los sistemas de control de gestión y de regulación y supervisión públicas.

En la mayoría de los países, afectados directa o indirectamente por los sucesos de esta naturaleza que perturbaron la economía local o global, se ha actuado a través de los sistemas legislativos y en forma inmediata para reorientar los esfuerzos de control y vigilancia de las organizaciones que afectan el Mercado de Capitales. Las normas enfatizaron y direccionaron mucho más las responsabilidades de los administradores (Juntas Directivas, Comités de Auditoría, Presidencias/Gerencias), de los auditores, y la función de los entes supervisores. En resumen, estas normatividades buscaron reorientar la estructura y las normas de un Buen Gobierno Corporativo, para que cumplan un papel preventivo en la conducción ordenada de los negocios, enfatizando en el control interno o de gestión, en la aplicación de los estándares contables, la suficiencia de información y la adecuada revelación en los estados financieros y, por supuesto, la transparencia.

Colombia no se ha quedado atrás en estos temas y desde un comienzo en los entes regulatorios, como en su momento la Superintendencia Bancaria (hoy Superintendencia Financiera), se habla de la conformación, los objetivos, requerimientos y funciones del Comité de Auditoría como parte integral del control interno de las organizaciones vigiladas por esa Superintendencia.

Posteriormente, la misma Superintendencia Financiera estableció el Comité de Auditoría para los emisores de valores, con el fin de apoyar la función de la Junta Directiva en asuntos de supervisión, transparencia y exactitud de la información financiera. El objetivo fundamental de esta normatividad consistió en ayudar a las organizaciones supervisadas a revisar y establecer un Sistema de Control Interno y de generación de información más apropiado. Por esta razón, los emisores de valores y las organizaciones financieras requieren establecer un Comité de Auditoría.

Actualmente en Colombia, con la introducción de las Normas de Información Financiera y las Normas Internacionales de Aseguramiento, se pretende unificar y homologar internacionalmente los diferentes criterios de control, supervisión y, por ende, el papel que juega cada uno de los diferentes órganos de gobierno en la Organización. Partiendo desde los accionistas y Juntas Directivas, pasando por los diferentes órganos de control y ejecutivos de la Organización.

En esta publicación, pretendemos reunir en un solo documento conceptos y resultados de investigaciones que se refieren a la conformación, administración y evaluación de Juntas Directivas y de Comités de Auditoría para que sirva de herramienta en el direccionamiento estratégico y de control general de las organizaciones.

2. ¿Qué hace valiosa a una Junta Directiva?


Lograr la combinación correcta de habilidades, experiencias, perspectivas y trayectorias en la Junta Directiva es quizá uno de los mayores retos que enfrentan las organizaciones alrededor del mundo. Dada la creciente demanda en la transformación de los negocios, la necesidad imperiosa de incorporar la tecnología como habilitador natural de las organizaciones del futuro, así como el constante escrutinio de las partes interesadas, en especial de los inversionistas, los reguladores y los medios de comunicación, inevitablemente coloca como prioritaria en la agenda de la Junta Directiva la revisión de su composición, para responder de manera eficaz a los asuntos inherentes a la ejecución de las estrategias a corto y largo plazo.

¿Pero cómo alcanzar dicha combinación? Para responder esta pregunta, casi que es evidente una segunda: ¿para qué es necesario lograr dicha combinación? Partiendo del rol destacado que está teniendo hoy día la Junta Directiva en la estrategia del negocio, pareciera natural su alineación con esta; sin embargo, no siempre sucede así, bien sea porque los directores que la componen tienen su lugar en la Junta dada su antigüedad y no necesariamente porque resulten conocedores acérrimos de la estrategia o porque probablemente no cuentan con los conocimientos técnicos o experiencia internacional, que les brinden las herramientas necesarias para desempeñar el rol con efectividad. Otra causa de esta falta de alineación puede estar en el esfuerzo por mantener el statu quo de los directores, dado que administrar en la incertidumbre no brinda las garantías de un ambiente estable. Buscar los elementos que subyacen a la estrategia y los talentos que puedan enfrentarlos con la competencia requerida es, sin duda, la clave para lograr la composición correcta de la Junta Directiva.

Para comprender de mejor manera las herramientas y enfoques que utilizan hoy día los directores para lograr la composición correcta de habilidades, trayectoria, experiencias y perspectivas de la Junta Directiva, KPMG encuestó a más de 2.300 directores y ejecutivos senior en 46 países alrededor del mundo. Este estudio revela contundentemente que muchas Juntas Directivas están reevaluando la forma como abordan el proceso completo de la composición de la Junta desde la contratación e incorporación hasta su evaluación y sucesión. En este sentido, el 61 % de los encuestados manifestó la necesidad de tener una mayor diversidad en las trayectorias y perspectivas. Un director señaló que “la diversidad en términos de ‘trayectoria’ de los miembros de la Junta es importante, tanto en términos de conocimiento técnico o especialidad como en términos de conocimiento del negocio y experiencia internacional”.

Buscar los elementos que subyacen a la estrategia y los talentos que puedan enfrentarlos con la competencia requerida es, sin duda, la clave para lograr la composición correcta de la Junta Directiva.

- 12 -Capítulo 2

Los encuestados también identificaron otras razones para este profundo enfoque en la composición de la Junta, incluyendo la necesidad de tener directores con un entendimiento del ambiente competitivo, la velocidad del cambio tecnológico y las potenciales disrupciones en los modelos de negocio. Un miembro de la Junta manifestó que la tecnología es “acerca de mantenerse competitivos”, y encontrar directores con una “sazonada experiencia empresarial y un entendimiento de la tecnología es un desafío real”.

De igual manera, los participantes enfatizan en la importancia de la diversidad de industrias y organizaciones en la Junta Directiva, por ejemplo, contratar a directores con trayectorias en academia, Gobierno y sociedad civil, así como a emprendedores y a aquellos provenientes de organizaciones familiares. Uno de ellos puntualizó:

Una persona talentosa planteará alternativas y escenarios. Ellos lo harán en una forma colegiada que haga que la Junta considere diferentes posibilidades. La verdadera diversidad de pensamiento requiere diversidad de experiencia… así que la diversidad es una cuestión tan amplia como lo es el género o la edad. Existe un contexto estratégico más amplio y una importancia de la diversidad que las Juntas necesitan considerar.

Al reflexionar sobre los principales obstáculos para la construcción y mantenimiento de una Junta Directiva de alto rendimiento, el estudio reveló que encontrar directores con la experiencia general del negocio y los conocimientos específicos que este necesita (por ejemplo, tecnología / seguridad informática), se constituye en el obstáculo señalado con mayor frecuencia (69 %) y el segundo es el de identificar las futuras necesidades del talento de la Junta Directiva (55 %), seguido por la resistencia al cambio debido a un pensamiento de statu quo (43%). También se destacan otros obstáculos que la Junta Directiva debería considerar para lograr su objetivo de instancia estratégica de alto rendimiento

como son: cultura de la Junta Directiva que no fomenta los cuestionamientos y las discusiones abiertas (32 %), ausencia de evaluaciones sólidas de los miembros de la Junta (31 %), dificultades para remover miembros de la Junta con bajo desempeño (29 %), pérdida gradual de independencia (real o percibida) de los directores de mayor antigüedad (21 %) y ausencia de incorporación efectiva de nuevos directores (11 %).

Otro desafío que enfrentan las organizaciones para lograr una composición óptima de su Junta Directiva es la implementación de un plan formal de sucesión; sin embargo, y a pesar del amplio reconocimiento de su importancia, el 33 % de los encuestados reportó poca o ninguna discusión sobre la sucesión de la Junta, y otro 36 % reportó solo discusión informal, cuando es necesario ocupar un asiento. Solo el 17 % reportó que las discusiones sobre un plan de sucesión sólido estaban “en proceso”, y únicamente el 14 % reportó tener “un plan formal de sucesión, alineado con las necesidades futuras, implementado y revisado periódicamente”.

Mientras que las Juntas Directivas se han centrado durante los últimos años en su rol esencial de planeación de la sucesión del Director Ejecutivo, parece ser que muchas otras están rezagadas en términos de sus propios planes de sucesión. Un especialista en reclutamiento de directores dijo que las Juntas en los últimos años “han adoptado un enfoque creciente y riguroso para la sucesión del equipo de liderazgo ejecutivo, con recursos humanos que por lo general es el dueño del mapa de talento de sucesión, el cual es revisado regularmente por la Junta”. Las Juntas pueden aplicar un enfoque similar a su propia composición.

Volviendo a la cuestión central de lograr la combinación correcta de habilidades, trayectorias, experiencias y perspectivas en la Junta Directiva, bajo la premisa fundamental de su alineación con la estrategia de la organización, dentro de los mecanismos más efectivos para coadyuvar a este objetivo, los resultados del estudio muestran como el principal el de contar con evaluaciones


2 En el año 2014, se realizó una actualización al Código País en Colombia. La Circular Externa 028 de 2014 señala textualmente: “En atención al desarrollo del Gobierno Corporativo a nivel mundial y en orden de dar respuesta a las nuevas realidades empresariales, especialmente tras la crisis de la economía global que puso de manifiesto, entre otras, las profundas debilidades existentes en el funcionamiento del Gobierno Corporativo, la Superintendencia Financiera de Colombia adelantó un proceso de revisión del Código País, tomando como guía la publicación de la CAF, ‘Lineamientos para un Código Latinoamericano de Gobierno Corporativo’, y los aportes y comentarios de la industria, para efectos de elaborar un Nuevo Código País que se ajuste a la situación del mercado colombiano”.

Comités de la Junta Directiva, estos deben entenderse como una extensión de esta y, por ende, sus funciones serán las que esta determine. En este sentido, señala la Superintendencia Financiera que:

"si la Junta Directiva decide que sus Comités solo actúen como órganos de apoyo y estudio, la Junta Directiva a su mejor criterio decidirá, con base en las mejores prácticas, sobre qué materias deben desarrollar sus trabajos cada uno de los Comités (reflejando las funciones que finalmente se asignen a cada uno de ellos en el correspondiente reglamento del Comité), limitándose su capacidad de decisión a presentar informes o propuestas sobre temas concretos a la Junta Directiva, quien, en cada caso, tomará las decisiones pertinentes.

Bajo este esquema, los Comités de Junta Directiva ni comprometen a la sociedad, ni cursan instrucciones a la Alta Gerencia. En sentido contrario, la Junta Directiva puede delegar expresamente a alguno de sus Comités el ejercicio de determinadas funciones. En este caso, los Comités con funciones delegadas toman decisiones en nombre de la Junta Directiva sin eximir a esta de su responsabilidad."

Las medidas 18.5., 18.6., 18.7., y 18.15., señalan los diferentes Comités de la Junta Directiva, así:

18.5.

18.6.

18.7.

18.15.

sólidas de la Junta Directiva (87 %) y el ya mencionado plan formal de sucesión (77 %); sin embargo, como ya se indicó, pocas Juntas tienen planes formales de sucesión implementados, y cerca de un tercio cita la “ausencia de evaluaciones sólidas de la Junta y los directores”. De igual manera, casi la mitad de los encuestados calificó los límites de permanencia para los directores como un mecanismo efectivo para mantener una óptima composición de la Junta Directiva.

Finalmente, se consultó sobre los pasos que están tomando las Juntas Directivas para posicionarse en el futuro, y se encontró que el 47 % de los encuestados están evaluando las necesidades futuras y el 45 % manifestó que sus Juntas Directivas están reclutando activamente habilidades/conocimientos específicos. Otras acciones incluyen mejorar las evaluaciones de la Junta Directiva y los directores para favorecer la identificación de brechas, así como mejorar la incorporación/educación de los directores.

La conclusión clave de la encuesta es que el plan de sucesión, así como la composición y diversidad de la Junta Directiva deben estar integrados con la estrategia a corto y largo plazo de la Organización. Por supuesto, las evaluaciones sólidas de la Junta y los directores también son muy importantes, y son un elemento clave que requiere atención por las Juntas.

Ahora bien, antes de abordar los retos y prioridades del Comité de Auditoría, es conveniente revisar la composición de la Junta Directiva. A la luz de lo establecido en el Código País, Colombia 20142, en la medida No. 18.4, la Superintendencia Financiera sugiere que dado el tamaño y complejidad de los negocios, así como la amplitud de funciones que el marco normativo y los Estatutos le atribuyen a la Junta Directiva, se evalúe la conveniencia de constituir en su seno comités especializados para que actúen como órganos de estudio en materias específicas y de alta complejidad técnica, para presentar propuestas a la Junta Directiva. Si desde el gobierno corporativo se promueve la creación de

Comité de Nombramientos y Remuneraciones

Comité de Riesgos

Comité de Gobierno Corporativo

Comité de Auditoría

3. Comité de Auditoría efectivo


3.1. Retos y prioridades del Comité de Auditoría Dadas las expectativas de crecimiento lento e incertidumbre económica y política, los avances tecnológicos y la disrupción del modelo de negocio, ciberamenazas, mayor escrutinio regulatorio y la demanda creciente y rigurosa de transparencia, no es sorprendente que la mayoría de los Comités de Auditoría de todo el mundo apuntan a la gestión del riesgo como el principal desafío frente a la Organización en los próximos años. De acuerdo con los resultados de la Encuesta Global de Pulso del Comité de Auditoría de KPMG, más del 40 % de los encuestados dice que sus sistemas de gestión de riesgos requieren un trabajo sustancial.

Los Comités de Auditoría, en general, continúan expresando confianza en la información financiera y la calidad de la auditoría; sin embargo, junto con la gestión de riesgos, el estudio antes referido destaca las preocupaciones actuales sobre el cumplimiento normativo, la gestión del riesgo de ciberseguridad, y la gestión de control del entorno en la organización ampliada de la entidad.

De los más de 800 miembros del Comité de Auditoría que participaron en la encuesta, casi 4 de cada 10 consideron que la eficacia del Comité de Auditoría mejoraría sustancialmente si tuviera una “mejor comprensión del negocio y los principales riesgos”, mientras que casi un tercio expresaron que la experiencia adicional relacionada con la tecnología y ciberseguridad sería de gran utilidad.

La mayoría de los Comités de Auditoría considera que sus organizaciones tienen un largo camino por recorrer en sus esfuerzos para implementar nuevas e importantes normas contables. Menos del 15 % reportó un plan de implementación claro de la nueva norma de reconocimiento del ingreso, y menos del 10 % reportó un plan claro de implementación de la nueva norma de arrendamiento. Muchas de las personas cuyas organizaciones se ven afectadas por la declaración de impuestos de país a país de la Organización de Cooperación y Desarrollo Económico (OECD)3 expresaron su preocupación sobre la falta de claridad o comunicación con su Comité sobre este aspecto. Los encuestados también mencionaron las oportunidades permanentes para mejorar la habilidad de sus organizaciones para gestionar los riesgos cibernéticos.

Al indagar sobre el grado de satisfacción del enfoque con el cual el Comité de Auditoría está tratando los asuntos identificados como mayores desafíos para la Organización, se observó que monitorear la alineación de las actividades a corto plazo y la estrategia a largo plazo siempre será un verdadero reto, pero ciertos indicadores pueden proporcionar alertas tempranas de énfasis excesivo en el corto

3 OECD, compuesto por 35 estados, cuyo objetivo es coordinar sus políticas económicas y sociales; Colombia trabaja para su incorporación plena al grupo de las mejores prácticas para promover el bienestar económico y social.

- 16 -Capítulo 3

plazo, tales como presentaciones a la Junta que tienden a enfocarse intensamente en cuestiones históricas o temas con enfoque a corto plazo, discusiones prospectivas de la sala de Juntas sobre riesgos emergentes y oportunidades poco frecuentes, planes de compensación con incentivos que están fuertemente ligados a metas y métricas a corto plazo, con pocos o ningún objetivo a largo plazo, y medidas de desempeño no financiero que contribuyan al crecimiento a largo plazo (p. ej., calidad del producto y satisfacción del cliente) a las que se les da poco o ningún peso en las evaluaciones de desempeño4.

Otros resultados revelan que el plan de sucesión del CFO y la ventaja comparativa siguen siendo puntos débiles en las organizaciones. El 44 % de los Comités de Auditoría no considera que su agenda esté adecuadamente enfocada

Gráfica 1. Principales retos de las organizaciones

Fuente: Encuesta Global KPMG 2017.

0% 60%30% 90%10% 70%40% 100%20% 80%50%

Eficacia del Programa de Gestión de Riesgos

Cumplimiento legal / Normativo

Gestión de riesgos de Ciberseguridad

Mantener el ambiente de control en la organización extendida de la compañía

Ejemplo desde la alta gerencia y cultura de la organización

Mantener controles internos sobre la información financiera

Garantizar que la auditoría interna está maximizando su valor

Presiones del "cortoplacismo" y alineación de las prioridades de la compañía a corto y largo plazo

Implementación de las nuevas normas contables (p. ej., reconocimiento de ingresos, arrendamientos, instrumentos financieros, etc.)

Riesgo de fraude

Talento y habilidades en la organización financiera

Suposiciones clave basadas en estimaciones contables críticas

Evaluación de la calidad de la auditoría

Plan de sucesión del CFO

Preparación para la declaración de impuestos de país a país de la OECD

Otros

11%

14% 61% 25%

12% 56% 33%

13% 56% 31%

8% 58% 35%

8% 48% 44%

4% 48% 48%

24% 48% 29%

35% 39% 26%

22% 54% 23%

26% 50% 24%

44% 46% 11%

17% 56% 27%

23% 52% 25%

12% 44% 44%

7%

55%

38% 54%

34%

Puede no ser igual al 100 % debido al redondeoInsatisfecho Algo Satisfecho Satisfecho

en el plan de sucesión del CFO, y otro 46 % está solo un poco satisfecho con este aspecto. Adicionalmente, pocos están satisfechos con el nivel de enfoque en el talento y las habilidades en la organización financiera.

Considerando las crecientes exigencias sobre la organización financiera y su liderazgo (información financiera y controles, gestión del riesgo, análisis de fusiones y adquisiciones (M&A) y otras iniciativas de crecimiento, participación de los accionistas, y más), los Comités de Auditoría quieren dedicar más tiempo a la organización financiera, incluyendo la reserva de talento, el entrenamiento y los recursos, así como el plan de sucesión para el CFO y otros ejecutivos financieros principales. Los resultados detallados se observan en la gráfica 1.

4 NACD, NACD Blue Ribbon Commission Report on the Board and Long-Term Value Creation, 2015.


Al conversar sobre prioridades y basándonos en las ideas de nuestro reciente estudio y en interacciones con Comités de Auditoría y líderes empresariales durante los últimos 12 meses, hemos resaltado los siguientes ocho aspectos que los Comités de Auditoría deberían tomar en consideración y desarrollar en sus agendas:

1. Fortalezca la responsabilidad directa del Comité de Auditoría respecto al auditor externo. En especial, la supervisión de los procesos de selección del auditor incluyendo cualquier proceso de licitación (obligatorio) e independencia del auditor. Las licitaciones para seleccionar al auditor externo están tomando fuerza en muchos países alrededor del mundo, sean requeridas por ley o de otra índole. Es deber del Comité de Auditoría garantizar que el proceso de licitación se realice de forma eficiente y efectiva.

2. Otorgue a las mediciones no GAAP5 un lugar prominente en la agenda del Comité de Auditoría. Luego del informe final del ESMA6 sobre medidas de desempeño alternativas publicado en 2015, los reguladores (e inversionistas) en los Estados Unidos, Reino Unido y otros lugares han expresado preocupaciones relacionadas con las confusas medidas financieras no GAAP y han publicado orientaciones adicionales para ayudar a las organizaciones a evaluar la utilidad y aceptabilidad de la información financiera no GAAP. En este ambiente, es muy importante que las medidas financieras no GAAP tengan un lugar prominente en la agenda del Comité de Auditoría se mantenga un diálogo robusto con la gerencia respecto al proceso y los controles, por medio de los cuales la gerencia desarrolla y selecciona las medidas financieras no GAAP que provee, su correlación con el estado actual del negocio y los resultados, y si las medidas financieras no GAAP se están utilizando para mejorar la transparencia y no para distorsionar los resultados.

5 Generally Accepted Accounting Principles – GAAP.

6 European Securities and Markets Authority – ESMA.

3. Monitoree los planes y actividades de implementación para cambios contables mayores a futuro, particularmente el nuevo reconocimiento de ingresos y las normas internacionales contables sobre arrendamiento. El alcance y complejidad de estos esfuerzos de implementación y el impacto sobre el negocio, los sistemas, controles y los requerimientos de recursos deberían ser un área de enfoque clave para los Comités de Auditoría. La nueva norma de ingresos (efectiva desde el 1 de enero de 2018 para las organizaciones de año calendario) proporciona un único modelo de reconocimiento de ingresos entre las industrias, organizaciones y límites geográficos. Mientras que el impacto cambiará entre las industrias, muchas organizaciones, particularmente aquellas con contratos extensos y complejos, experimentarán un cambio contable significativo cuando implementen la nueva norma. Bajo la nueva norma de arrendamiento (efectiva desde el 1 de enero de 2019 para las organizaciones de año calendario) los arrendatarios reconocerán la mayoría de arrendamientos, incluyendo los arrendamientos operativos, en el estado de situación financiera. Esto representa un cambio drástico en la contabilidad de arrendamientos, y muchas organizaciones enfrentarán desafíos importantes de implementación durante la transición.

El Comité de Auditoría debe tener claro que la implementación de estas dos nuevas normas no es solo un ejercicio contable; este debe estar genuinamente interesado en recibir actualizaciones periódicas sobre el estado de las actividades en toda la Organización (incluyendo posibles focos de conflicto), la idoneidad de los recursos destinados a este esfuerzo y el plan para comunicarse con las partes interesadas.

- 18 -Capítulo 3

4. Monitoree las principales iniciativas normativas para mejorar la transparencia del proceso de auditoría externa/revisoría fiscal. Dados los recientes escándalos de corrupción, sigue existiendo una importante discusión global respecto a la necesidad de tener mayor transparencia del auditor externo en torno al proceso de auditoría. Bajo las Normas Internacionales de Auditoría (NIA 701), mientras se mantenga el modelo apto/no apto actual, a los auditores pronto se les exigirá describir en los informes de auditoría de las organizaciones listadas7 las principales áreas en las que se enfocan durante el desarrollo de la auditoría y qué trabajo específico desarrollaron en esas áreas. En los Estados Unidos, se espera que la PCAOB8 emita una norma final sobre el modelo de reporte del auditor, que posiblemente requiera una descripción de los “asuntos críticos de la auditoría” en el informe del auditor. Los Comités de Auditoría deberán interactuar ampliamente con el auditor desde la etapa de planeación de la auditoría hasta llegar a la terminación del informe de auditoría.

5. Duplique el enfoque de la Organización en la ética, el cumplimiento y la cultura. Ya sea actuando con rapidez para innovar y capitalizar oportunidades en nuevos mercados, aprovechando nuevas tecnologías y datos, y/o trabajando con más terceros a lo largo de las extensas y cada vez más complejas cadenas de suministro, la mayoría de las organizaciones enfrenta riesgos ampliados de cumplimiento y estos riesgos y vulnerabilidades requerirán de vigilancia. Entonces, es importante asegurar que los programas de cumplimiento normativo y monitoreo de la organización estén actualizados y cubran a todos los proveedores en la cadena

de abastecimiento y comunique claramente las expectativas de las altas normas éticas que tiene la Organización. Tambien es relevante revisar detenidamente la efectividad del programa de denuncias de la organización y preguntarse si el Comité de Auditoría revisa todas las quejas de la línea de denuncias.

Si su respuesta a la anterior pregunta es negativa, cuestiónese sobre cuál es el proceso para filtrar las quejas que se reportan al Comité de Auditoría. El Comité de Auditoría debe estar consciente de que la transparencia radical favorecida por los medios sociales, la cultura y los valores de la Organización, así como su compromiso con la integridad y el cumplimiento legal, y la reputación de su marca, están más expuestos que nunca. Obtenga puntos de vista de la Auditoría Interna sobre las formas de auditar/evaluar la cultura de la organización.

6. Enfoque la Auditoría Interna en áreas principales de riesgo y en la idoneidad de los procesos de gestión del riesgo de la Organización en general. La Auditoría Interna es más efectiva cuando se enfoca en los riesgos críticos para el negocio, incluyendo los principales riesgos operacionales (p. ej., ciberseguridad y riesgos tecnológicos) y los controles relacionados, y no solo en los riesgos de cumplimiento y de información financiera. Es prioritario para el Comité de Auditoría ayudar en la definición del alcance de la cobertura de la Auditoría Interna y, cuando sea necesario, debe redefinir su rol. Por ejemplo, indague si el plan de auditoría está basado en el riesgo, como producto de un aseguramiento integrado, y este es flexible, y se ajusta a las cambiantes condiciones de negocio y del riesgo en sí,

7 Organizaciones que cotizan en una bolsa devalores.

8 Public Company Accounting Oversight Board – PCAOB. Es una corporación establecida por el Congreso de los Estados Unidos para vigilar a las firmas de Contadores Públicos Independientes (Auditores Externos) de las organizaciones registradas en la Bolsa de Valores de Nueva York para proteger los intereses públicos y de los inversionistas en la preparación de reportes financieros informativos, confiables e independientes.


cómo ha evolucionado el ambiente operativo, qué riesgos presenta la organización extendida (aprovisionamiento, outsourcing, ventas y canales de distribución), qué rol debería desempeñar la Auditoría Interna en la auditoría de la cultura de la organización.Haga explícitas sus expectativas y garantice que la Auditoría Interna cuente con los recursos, habilidades y experiencia para tener éxito. Rete a la Auditoría Interna para que tome el mando en la coordinación con otras funciones de gobierno, riesgo y cumplimiento dentro de la organización para limitar la duplicación y, más importante, prevenir brechas. Ayude a maximizar la colaboración entre los auditores internos y externos.

7. El reporte financiero de calidad empieza con el CFO y la función financiera; mantenga un enfoque nítido en el liderazgo y la ventaja comparativa. Dado el índice de rotación de los CFO y el importante rol que estos desempeñan en el mantenimiento de la calidad de los reportes financieros, es esencial que la Organización cuente con planes de sucesión tanto para el CFO como para otros ejecutivos financieros principales (el Controlador, el Jefe Contable, el Jefe Ejecutivo de Auditoría, el Tesorero), y probablemente para el Jefe de Cumplimiento y los Directores de Riesgo. Indague cómo evalúa el Comité de Auditoría la reserva de talento financiero de la Organización; si los empleados cuentan con el entrenamiento y los recursos necesarios para tener éxito y cómo estos son incentivados para mantener el enfoque en el desempeño de la Organización a largo plazo.

8. Aproveche al máximo el tiempo compartido con el Comité de Auditoría, dentro y fuera de la sala de juntas. Para abordar las grandes cargas laborales, muchos Comités de Auditoría se están enfocando en formas de mejorar su eficiencia y eficacia, incluyendo el perfeccionamiento de sus agendas y procesos de supervisión, y reevaluando sus habilidades y composición. Para ello, es necesario mantener agendas que sean razonables, que se enfoquen en lo que es más importante (comenzando por la información financiera y la calidad de la auditoría), asignen tiempo para discusiones robustas mientras cuidan de las actividades ‘obligatorias’ de cumplimiento, y garanticen que el Comité tenga la composición y liderazgo correctos. Un Comité de Auditoría líder reconoce que su eficiencia y efectividad en la sala de juntas depende cada vez más de la inversión de tiempo fuera de la sala de juntas, visitando las instalaciones de la Organización, interactuando con los empleados y clientes, y escuchando perspectivas externas, para entender el tono, la cultura y el ritmo de la organización.

- 20 -Capítulo 3

9 El objetivo de este capítulo no es hacer una lista exhaustiva ni completa de todas las responsabilidades aplicables a los miembros de las Juntas Directivas y de los Comités de Auditoría, sino describir, de manera general, las obligaciones más importantes que deben observar dichos miembros en el ejercicio de sus funciones.

Aunque los miembros suplentes de las Juntas Directivas pueden integrar el Comité de Auditoría, la Superintendencia Financiera ha dicho que es “recomendable que el Comité de Auditoría de las entidades sujetas a supervisión se integre con los miembros principales pues son estos los que tienen conocimiento pleno del funcionamiento de la compañía y los que están al tanto de las decisiones que se toman en su interior”. Superintendencia Financiera, Concepto No. 2009052328-001 del 18 de agosto de 2009.

Esta responsabilidad podrá ser delegada en funcionarios de la Organización designados para el efecto, en cuyo caso se deberá informar del poder especial otorgado a la administración de impuestos y aduanas correspondiente.

3.2. Régimen de responsabilidad jurídica de los miembros del Comité de Auditoría Aparte de las responsabilidades ya mencionadas del Comité de Auditoría, es importante tener presente también el siguiente régimen de responsabilidad jurídica, aplicable a todos sus miembros en su calidad de administradores9.

3.2.1. Responsabilidad en materia societaria

De conformidad con el artículo 45 de la Ley 964 del 2005, los “emisores de valores deberán constituir un Comité de Auditoría, el cual se integrará con por lo menos tres (3) miembros de la Junta Directiva incluyendo todos los independientes (…)”10. A su vez, el artículo 22 de la Ley 222 de 1995 establece que “los miembros de Juntas o Consejos Directivos” son considerados administradores, y como tales, no solo deberán observar ciertos deberes, sino que quedarán sujetos a un régimen especial de responsabilidad.

Es así como el artículo 23 de la Ley 222 de 1995 dispone que los administradores deben obrar de buena fe, con lealtad y con la diligencia de un buen hombre de negocios, para lo cual deberán:

1. Realizar los esfuerzos conducentes al adecuado desarrollo del objeto social de la Organización.

2. Velar por el estricto cumplimiento de las disposiciones legales o estatutarias.

3. Velar porque se permita la adecuada realización de las funciones encomendadas a la revisoría fiscal.

4. Guardar y proteger la reserva comercial e industrial de la sociedad.

5. Abstenerse de utilizar indebidamente información privilegiada.

6. Dar un trato equitativo a todos los socios y respetar el ejercicio del derecho de inspección de todos ellos.

7. Abstenerse de participar por sí o por interpuesta persona en interés personal o de terceros, en actividades que impliquen competencia con la sociedad o en actos respecto de los cuales exista conflicto de intereses.

Por su parte, según el artículo 24 de la misma Ley 222, los administradores responderán solidaria e ilimitadamente de los perjuicios que por dolo o culpa ocasionen a la sociedad, a los socios o a terceros, aunque no estarán sujetos a dicha responsabilidad, quienes no hayan tenido conocimiento de la acción u omisión o hayan votado en contra, siempre y cuando no la ejecuten. En los casos de incumplimiento o extralimitación de sus funciones, violación de la ley o de los estatutos, se presumirá la culpa del administrador.

Adicionalmente, el artículo 50 de la Ley 964 de 2005 considera que los miembros del Comité de Auditoría que no cumplan con sus deberes y obligaciones incurrirán en las sanciones previstas en el artículo 53 de la misma ley, entre las cuales se incluyen amonestaciones, multas o suspensión para realizar funciones de administración, dirección o control de sociedades.

3.2.2. Responsabilidad en materia tributaria

El Estatuto Tributario señala que son los administradores (entre los cuales se incluyen los miembros de Juntas Directivas, que a su vez pueden ser miembros del Comité de Auditoría) quienes deben cumplir con los deberes formales de las personas jurídicas y sociedades de hecho que representan11. Son deberes formales de los contribuyentes, entre otros, inscribirse en el Registro

10

11


Único Tributario, presentar las declaraciones y cancelar el impuesto, expedir facturas y certificaciones, cumplir con las normas de contabilidad, facilitar la información requerida por la administración de impuestos, y conservar por lo menos durante cinco (5) años los documentos que permiten fijar correctamente las bases gravables y liquidar los impuestos.

Según el artículo 658-1 del Estatuto Tributario, si en la contabilidad o en las declaraciones tributarias de los contribuyentes se encuentran irregularidades, los administradores o representantes designados para cumplir los deberes formales respecto de las personas jurídicas y sociedades de hecho, “serán sancionados con una multa equivalente al veinte por ciento (20 %) de la sanción impuesta a la sociedad, sin exceder las 4.100 UVT, la cual no podrá ser sufragada por su representada. Los administradores podrán ser sancionados por la irregularidad en la contabilidad o en las declaraciones tributarias cuando ordenen y/o aprueben el acto que produjo la irregularidad”.

3.2.3. Responsabilidad en materia cambiaria y aduanera

La regulación cambiaria no señala de manera expresa las obligaciones y deberes de los miembros de la Junta Directiva, pero sí establece que el incumplimiento total o parcial de las disposiciones cambiarias por una persona jurídica da lugar a una responsabilidad de los administradores y a la imposición de sanciones por los entes de control.

En materia de inversiones de capital y endeudamiento, las infracciones cambiarias hacen responsables a representantes legales, socios y administradores y, en general, a las personas naturales con poder decisorio para obligar a la persona jurídica o cuya concurrencia haya sido necesaria estatutariamente para ejecutar los actos o los hechos constitutivos de tales infracciones.

Desde la perspectiva aduanera, las personas jurídicas usuarias de comercio exterior tienen la posibilidad de repetir contra sus administradores respecto de las sanciones que hayan tenido que pagar, cuando se compruebe que dichas sanciones fueron originadas por hechos o conductas imputables a ellos.

3.2.4. Responsabilidad en otros eventos

Los miembros de Juntas Directivas (que a su vez podrán ser también miembros de un Comité de Auditoría), podrían ser llamados a responder por los perjuicios o daños ocasionados durante la celebración, ejecución o terminación de contratos públicos. Asimismo, y de acuerdo con las circunstancias del caso, los administradores o miembros de Juntas Directivas podrían incurrir en responsabilidad penal en el ejercicio de sus funciones.

Finalmente, vale la pena mencionar que los miembros de un Comité de Auditoría están más expuestos a incurrir en infracciones en su calidad de miembros de una Junta Directiva, que en su calidad de miembros de un Comité, pues en términos estrictamente jurídicos, el “catálogo” de deberes y obligaciones de los miembros de Junta Directiva es más extenso que los deberes y obligaciones que deben observar los miembros de un Comité de Auditoría.

- 22 -Capítulo 3

3.3. Acerca del Comité de Auditoría El tamaño del Comité de Auditoría varía en función de las necesidades de la Organización y el alcance de las responsabilidades. La práctica establecida por el mercado es entre 3 y 5 miembros y como lo establece la Superintendencia Financiera, la mayoría deben ser independientes, y es responsabilidad de la Junta Directiva evaluar la independencia de los candidatos al Comité de Auditoría. Así mismo, es recomendable que al menos un miembro independiente tenga conocimientos especializados y experiencia relevante en materia de contabilidad, auditoría o ambas y en conjunto deben tener conocimiento en cuanto al sector al que pertenece la Organización.

Dentro de los aspectos a considerar adicionales a su composición y responsabilidades, se deben tener en cuenta los siguientes que garantizan que en conjunto el rol del Comité tenga un enfoque y visión integral para las organizaciones.

3.3.1. Independencia

La forma en que el Comité cumple el mandato de la Junta Directiva varía de acuerdo con la claridad de su misión, las aptitudes de sus miembros y la tónica establecida al más alto nivel de la estructura de dirección de la Organización.

El Blue Ribbon Committee12 definió que los miembros de un Comité de Auditoría son independientes si no tienen una relación con la Organización que pueda resultar en una interferencia de la administración y la misma Organización en el ejercicio de su independencia.

La independencia del Comité de Auditoría es la piedra angular de su efectividad, particularmente cuando supervisa la integridad financiera de la Organización. Lo ideal es que cada miembro del Comité sea como un director externo, es decir, independiente de la administración.

La independencia, desde luego, no es fácil de definir. Por una parte, puede significar falta de asociación con la administración; por eso, un cliente importante o proveedor, un antiguo empleado o ejecutivo, o un familiar cercano elegido como miembro del Comité de Auditoría podrían percibirse eventualmente como faltos de independencia. Los cargos de directores vinculados entre sí, u otras relaciones externas con la administración, o la tenencia de un interés considerable en la Organización también podrían originar críticas.

Si bien, el Comité de Auditoría debe trabajar estrechamente con la administración, este a su vez debe guardar independencia y no ser influenciado sobre los juicios y decisiones que deba tratar; de esta manera, se cumplirá con las responsabilidades otorgadas para el Comité.

La responsabilidad principal del Comité de Auditoría en relación a la independencia de sus miembros radica en informar oportunamente los conflictos de intereses que puedan presentarse en la toma de decisiones. Es un miembro independiente del Comité, aquel que no tiene ninguna relación e interés con la Organización que interfiera con su capacidad para actuar.

12 Es un término informal usado generalmente para describir un grupo de personas excepcionales direccionadas a investigar y estudiar preguntas o asuntos específicos. El término generalmente tiene la connotación de independencia de la influencia política o de otra autoridad. El valor de estos paneles viene de su habilidad de emplear su experiencia para identificar asuntos o recomendaciones para ser usadas por aquellos con el poder de decisión en las organizaciones.



13 Estado de situación financiera, según las Normas Internacionales de Información Financiera – NIIF.

3.3.2. Aptitudes

La efectividad del Comité de Auditoría depende del conocimiento, experiencia y aptitudes en asuntos de negocios, presentación de información financiera,control interno y de auditoría que posean sus miembros.

Los miembros del Comité deben tener experiencia en algún área relacionada con los negocios; por lo menos un miembro debe estar familiarizado con la industria de la Organización. Todos deben tener conocimiento básico de finanzas que, de acuerdo con el “Blue Ribbon Committee”, significa “la habilidad de leer y entender estados financieros básicos incluyendo el balance general13, el estado de resultados y el estado de flujos de efectivo”. Generalmente, quien preside el Comité debe tener sólidos antecedentes en finanzas, contabilidad o auditoría, para estar en capacidad de actuar como guía durante las discusiones técnicas.

En algunas circunstancias, para fortalecer al Comité, puede que sea necesario contemplar el nombramiento de miembros que tengan habilidades particulares; por ejemplo, en el campo legal u otro de carácter técnico.

3.3.3. Experiencia y capacitación permanente

La experiencia con la que cuentan los miembros del Comité de Auditoría es considerada como un elemento fundamental y necesario para ser efectivos en la toma de decisiones para la Organización; además del conocimiento del mercado, los miembros deben tener una visión amplia de la volatilidad e incertidumbre en la región en la cual

hacen presencia, por lo que se hace necesario que los miembros cuenten con una formación permanente en:

• Cambios en los requerimientos legales y regulatorios.

• Avances tecnológicos y de riesgos en los negocios.

• Ciberseguridad, confidencialidad de la información y protección de datos.

Es de esta manera que el Presidente del Comité, en conjunto con la Junta Directiva, deberá plantear todas aquellas necesidades y oportunidades de entrenamiento para sus miembros.

3.3.4. Inducción a nuevos miembros

El Comité de Auditoría deberá tener un proceso formal para la inducción de sus nuevos miembros, de tal manera que asegure la comprensión de sus responsabilidades, los asuntos actuales, los objetivos del proceso de auditoría y las expectativas de la Junta. Dicho proceso comprende una serie de actividades enmarcadas en el aseguramiento del cumplimiento de las responsabilidades y objetivos del Comité; entre otras, se deberá como mínimo:

• Proporcionar una copia del mandato de la Junta al Comité, así como la documentación del Comité y las actas recientes.

• Informar las funciones del Comité y sus responsabilidades.

• Informar y explicar los marcos legales y regulatorios, de control y de riesgos aplicables a la Organización.

• Dar a conocer los riesgos tanto financieros como del negocio y sus respectivos controles.

• Informar asuntos actuales de auditoría y de información financiera.


En algunas circunstancias, para fortalecer al Comité, puede que sea necesario contemplar el nombramiento de miembros que tengan habilidades particulares; por ejemplo, en el campo legal u otro de carácter técnico.

- 24 -Capítulo 3

3.3.5. Cualidades personales

Las cualidades personales de los miembros del Comité de Auditoría deben encontrarse bajo el cumplimiento del marco ético de la Organización y, entre otros aspectos, se debe:

• Presentar independencia en la toma de decisiones.

• Desempeñar un papel activo y dinámico en la comprensión de la Organización y su entorno.

• Adquisición de nuevas competencias y habilidades, que le permitan un desempeño eficiente.

• Creación de un ambiente de control, donde se detecten posibles riesgos de forma oportuna y el control de estos sea efectivo.

• Contribuir a la gobernabilidad corporativa.

3.3.6. Evaluación del Comité de Auditoría

La valoración del desempeño de los miembros y del Comité de Auditoría proporciona información real que el mismo Comité puede emplear para el mejoramiento de los procesos internos. En esta medida, es recomendable que la evaluación del Comité sea incluida en el reglamento del mismo. Si no existiese una reglamentación definida para la evaluación del Comité, es la misma legislación que regula a la Organización la que permitirá identificar si el desempeño ha sido óptimo y este se encuentra acorde con las prácticas de sus pares.

Cuando se efectúa una evaluación al Comité de Auditoría, se considera, entre otros:

• La independencia del Comité frente a la administración.

• La interacción del Comité de Auditoría con la administración y la auditoría.

• La sensibilidad del Comité frente a los cambios legislativos y regulatorios.

• El nivel de compresión de la Organización frente a su entorno.

• Pericia y juicio profesional.

• Posturas fuertes y constructivas en los comités, cuando se requiera.

• Disponibilidad para dedicar el tiempo necesario a la preparación y la participación en las deliberaciones del Comité.

• Respuestas oportunas.

• Confrontación de conflictos y ayuda al Comité para manejarlos en forma constructiva y productiva

• Asistencia.

3.3.7. Reuniones

En la actualidad el Comité de Auditoría debe asumir un rol proactivo frente a sus responsabilidades y el análisis de la información financiera y no financiera de la Organización; las reuniones más productivas son aquellas en las que el Comité involucra e interactúa con la administración y los auditores, así como entre sus propios miembros.

La frecuencia con la cual son llevadas a cabo las reuniones del Comité de Auditoría está dada por las prácticas mundiales, la cual señala que son cuatro sesiones durante el año, dejando abierta la posibilidad para el desarrollo de reuniones extraordinarias cuando estas se requieran y a petición de la Organización.

Como registro de las reuniones desarrolladas por el Comité de Auditoría, se deberá elaborar el acta correspondiente que permita realizar un seguimiento posterior a los temas abordados por el Comité.

3.3.8. Remuneración

La remuneración de los miembros del Comité de Auditoría deberá encontrarse acorde con las expectativas del mismo, con las habilidades, los aportes que realicen y el tiempo de dedicación para la atención de las diferentes responsabilidades por parte de sus miembros, de tal forma que dicha asignación sea el reflejo del cabal cumplimiento de las funciones.


3.4. Supervisión del reporte financiero y los controles internos relacionados Como ya se ha mencionado, el Comité de Auditoría debe contar con que al menos uno de sus miembros tenga la experiencia necesaria que le permita, de manera apropiada, hacer un análisis de los estados financieros, dadas sus responsabilidades sobre hacer seguimiento al desempeño financiero de la Organización y asegurar la calidad de la información financiera presentada. Por esto es que se hace necesario que el Comité valore permanentemente la efectividad de control interno, para lo cual cuenta con diferentes perspectivas: por una parte, esta la administración que proveerá los resultados de sus actuaciones y por otro lado, están los hallazgos de las auditorías (interna y externa – revisoría fiscal) como resultado de las evaluaciones al control interno y a las pruebas a las aseveraciones de la administración en los estados financieros.

El Comité de Auditoría es responsable de la supervisión de los informes financieros, por lo que es de vital importancia que asegure que el control interno funcione de manera efectiva ya que este afecta de manera directa la preparación de los estados financieros. Como se menciona en la norma internacional de contabilidad 1, el objetivo de los estados financieros es suministrar información acerca de la situación financiera, del rendimiento financiero y de los flujos de efectivo de una Organización, que sea útil a una amplia variedad de usuarios conocidos como grupos de interés, para tomar decisiones debidamente informadas.

Otro aspecto que debe considerar el Comité en la supervisión de los estados financieros es el de identificar si existen presiones a la administración por el cumplimiento de metas que la lleven a anticipar ingresos o no registrar costos y/o gastos en el período correspondiente, a través de la aplicación agresiva de políticas contables. De igual manera, para la preparación de los estados financieros, que refleja la gestión realizada por los administradores con los recursos que le han sido confiados, se requiere del uso del juicio para el registro de ciertas transacciones que son complejas y para lo cual resulta fundamental que el Comité entienda con total claridad las políticas usadas por la Organización.

El control interno, definido como el proceso efectuado por la dirección y el personal de la Organización, para proporcionar seguridad razonable en cuanto a la eficacia y eficiencia de las operaciones, confiabilidad de la información financiera y el cumplimiento de las normas y regulaciones, debe ser monitoreado por el Comité; hoy por hoy, en Colombia se está dando mayor relevancia al control interno y se pretende que las organizaciones establezcan un marco de control que les permita cada vez proveer mayor confianza a la comunidad de negocios y otros actores interesados en la información que provea la Organización.

- 26 -Capítulo 3

3.5. El Comité de Auditoría y su papel de supervisión al Auditor Interno y Externo Uno de los roles del Comité de Auditoría es el de ejercer supervisión al Auditor Interno y Externo. Respecto a la Auditoría Interna, el Comité de Auditoría dentro de sus funciones debe:

• Evaluar y aprobar el plan de trabajo de la Auditoría Interna y las modificaciones que a este se realicen, verificar que se haya construido bajo una metodología basada en riesgos, que cubra las áreas más críticas de la Organización, con el fin de establecer si su alcance satisface las necesidades de control de la Organización.

• Supervisar las funciones y actividades de la Auditoría Interna, con el fin de identificar si esta es independiente y objetiva respecto a las actividades que audita y, así mismo, determinar la existencia de limitaciones que le impidan su adecuado desempeño. En este último aspecto cobra relevancia la competencia de los auditores.

• Revisar en los informes de Auditoría Interna las principales deficiencia de control interno y de cumplimiento, verificando que la administración haya establecido los respectivos y oportunos planes de mejoramiento, atendido las recomendaciones y/o oportunidades de mejora sugeridas por la Auditoría Interna.

• Realizar seguimientos periódicos al resultado de los planes de mejoramiento establecidos por la administración para cubrir las deficiencias de control y cumplimiento identificadas.

• Evaluar que la función de Auditoría Interna desarrolle actividades enfocadas a generar un valor agregado a la organización, que aplique técnicas que le permitan tener un mayor cubrimiento y que le permitan hacer auditorías continuas.

• Estar alerta de la interrelación entre la Auditoría Interna y la Externa, con el fin de cerciorarse de que en conjunto estos dos órganos en sus planes de auditoría estén cubriendo las áreas significativas de riesgo.

• Solicitar y/o atender las investigaciones especiales realizadas por la Auditoría Interna como respuesta a situaciones de fraude o conflictos de interés, que surjan como un trabajo adicional al plan de auditoría aprobado inicialmente.

• Asegurar que la función de Auditoría Interna tenga comunicación directa con el Comité es decir, que no tenga restricciones de la administración para dar a conocer sus hallazgos como resultado de su trabajo.

Estar alerta de la interrelación entre la Auditoría Interna y la Externa, con el fin de cerciorarse de que en conjunto estos dos órganos en sus planes de auditoría estén cubriendo las áreas significativas de riesgo.


14 La auditoría externa examina y evalúa las áreas, procesos o sistemas por solicitud de la Organización y emite una opinión independiente sobre los resultados, mientras que la revisoría fiscal, por disposición legal, realiza su labor de conformidad con los parámetros impuestos por la normatividad.

• Evaluar periódicamente la función de Auditoría Interna; esta evaluación debe identificar como mínimo:

– La forma en que la Auditoría Interna agregar valor al modelo empresarial de la Organización.

– El posicionamiento de la Auditoría Interna en la Organización (credibilidad en el trabajo desarrollado por la función de auditoría para identificar, valorar, monitorear y evaluar la forma en que la administración responde a los riesgos de tecnología, estratégicos, de seguridad y propios del negocio).

– Si impulsa el mejoramiento de los procesos y propone mejores prácticas.

– Si cuenta con los recursos y conocimientos especializados para cumplir con sus responsabilidades.

– Si los objetivos que la Organización ha fijado a la función de Auditoría Interna se están cumpliendo o es necesario que se complementen a través del uso de un proveedor externo de este servicio.

Si bien es cierto, la responsabilidad14 del Auditor Externo no es equivalente a la del Revisor Fiscal, la labor de supervisión del Comité de Auditoría frente a estos entes debe estar orientada a verificar que focalicen sus esfuerzos de supervisión y monitoreo en los estados financieros, en los cambios estructurales respecto a su presentación y en los aspectos de cumplimiento, teniendo en cuenta factores como la incertidumbre económica y las presiones de crecimiento que enfrentan a diario las organizaciones.

La auditoría externa a los estados financieros es el principal mecanismo que tienen los grupos de interés para asegurar la confiabilidad de la información financiera generada por la administración. Desde esta perspectiva, se fortalece el escenario para que las actividades de auditoría externa se desarrollen bajo total independencia y transparencia y los auditores externos así como los Revisores Fiscales tengan habilitado un canal directo de comunicación con el Comité de Auditoría y estén facultados y empoderados para discutir y retar a la administración en el manejo y aplicación de principios, normas, políticas contables y revelación de información financiera y no financiera.

El Comité de Auditoría, dentro de su función de supervisión al Auditor Externo y Revisor Fiscal, debe:

• Recomendar al máximo órgano social de la Organización (Junta Directiva) el nombramiento del Auditor Externo o Revisor Fiscal, una vez ha verificado la independencia entre los auditores y la Organización, la habilidad y experiencia del equipo de trabajo y la metodología para conducir el trabajo.

Monitorear las etapas de la auditoría, especialmente la de planeación, ya que es en esta donde se establece el alcance del trabajo y se tienen en cuenta los aspectos más críticos a auditar. Así mismo, debe estar enterado del avance del plan, de los ajustes realizados a este y de los hallazgos que surjan en la ejecución de sus funciones.

- 28 -Capítulo 3

• Crear un escenario donde unos y otros puedan actuar con total independencia de la administración.

• Monitorear las etapas de la auditoría, especialmente la de planeación, ya que es en esta donde se establece el alcance del trabajo y se tienen en cuenta los aspectos más críticos a auditar. Así mismo, debe estar enterado del avance del plan, de los ajustes realizados a este y de los hallazgos que surjan en la ejecución de sus funciones.

• Asegurar un mecanismo adecuado que facilite un intercambio honesto y confidencial de información con el Auditor Externo y el Revisor Fiscal.

• Analizar la suficiencia de las revelaciones de la información financiera y del negocio de conformidad con las normas existentes. Debe conocer el borrador del dictamen del Revisor Fiscal y ser consciente, cuando se presente, del efecto en los estados financieros de los cambios contables de un período a otro y de la correcta aplicación de tales cambios.

• Evaluar periódicamente el desempeño de la auditoría externa, teniendo en cuenta el alcance general del plan de auditoría, la capacidad del equipo y la suficiencia de recursos para alcanzar los objetivos propuestos en el plan.

• Solicitar retroalimentación de la administración y de la Auditoría Interna sobre la actuación de la Auditoría Externa.

• Adoptar salvaguardas con respecto a la independencia del Auditor Externo y del Revisor Fiscal. Estas salvaguardas incluyen normalmente

– Asignar los tipos de servicios que el Auditor Externo puede o no llevar a cabo, teniendo en cuenta la percepción del Comité de Auditoría sobre asuntos de independencia, reglas profesionales y requisitos del reglamento interno.

– Procedimientos de gobierno corporativo para convenir el nivel de remuneración para los servicios de auditoría y los que no son de auditoría. Por ejemplo, se puede establecer una regla de tal manera que algunos servicios y honorarios que sobrepasan una cantidad determinada tengan que estar sujetos a la aprobación del Comité de Auditoría.

– Cerciorarse de que la administración asuma la responsabilidad en la toma de decisiones relativas a las funciones o procesos sobre los cuales el Auditor Externo presta servicios diferentes a los de auditoría.

Evaluar periódicamente el desempeño de la auditoría externa, teniendo en cuenta el alcance general del plan de auditoría, la capacidad del equipo y la suficiencia de recursos para alcanzar los objetivos propuestos en el plan.

Asignar los tipos de servicios que el Auditor Externo puede o no llevar a cabo, teniendo en cuenta la percepción del Comité de Auditoría sobre asuntos de independencia, reglas profesionales y requisitos del reglamento interno.


3.6. La supervisión del riesgoLa gestión y supervisión del riesgo es un factor crítico para cualquier negocio, independientemente de la industria en la que opere. Este proceso inicia con tener claridad sobre cuál es el horizonte de riesgos que enfrenta la Organización, identificando riesgos actuales o emergentes.

El mayor uso de tecnología para la entrega de productos y servicios deja atrás un mayor número de organizaciones y hace obsoletos modelos de negocio; también la volatilidad global y los cambios políticos, así como las mayores expectativas de inversores y otros grupos de interés, retan a las organizaciones y sus Juntas Directivas a repensar su estrategia y la forma de ejecución y los invita a convertirse en líderes de una transformación corporativa.

La Junta Directiva tiene que conocer claramente la capacidad de riesgo de la Organización en relación con los objetivos y metas del negocio; posteriormente el Comité de Auditoría tiene que monitorear activamente el cumplimiento de las políticas relevantes promulgadas por la Junta Directiva.

De acuerdo con la experiencia de KPMG, se pueden analizar los riesgos desde diferentes perspectivas, siempre considerando la adecuada lectura y análisis de las señales de la industria y de la situación interna.

En el ambiente de negocio de una Organización se presentan riesgos particulares según la industria o mercado en el que se opere, así como riesgos empresariales comunes a la mayoría de las organizaciones, como los siguientes:

• Estrategia: estrategia inefectiva, decisiones de negocio inefectivas y falla en responder a cambios en el ambiente de negocios como el ciclo de negocio y las preferencias de los consumidores, obsolescencia de productos y desarrollos de tecnología, y riesgos en inversiones, incluyendo períodos extensos de recuperación. Intensa competencia globalizada, reducción de jugadores y consolidación de industrias. Concentración de riesgos en pocos proveedores de componentes relevantes.

• Crecimiento: sobrestimar el valor de las adquisiciones, dificultades en la generación de sinergias o integración de operaciones, deterioro de las condiciones económicas de mercados clave e incremento de presión financiera en los consumidores. Mayor inversión e innovación para lograr un incremento en la presencia de marca, y presión por desarrollar, mejorar y lanzar nuevos productos para una demanda impredecible.

• Rentabilidad y liquidez: riesgos provenientes de la volatilidad y fluctuación del precio de materias primas, incertidumbre económica en mercados clave, riesgos financieros, incapacidad de obtener fondos para desarrollar proyectos, escenarios de bajos precios por e-commerce.

• Excelencia operacional: fallas o inadecuados procesos y sistemas internos, baja calidad del trabajo por parte de outsourcings, subcontratistas, aliados o proveedores, nuevos canales de distribución, como el e-commerce, que pueden incrementar riesgos de fraude en la cadena de logística. Inhabilidad para recuperar y sostener operaciones críticas interrumpiendo la producción o prestación del servicio.

Asignar los tipos de servicios que el Auditor Externo puede o no llevar a cabo, teniendo en cuenta la percepción del Comité de Auditoría sobre asuntos de independencia, reglas profesionales y requisitos del reglamento interno.

- 30 -Capítulo 3

• Recurso humano: inhabilidad para atraer, motivar y retener personal calificado y manejar apropiadamente los costos relacionados con la compensación. Incertidumbre en el mercado laboral, interrupciones por sindicatos, huelgas, sabotajes.

• Reputación y ética: riesgo para la reputación o marca como resultado de evaluaciones u opiniones negativas por parte de los grupos de interés, eventos de fraude o corrupción, activismo a través de medios o redes sociales.

• Tecnología: competencia de firmas que desarrollan nuevos servicios y productos basados en tecnologías innovadoras que incluyen la nube, análisis de Big Data, Internet y procesos de pago digital. Mal funcionamiento o interrupción de operaciones de sistemas o brechas de ciberseguridad, presión por adoptar nuevas tecnologías en automatización, como robots inteligentes y cuidado medioambiental.

• Cumplimiento: fraude, violaciones a la ley o regulación de tarifas, violaciones a las normas de reporte de información financiera, riesgos legales y de cumplimiento por cambios en leyes, reglas, normas, políticas, regulaciones de impuestos, estándares técnicos y normas de comercio.

• Salud, seguridad y medio ambiente: incremento riguroso de regulación sobre salud, seguridad y medio ambiente. Desastres naturales o generados por personas que pueden afectar las operaciones o activos. Incremento de costos para cuidado medioambiental. Pobres condiciones de trabajo y seguridad, actos de terrorismo, huelgas.

Una manera para robustecer los métodos y estructuras para mitigar y supervisar los riesgos empresariales es a través de la adecuada interpretación de señales que se presentan en su industria y situaciones internas, para lo cual es importante considerar lo siguiente:

1. Integre la gestión de riesgo a la estrategia: esto permite definir estrategias basadas en los principales riesgos que enfrenta la organización. Considérelo antes, durante y después de definida la estrategia.

2. Integre la gestión de riesgo a su estructura de gobierno: esto permitirá asignar responsabilidades a sus actuales órganos de gobierno relacionadas con la gestión de riesgo empresarial, así mismo permitirá integrar el proceso de gestión de riesgos al proceso de toma de decisiones.

3. Fortalezca su equipo de gestión de riesgos: desarrollar una función o proceso encargado de facilitar la evolución de la gestión del riesgo empresarial, de un punto reactivo a un estado de soporte estratégico.

4. Fortalezca su proceso y gobierno de gestión de riesgos: haga una valoración sobre el estado de su proceso en términos de definición de apetito de riesgo, cultura, gobierno, evaluación y medición, métodos de mitigación, monitoreo y reporte, y trabaje en mejorar el nivel de madurez de cada uno de estos componentes.

5. Monitoree los riesgos: defina instancias y frecuencia para el monitoreo de los riesgos y cree un lenguaje único para el manejode riesgos.

En la gráfica 2, se observa un buen marco referente para evaluar el nivel de madurez de la Administración de Riesgos en su Organización:


Apetito de riesgo

• Relación con la estrategia corporativa

• Estrategia de riesgos• Apetito y tolerancia del riesgo

Gráfica 2. Marco para evaluar el nivel de madurez de la administración de riesgos

Gobierno del riesgo

• Supervisión de Junta y Comité

• Estructura operativa de riesgos y guía de riesgos

• Roles y responsabilidades• Soporte de las decisiones

Cultura del riesgo

• Conocimiento y entendimiento

• Confianza y compromiso• Competencias y formación• Políticas de personal

Monitoreo

• Mitigación del riego, planes de acción

• Prueba, validación y aseguramiento

• Monitoreo de riesgos en proyectos/iniciativas

Reporte de riesgos y percepciones

• Reporte de riesgos• Requerimientos de la alta dirección

• Requerimientos externos e internos

Información y tecnología

• Calidad de información• Análisis de datos• Plataforma tecnológica

Evaluación y medición

• Definición e identificación del riesgo y metalenguaje

• Métodos y modelos cuantitativos

• Correlación y concentración de los riesgos

• Análisis de escenarios.• Capital y desempeño de la gestión

Evaluación a filiales

• Determinación del nivel de madurez de la gestión de riesgos

• Análisis de la taxonomía (metalenguaje) utilizado en la gestión de riesgos

- 32 -Capítulo 3

Mientras un robusto proceso de gestión de riesgos es esencial para prevenir y mitigar eventos de riesgos, tenga en cuenta que esto no es suficiente. Como hemos visto en los últimos años, muchas de las crisis que han producido el mayor daño a las organizaciones –financiero, reputacional y legal– han sido causadas por una descomposición del “tono” de la administración, cultura e incentivos. Estos riesgos representan las mayores amenazas entre todos los riesgos de la Organización.

Es muy importante que la Junta Directiva sea extremadamente sensitiva con el estilo de administración y liderazgo de la gerencia, y refuerce la cultura de la Organización. Por ejemplo, qué hace la Organización, su propósito y valores, y la cultura de cumplimiento, incluido un compromiso de la gerencia sobre los riesgos clave.

Por otra parte, la prevención de crisis va de la mano de una buena gestión de riesgos, identificando y anticipando

riesgos. Debe existir un aumento de atención de la Junta en riesgos operacionales –cadena de abastecimiento, outsourcing, tecnología de información, riesgos de seguridad de datos, etc. ¿Entendemos los riesgos operacionales críticos? ¿Qué ha cambiado en el ambiente operacional? ¿Se ha experimentado alguna falla de control? ¿La gerencia es sensitiva a alertas tempranas relacionadas con seguridad, calidad de productos, y cumplimiento?

Evaluar hasta qué punto la planeación de crisis de la Organización esta alineada con el perfil de riesgos, y con qué frecuencia el plan es actualizado y hasta dónde la gerencia conduce simulacros de crisis. ¿Existen protocolos de comunicación para mantener informada a la Junta sobre eventos y respuesta de la Organización?

Con relación a riesgos sobre reporte de información financiera, la calidad de la información financiera inicia con una adecuada organización, estructura y competencia de la función de finanzas; también se deben monitorear los planes y actividades de implementación de los principales cambios contables y las bases sobre las cuales se presenta información financiera que no requiere la aplicación de normas contables.

Asegure el foco de Auditoría Interna en las áreas clave de riesgo y, en general el adecuado proceso de administración de riesgos de la Organización. Un adecuado proceso en torno a la gestión integral de riesgo le permitirá anticiparse al riesgo y asegurar los objetivos y metas definidas por la Organización.

La supervivencia económica o el éxito de la Organización se basa en la administración efectiva de los riesgos de mayor importancia. La administración de riesgo desde el alto nivel crea una ventaja competitiva y genera valor para los accionistas.

¿Cómo puede la Organización construir un programa efectivo de gestión de riesgos? En la gráfica 3 se pueden observar los lineamientos generales de este programa.

Mientras un robusto proceso de gestión de riesgos es esencial para prevenir y mitigar eventos de riesgos, tenga en cuenta que esto no es suficiente. Como hemos visto en los últimos años, muchas de las crisis que han producido el mayor daño a las organizaciones –financiero, reputacional y legal – han sido causadas por una descomposición del “tono” de la administración, cultura e incentivos. Estos riesgos representan las mayores amenazas entre todos los riesgos de la Organización.


Gráfica 3. Construcción de ERM efectivo

Fuente: Metodología Enterprise Risk Management – ERM de KPMG

Preguntas clave • ¿Cómo establecer expectativas

de los interesados?• ¿Cómo se comunica la gestión

de riesgos?• ¿Cómo se asegura que estas

expectativas de gestión de riesgos se siguen?

Marco de gestión del riesgo

Cultura de riesgoEstructura de gobierno

• La gestión del riesgo está totalmente integrada a la toma de decisiones y estrategia.

• El riesgo se agrega para formar una vista de toda la Organización y hacer una evaluación de arriba hacia abajo y de abajo hacia arriba.

• El cliente analiza y se hace una idea de negocio a partir de la forma en que los riesgos están interrelacionados.

• Comprender y desarrollar el apetito de riesgo para determinar si se está tomando muy poco o demasiado riesgo.

• Centrarse en el desarrollo de una vista única de riesgo, mediante la convergencia de las competencias de riesgo y de control.

• Identificar el beneficio de la gestión de riesgos exitosa y comunicarlo.

• Objetivos específicos de cada unidad de negocios hacia la contribución de una cultura de riesgo.

• Liderazgo y marca de pauta en términos de la integración de riesgo.

• Decisiones de alto nivel.

• Es más efectiva la gestión de riego cuando se combina con las tres líneas de defensa.

• Comunicación de arriba hacia abajo y de abajo hacia arriba,y grupos de interés internos y externos.

Construcción de un ERM efectivo

- 34 -Capítulo 3

3.7. Gestión del riesgo de tecnología de la información y Comité de AuditoríaLos riesgos de TI encabezan la lista de temas a los cuales el Comité de Auditoría requiere dedicar más tiempo. Lo anterior esta vinculado directamente con la implantación cada día más creciente de Tecnologías de Información (TI) tales como: Cloud Computing, Blockchain, IoT (Internet de las cosas), robotización de procesos, entre otras.

En los Comités de Auditoría debería existir al menos un miembro con un conocimiento fuerte en TI que actúe como apoyo en la toma de decisiones sobre el costo - beneficio de los controles a implementar. Los conocimientos sobre riesgos de TI y tecnologías emergentes permiten:

• Tener una opinión actualizada de los riesgos de TI.

• Conocer y sugerir cuáles controles de TI implementar.

• Realizar sugerencias sobre puntos de posibles mejoras.

• Velar por la existencia de sistemas de monitoreo y reporte de eventos importantes.

Dentro de los aspectos clave y preguntas que el Comité de Auditoría requiere discutir con la dirección se encuentran, pero no se limitan a las siguientes:

• ¿Existe una conectividad adecuada entre el CIO15/TI, el negocio y el Comité de Auditoría?

• ¿Entiende la alta dirección la capacidad que tiene TI para cambiar el negocio?

• ¿Qué tan efectivo es el proceso de planeación estratégica al tratar con la innovación y el cambio tecnológico en el negocio?

• ¿Tiene la Organización el liderazgo para aprovechar las nuevas capacidades de TI?

• ¿Se ha definido y comunicado claramente un marco de gobierno para el área de TI?

• ¿Cuál es el enfoque del gobierno de seguridad de información y de datos?

• ¿Existe un entendimiento claro sobre los riesgos de TI y son administrables?

Los siguientes son factores de riesgo que a nivel de Comité de Auditoría se deben entender y monitorear:

• Dependencia de los sistemas de TI. Mientras más dependiente sea una Organización de los recursos de TI, mayor es la posible pérdida financiera, ya sea directa o de reputación. Esta categoría está determinada por el grado de automatización, la cantidad y complejidad de los componentes tecnológicos de los procesos misionales soportados por TI.

• Dependencia del personal de TI. En esta categoría de riesgo de la Organización se enmarca lo relacionado con las posibles pérdidas debido a la rotación o ausencia de personal altamente competente en temas de TI.

• Dependencia de terceros. Son los riesgos vinculados a las pérdidas por causa de la dependencia de terceros, como outsourcing, co-sourcing, proveedores y contratistas. Esta categoría depende del nivel de participación de dichos terceros.

• Confiabilidad de TI. Los riesgos pueden materializarse a partir del procesamiento inadecuado o incoherente de la información del negocio. Esto ocasiona que deban realizarse procesos de rectificación de la información, ya que el resultado del procesamiento es poco confiable.

• Enfoque de negocio de las funciones de TI y los procesos. Existe el riesgo de que las necesidades del negocio y de los usuarios no sean suplidas por

15 Chief Information Officer (CIO).


TI o que la tecnología de información disponible no se integre apropiadamente con el enfoque del negocio, la estrategia y los planes futuros. El enfoque del negocio esta determinado por los procesos de negocio, satisfacción del usuario y la conciencia gerencial.

• Activos de información. La propia naturaleza de los datos y la información (los “activos de información”), mantenida por la Organización, puede resultar en una pérdida (por ejemplo, la piratería o el robo), y esta determinada por el tipo de datos, perfil de público y la motivación para el fraude.

• Cambios en TI. Riesgo de pérdidas debido al grado de cambio en el entorno de TI. Las áreas evaluadas incluyen el grado y la complejidad de los cambios.

• Entorno legislativo y regulatorio. Existe el riesgo de que la falta de cumplimiento de la legislación relativa a la elaboración, almacenamiento y uso de la información conduzca a una pérdida financiera o de reputación de la Organización. Esto podría suceder a través de la censura por una autoridad reguladora, las multas o escándalos públicos.

Los Comités de Auditoría deben comprender y definir las estructuras para administrar los riesgos de TI. Lo cierto es que la administración de riesgos de TI no es solo responsabilidad de las áreas de TI; las organizaciones necesitan entender y definir las capacidades desde los diferentes frentes o líneas de defensa que deben actuar muy coordinadamente para lograr un proceso sostenible con transparencia así como implementar la rendición de cuentas adecuada. En la gráfica 4 se pueden observar las líneas de defensa.

Gráfica 4. Líneas de defensa – Administración de riesgos de TI

Fuente: Metodología IT Risk Management - ITRM de KPMG

Administración de Riesgos de TI 2da Línea de Defensa

Auditoría Corporativa3ra Línea de Defensa

Áreas de Tecnología 1ra Línea de Defensa

Áreas de Negocio 1ra Línea de Defensa

• Integración de los marcos y procesos de gestión de riesgos

– Coordinación de las actividades de riesgo/cumplimiento de TI

– Reportes de la Empresa (Junta)

– Enlace regulador

– Estructura

• Riesgos emergentes de TI

• Auditoría operacional

• Auditoría de los proyectos


• Entrega de servicios y operaciones

• Estrategia de infraestructura/arquitectura

• Controles tecnológicos integrados (ejemplo: seguridad y cambio)

• Administración de riesgos de terceros


• Controles integrados de negocios

• Controles de la aplicación

• Riesgos emergentes

Procesos(controles)

- 36 -Capítulo 3

Cada miembro de Junta debe tener competencia y habilidades para entender la TI de la Organización, sus riesgos y cómo administrarlos. Las áreas de foco para lograr una mejor administración de los riesgos de TI son las siguientes:

1. Mejorar el gobierno de administración de riesgos de TI – administrar los riesgos dentro del contexto de la Organización.

2. Alinear las correlaciones de los objetivos del negocio y los riesgos de TI.

3. Centrarse en métricas clave.

4. Racionalizar los procesos y marcos para permitir el establecimiento de prioridades y la toma de decisiones (ejemplo: evaluaciones/riesgo y pruebas).

5. Diferenciar las estructuras de gobierno frente a los roles y responsabilidades operativas.

6. Diferenciar la gobernabilidad frente a los roles y responsabilidades operativas.

7. Asegurar el conocimiento a nivel de los temas clave de riesgo de TI y de cumplimiento.

8. Construir una cultura de mejora continua en la que el proceso y las capacidades (proceso y herramientas) estén diseñados para madurar y evolucionar con el tiempo.

9. Racionalizar los marcos de control (simplificar e integrar).

10. Aprovechar la automatización para apoyar la habilitación operacional.

3.8. Ciberseguridad: un tema para la Junta DirectivaDurante los últimos años, el aumento en el nivel de conciencia en materia de ciberseguridad ha llevado a algunas organizaciones a incluirla en la agenda de sus esferas directivas. En Colombia, de acuerdo con la Encuesta Nacional de Seguridad Informática realizada por la Asociación Colombiana de Ingenieros de Sistemas (ACIS), “el 29 % de los encuestados manifiesta que sus niveles directivos entienden y atienden recomendaciones en materia de seguridad” (ACIS, 2016, p. 25). Sin embargo, el alcance, enfoque, lenguaje y profundidad en los que debería tratarse el tema en este nivel no son tan fáciles de definir, haciéndolo complejo, aparentemente irrelevante por su alto contenido técnico y en ocasiones, abrumador.

La ciberseguridad requiere atención de directivos y ejecutivos, pero debe ser abordada de manera apropiada, de acuerdo con el tamaño y naturaleza de la Organización. Así, los líderes de las organizaciones pueden guiar a los especialistas técnicos en su trayectoria, considerando los elementos más relevantes para el negocio, haciendo las preguntas correctas y tomando decisiones conscientes e informadas.

3.8.1. En concreto, ¿qué es ciberseguridad?

Si bien la Política Nacional de Seguridad Digital nos brinda una definición amplia16 (CONPES, 2016, p. 87), para efectos prácticos es conveniente adoptar un enfoque conciso:

Ciberseguridad se refiere a “los esfuerzos para prevenir el daño causado por interrupción o abuso de las tecnologías de información y comunicaciones, y repararlo cuando este ha ocurrido” (National Coordinator for Security and Counterterrorism, 2013).

16 El conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse buscando la disponibilidad, integridad, autenticación, confidencialidad y no repudio, con el fin de proteger a los usuarios y los activos de la organización en el ciberespacio”.


Las interrupciones y abusos en las TIC pueden surgir de actores tales como criminales organizados, hacktivistas17, estados/naciones o personal de la Organización. Estos actores, a su vez, generan amenazas como espionaje, fuga de datos, hacking y robo de identidad, que pueden resultar, entre otros, en fraude, sanciones o pérdida de ingresos.

3.8.2. ¿Por qué es relevante para la Junta Directiva?

Ahora bien, si la seguridad de la información ha estado presente desde hace varios años y ha sido gestionada por áreas especializadas en tecnologías de información, ¿por qué se hace relevante ahora para la Junta Directiva?

La respuesta a esta pregunta se resume en tres tendencias: mayor uso y dependencia en tecnologías de la información y comunicación (TIC), aumento en la cantidad y gravedad de los incidentes de ciberseguridad ocurridos, y nuevos requerimientos regulatorios aplicables.

Al existir una mayor dependencia de las organizaciones en las TIC, indudablemente aumentan la posibilidad de ocurrencia y el potencial impacto de daños causados sobre estas. Se estima que el ciberfraude en Colombia cuesta alrededor de un billón de pesos colombianos (El Espectador, 2016), y “solo en fraudes bancarios, clonación y robo de credenciales, se estima que por cada 10.000 pesos que se muevan por una cuenta, 20 se pierden por fraudes” (Rodríguez, 2016).

Desde el punto de vista regulatorio, el número de normativas relacionadas ha venido en aumento en los últimos años. Un ejemplo es la Circular Externa 002 del 3 de noviembre del 2015, expedida por la Superintendencia de Industria y Comercio y aplicable a todas las organizaciones; su objetivo es “impartir instrucciones a los Responsables del Tratamiento de datos personales

(…) para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos – RNBD” (SIC, 2015). La Circular especifica que, como parte del registro de las bases de datos en el RNBD, se deben incluir “los controles de seguridad implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que esta registrando (…)”.

Así, los inversionistas, el gobierno y los consumidores esperan cada vez más que las organizaciones demuestren diligencia en materia de ciberseguridad.

No hay dos organizaciones iguales y, por ende, cada Organización debe ajustar a su medida la gestión de ciberseguridad. A continuación, los elementos clave a considerar para que el nivel de involucramiento de la Junta sea el adecuado:

a. Ciberseguridad “a la medida”: enfoque en gestión de riesgos – No en cumplimiento

Para garantizar que el enfoque con el cual se aborda la ciberseguridad responde a la realidad específica de la Organización, debe gestionarse desde la perspectiva de riesgo –no como un conjunto de requerimientos y controles que deben seguirse para dar cumplimiento a algún marco de referencia (p. ej., el estándar ISO 27001:2013) o una regulación específica (p. ej., Circular Externa SFC 052 de 2007).

17 Grupos de hackers inspirados por ideologías

(...) si la seguridad de la información ha estado presente desde hace varios años y ha sido gestionada por áreas especializadas en tecnologías de información, ¿por qué se hace relevante ahora para la Junta Directiva?

- 38 -

• Mercados

• Socios de negocios

• Objetivos

Contexto de negocio• Para quiénes es atractiva

la organización –¿Por qué? –¿Qué recursos tienen?

Amenazas

Gráfica 5. Componentes perfil de riesgo cibernético

Fuente: elaboración propia a partir de “Ciberseguridad, Un tema para la sala de juntas” de KPMG, publicado en 2014.

• ¿Cuáles podrían ser objetivos de interés a ser atacados en la organización?

• ¿Cuáles son las "joyas de la corona"?

Objetivos de ataque• Debilidades que podrían

ser aprovechadas: –Procesos –Personas –Tecnología

Vulnerabilidades

• Requerimientos relevantes

Legislación

Este enfoque requiere que la Junta tenga un entendimiento claro del perfil de riesgo cibernético organizacional. Esto no significa que la Junta deba tomar decisiones técnicas para mitigar los riesgos, sino que debe entender cuáles son los activos críticos, las amenazas relevantes a su entorno y el potencial impacto en el negocio.

La gráfica 5 describe los principales elementos a considerar para determinar ese nivel de riesgo: contexto del negocio, amenazas, vulnerabilidades organizacionales, potenciales objetivos de ataque y legislación relevante (KPMG, 2014).

Así mismo, es clave que la Junta Directiva participe en la determinación del nivel de riesgo que está dispuesta a aceptar la Organización –apetito de riesgo– para así implementar solo las medidas de seguridad correspondientes. No es posible obtener un 100 % de seguridad, y así lo fuera, sería ineficiente frente a los requerimientos de negocio


�Riesgos: responde responde a la pregunta ¿cuál es el estado de los riesgos estratégicos en ciberseguridad? Los indicadores deberían derivarse de los riesgos específicos de cada Organización. Algunos ejemplos son: no disponibilidad de los canales de venta online, fuga de información estratégica, fraude financiero. Si la Organización no ha terminado el proceso de identificación de riesgos, indicadores relevantes podrían ser el porcentaje de avance del proceso (p.ej., cobertura) o el nivel de madurez de la Organización en ciberseguridad

�Cumplimiento: busca responder a la pregunta ¿estamos cumpliendo con las regulaciones relevantes en ciberseguridad y con los marcos de referencia que hemos definido/seleccionado? Ejemplos de indicadores son el número de hallazgos en las auditorías internas o externas de acuerdo con la severidad, o el porcentaje de cumplimiento de los controles de un marco de referencia (p. ej., ISO 27002:2013).

� Incidentes: hacer seguimiento a los incidentes provee una perspectiva adicional del riesgo. Responde a la pregunta: ¿cuáles han sido los principales incidentes y qué los ocasionó? Indicadores en esta dimensión incluyen estadísticas con el número, tipo e impacto/costo de los incidentes, o elementos asociados con la efectividad del proceso de gestión, por ejemplo el tiempo promedio de identificación, respuesta y resolución de incidentes.

�Conciencia y Cultura: en esta dimensión se evalúa el factor humano en ciberseguridad. Si bien, medir con precisión esta dimensión es casi imposible, sí es posible analizar qué ha hecho la Organización para elevar los niveles de conciencia (p. ej., cobertura de entrenamientos), y cómo esto se refleja en la cultura organizacional).

�Nivel de amenaza: provee información al respecto del estado actual de las amenazas utilizando fuentes de información internas o externas y correlacionándolas (inteligencia de amenazas). Con frecuencia esta actividad la realiza un Security Operations Center (SOC).

�Proyectos: se enfoca en el estado de los proyectos clave de ciberseguridad. El objetivo es permitir a la Dirección tomar decisiones oportunas cuando sea necesario.

• Externo• Interno

• Fuentes externas• Fuentes internas

• Cobertura• Riesgo clave• Madurez Organización

• Impacto en riesgo• Estado

• Proceso de respuesta• Estadísticas

• Cobertura entrenamiento

• Comportamiento

Cumplimiento

RiesgosProyectos

IncidentesConciencia y Cultura

Áreas Foco

Nivel de Amenaza

Gráfica 6. Áreas de foco

Fuente: Tablero de Ciberseguridad: Monitoree, Analice y Tome Control de la Ciberseguridad, KPMG 2015.

b. Decisiones informadas

El siguiente paso es hacer seguimiento y mantener un flujo de comunicación entre las áreas responsables de ciberseguridad y la Junta Directiva, utilizando un lenguaje adecuado para facilitar la toma de decisiones. Esto se hace posible mediante indicadores clave de desempeño (KPI, por sus siglas en inglés, Key Perfomance Indicators).

KPMG ha identificado 6 áreas, las cuales se describen en la gráfica 6, que pueden tomarse como referencia para identificar los indicadores más relevantes para la Organización: Riesgos, Cumplimiento, Incidentes, Conciencia y Cultura, Nivel de Amenaza y Proyectos (KPMG, 2015).

- 40 -

La selección cuidadosa de los indicadores permitirá a la Organización enfocarse en lo más importante, traducir la complejidad técnica a lenguaje de negocio, comunicarse de manera eficiente y tomar decisiones oportunamente.

La ciberseguridad es un tema de preocupación para la Junta Directiva por el potencial impacto que puede tener en el negocio. El número y gravedad de los incidentes de seguridad, así como la presión de los medios de comunicación, los entes de supervisión y los clientes, contribuyen a la necesidad de incluirla en la agenda directiva. Pero debe ser tratada en la justa medida, de acuerdo con la realidad de la Organización y su apetito de riesgo, y con apoyo de indicadores que permitan que la comunicación entre las áreas tácticas y operativas en ciberseguridad y la Junta sea efectiva y oportuna.

3.9. Cultura, ética y cumplimientoEl sector empresarial colombiano ha sido muy proactivo en la implementación de buenas prácticas de gobierno corporativo, por tanto, se puede aseverar que ya existe una conciencia natural de la importancia y beneficio que puede generar un buen gobierno en el desarrollo económico, en el éxito y la sostenibilidad de las organizaciones18.

Pero qué tan efectivos están siendo estos modelos de gobierno si recientes escándalos corporativos destacan la necesidad e importancia de construir y/o fortalecer la cultura corporativa que apoye la creación de un ambiente de apertura y honestidad y la posibilidad de hablar abierta y claramente sobre duras realidades o situaciones de riesgo para la Organización, que pueden impactar no solo un resultado económico, sino su misma continuidad.

Esto hace enfatizar que un modelo de gobierno por sí solo no opera si no está bien gestionado, de tal manera que permita asegurar que las organizaciones están siendo operadas y controladas de manera transparente y eficiente y que responden a las expectativas de sus grupos de interés.

La Organización para la Cooperación y el Desarrollo Económicos (OECD)19 establece los principios rectores del gobierno corporativo, a los cuales Colombia se ha unido mediante la generación de normatividad y código de buen gobierno o de mejores prácticas corporativas.

18 Circulares emitidas por la Superintendencia Financiera de Colombia, Corporación Transparencia por Colombia, Código País. Código de Mejores Prácticas Corporativas, Ley Antisoborno.

19 OECD, compuesto por 35 estados, cuyo objetivo es coordinar sus políticas económicas y sociales; Colombia trabaja para su incorporación plena al grupo de las mejores prácticas para promover el bienestar económico y social.

La Junta Directiva y el Comité de Auditoría tienen la responsabilidad de establecer valores y estándares éticos, comportamientos definidos que determinen qué es aceptable o inaceptable en situaciones específicas,lo cual esta ligado indiscutiblemente a nociones de honestidad, integridad, confianza, rendición de cuentas, transparencia y responsabilidad social.


Una cultura de ética que predomine en una Organización debe contar con un sistema de alertas tempranas para los problemas, que permita una intervención oportuna y apropiada o, de ser necesario, la redefinición de la estrategia del gobierno corporativo que se está desarrollando.

La Junta Directiva y el Comité de Auditoría tienen la responsabilidad de establecer valores y estándares éticos, comportamientos definidos que determinen qué es aceptable o inaceptable en situaciones específicas, lo cual está ligado indiscutiblemente a nociones de honestidad, integridad, confianza, rendición de cuentas, transparencia y responsabilidad social.

Como representantes y/o directores de una Organización deben hacerse, entre otras, las siguientes preguntas:

1. ¿El código de ética y conducta y los programas de cumplimiento se revisan regularmente para determinar si necesitan actualizarse debido al negocio, o a cambios legales y regulatorios?

2. ¿Existe una política eficaz de denuncia de irregularidades y procesos en curso, resultado de estas denuncias?

3. ¿Los valores fundamentales de la Organización son divulgados de manera efectiva a todos los individuos de la Organización?

4. ¿Se ha desarrollado y mantenido una cultura corporativa que profese un ambiente de apertura, honestidad y el reporte inmediato de situaciones anómalas?

5. ¿La Junta Directiva informa completamente a sus directivos acerca de conflictos reales o potenciales entre los valores de las organizaciones y las prácticas comerciales en los países donde opera?

6. ¿Existen procesos y prácticas para promover el comportamiento ético?

7. ¿La Junta Directiva ha considerado cómo la compensación del Consejo Directivo se alinea con la cultura de ética y cumplimiento?

Si surgen dudas sobre alguno de los elementos, considérelas alarmas que deben ser analizadas y sobre las cuales debe tomar acciones; las siguientes son ejemplos de alarmas:

• La Junta Directiva tiene acciones de poder que inhiben el trabajo en equipo.

• La Junta Directiva sufre de una mentalidad de “pensar en grupo”, y no se formulan recomendaciones particulares que aporten a una solución, o se sigue y acepta lo que indica un líder y no existe un entorno para expresarse abierta y francamente.

• El código de conducta no se ha revisado de forma periódica, para validar su efectividad.

• Hay un número relativo de informes internos, quejas externas o eventos y/o no se han gestionado en debida forma.

• No se ha mantenido la confidencialidad o se han tomado represalias frente a denunciantes.

• La Junta Directiva no recibe reportes ni información.

• La Junta Directiva no se involucra en el análisis de las recomendaciones que presenta el Presidente y tan solo marca como aprobación “una casilla virtual”.

• La cultura de la Junta Directiva no permite la discusión de situaciones difíciles, polémicas o sensibles en las respectivas reuniones.

- 42 -Capítulo 3

El desarrollo de una cultura empresarial de ética y cumplimiento es un imperativo empresarial. La cultura es la estructura básica de una Organización que determina cómo se desarrollan los negocios en la Organización. Considere los siguientes elementos que deben tenerse en cuenta en el momento de definir una estrategia para conformar la ética y el cumplimiento en las organizaciones:

• El código de ética, que es un referente formal e institucional de la conducta personal y profesional que debe cumplir todo trabajador, accionista, miembro de la Junta Directiva, contratista y proveedor de una Organización, así como con la comunidad y la sociedad en general, independientemente del cargo o función que ocupen.

• Un código de conducta que sustente todas las actividades de la Organización, que establezca las prácticas de empleo de la misma y que proporcione orientación sobre cómo la administración direccionará el negocio.

• La capacitación en ética y el crear conciencia debe ser reforzado regularmente a todos los empleados y debe ser incluido en los programas de inducción para nuevos empleados.

• Los procesos formalizados deben proporcionar la orientación necesaria a los empleados para enfrentarse

a dilemas éticos y deben estar claros y divulgados los mecanismos para reportar las faltas y hacer sugerencias sobre cómo mejorar la ética empresarial.

• Un proceso de gestión que no solo mide los resultados, sino que considere cómo estos resultados están siendo logrados.

• Una evaluación o seguimiento periódico y una opinión objetiva que refleje la efectividad de los procesos de gobierno corporativo.

3.9.1. Valores y ética organizacional

Los valores organizacionales no solo guían al personal de la Organización, sino también crean expectativas de las partes interesadas internas y externas sobre el comportamiento aceptable en la Organización. Los principios y valores en una Organización deben surgir de una acción participativa, ser acordados y deben estar integrados en las políticas y procedimientos, y ser luego acogidos y puestos en práctica por toda la Organización.

Un programa efectivo de ética y cumplimiento exige el involucramiento de la alta dirección para afianzar y defender los valores, el compromiso de toda la Organización, un sistema efectivo de comunicaciones y un sistema de monitoreo continuo.

3.9.2. Código de ética y código de conducta

Como ya se mencionó anteriormente, la ley colombiana, a través del Código País actualizado en 2014, y lineamientos internacionales, requiere que las organizaciones privadas y del Estado establezcan un código de ética que sea aplicable para todos los miembros de Junta Directiva y demás Comités, así como para todos los empleados de

La capacitación en ética y el crear conciencia debe ser reforzado regularmente a todos los empleados y debe ser incluido en los programas de inducción para nuevos empleados.

El código de ética, que es un referente formal e institucional de la conducta personal y profesional que debe cumplir todo trabajador, accionista, miembro de la Junta Directiva, contratista y proveedor de una Organización, así como con la comunidad y la sociedad en general, independientemente del cargo o función que ocupen.


la Organización. Este código debe articular de manera clara y concreta los valores y comportamientos de la Organización. Este código debe contener, entre otros temas, lo siguiente:

• Principios para la implementación de deberes que incluyen buena fe, la prudencia, la plena responsabilidad y la confidencialidad de la información.

• Responsabilidad y obligación de rendir cuentas, y cumplimiento regulatorio.

• Requisitos de gobierno para los miembros de Junta Directiva, directivos y todos los empleados, lo cual regirá las cuestiones de conflictos de interés.

• Disposiciones sobre cómo evitar y reportar todo acto de soborno o comportamientos antiéticos.

• Disposiciones frente a obsequios, atenciones y donaciones.

• Normas y prácticas comerciales tanto locales como internacionales.

• Política de denunciantes y procedimiento para la tramitación de denuncias sobre irregularidades financieras, corrupción o fraude.

El código de ética debe ser comunicado y socializado a todos los empleados. Se debe buscar el mejor medio que tenga la Organización; hoy los sitios web son un medio efectivo para cubrir a toda la Organización. A su vez, el código debe evolucionar según el ambiente de las operaciones, incluyendo nuevas leyes y regulaciones y enfocado en comportamientos de negocio aceptables. Es procedente que estos desarrollos o ajustes a los códigos sean revisados por expertos legales u otros especialistas en la materia.

Una Organización donde se lidera con el ejemplo, donde el decir y el actuar son coherentes y basados en normas éticas, desarrolla una reputación de honestidad, integridad y principios comportamentales que se convierten en un elemento clave en la marca de la Organización, pues así será reconocida.

3.9.3. Acciones de la alta dirección

Desde la Junta Directiva es importante asegurar que la administración este trabajando en la dirección adecuada en materia de generación de una cultura de ética y cumplimiento, que incluye, entre otras, las siguientes acciones:

• Establecer los valores y la ética organizacional.

• Impulsar la mejora continua a través de las pruebas y la evaluación del programa contra la corrupción.

• Exteriorizar una cultura de cumplimiento, coherente con las acciones, los valores y las expectativas, lo cual debe surgir de la Junta Directiva, los ejecutivos y la gerencia intermedia.

• Establecer procedimientos para evaluación de terceras partes con quienes se realicen negocios.

• Establecer políticas para el manejo de denuncias y protección de denunciantes.

• Hacer seguimiento sistemático a los asuntos relacionados con faltas a la gestión ética, prevención de fraude y corrupción.

• Asignar o proporcionar recursos para las investigaciones sobre asuntos que impliquen un posible incumplimiento.

• Evaluar su línea ética y de transparencia que le permita conocer si se han canalizado en debida forma las consultas y se han tomado las acciones pertinentes frente a denuncias o alertas sobre comportamientos inaceptables o eventos reportados.

• Auditar el código de conducta que le permita tener certeza de su implementación y cumplimiento y establecer un proceso de mejoramiento continuo.

• Revisar y/o reestructurar el plan de formación y difusión del código de conducta.

- 44 -Capítulo 3

3.10. Fraude y corrupciónEl mundo empresarial ha sufrido una pérdida de confianza generada principalmente por los ilícitos corporativos internacionales que se han presentado, como escándalos de corrupción, fraude y lavado de activos. La percepción de manejos fraudulentos de directivos y administradores de la cúpula de las organizaciones ha puesto de manifiesto la importancia que adquiere el tema del buen gobierno corporativo.

El riesgo de fraude, corrupción y lavado de activos puede ser mitigado en un grado razonable con adecuados mecanismos de control. A diferencia de las tendencias que ponen énfasis en la detección basada en fuertes procedimientos de control que incitan la burocratización y las prácticas de “chulear una lista”, la experiencia ha demostrado la efectividad de las medidas orientadas hacia la prevención y la disuasión de ilícitos, que se enfocan hacia un cambio cultural de los empleados en la Organización.

Un programa integral de gestión del riesgo de fraude, corrupción y lavado de activos en una Organización, significa la aplicación de recursos económicos, humanos y de conocimientos, con el fin de mitigar los riesgos, teniendo en cuenta que debe existir una adecuada relación costo-beneficio.

Mitigar el riesgo de ilícitos como el fraude, corrupción y lavado de activos requiere un sistema de actividades y controles que, en su conjunto, reduzcan al mínimo posible la probabilidad de ocurrencia de conductas impropias, y que al mismo tiempo maximice la posibilidad de detectarlas, antes de que se configuren en un quebranto económico significativo.

En esta sección se proporciona una visión general de los fundamentos de la gestión del riesgo de fraude, corrupción y lavado de activos, destacando las principales prácticas que las organizaciones han considerado efectivas en el entorno actual.

Una estrategia de gestión del riesgo de fraude, corrupción y lavado de activos que sea efectiva y orientada a la Organización abarcará actividades, mecanismos y controles que tengan tres objetivos, tal como se observa en el gráfica 7:

Elementos de un programa Integral de Administración de Riesgos de Fraude, Corrupción

y Lavado de Activos

Respuesta Detección

Prevención

Gráfica 7. Fundamentos de la gestión de riesgos de fraude, corrupción y lavado de activos

Fuente: Fraud Risk Management, KPMG LLP, 2016.

� Prevención: Reducir el riesgo de ocurrencia de fraude y conductas impropias.

� Detección: Descubrir fraudes y conductas impropias cuando ocurren.

� Respuesta: Tomar medidas correctivas y reparar los daños provocados por el fraude o conductas impropias.


Gráfica 8. Sistema de Gestión de Riesgos de Fraude, Corrupción y Lavado de Activos

Supervisión de la Junta Directiva / Comité de AuditoríaFunciones del Equipo Directivo

Auditoría Interna, Cumplimiento y Funciones de Monitoreo

Estas estrategias cuando son integradas en un sistema de gestión de riesgo ayudan a reducir las amenazas que enfrenta cotidianamente una Organización. En Colombia estas medidas suelen verse más como un costo que como una inversión. La cultura de las organizaciones en general sigue siendo más reactiva que preventiva. En este sentido, la identificación y la mitigación de los riesgos de fraude y conductas impropias son las principales áreas de oportunidad que tienen las organizaciones colombianas para mejorar su competitividad en el futuro inmediato.

Fuente: Fraud Risk Management, KPMG LLP, 2016.

Prevención

Evaluación de riesgos de fraude y conductas irregulares Mecanismos de denuncia anónima Protocolos de investigación interna

"Due diligence" de empleados y terceras partes

Análisis forense proactivo de datos de la Organización

Protocolos de revelación de información

Código de conducta y normas relacionadas Auditoría y supervisión Protocolos de aplicación y

rendición de cuentas

Comunicación y Entrenamiento Protocolos de acciones correctivas

Controles de riesgo de fraudes específicos por procesos

Detección Respuesta

3.10.1. Programa Integral de Gestión del Riesgo de Fraude, Corrupción y Lavado de Activos

Todas las organizaciones son susceptibles de padecer algún tipo de fraude, corrupción o lavado de activos. Sin embargo, se ha visto que este riesgo se mitiga sustancialmente cuando las organizaciones cuentan con un programa integral que permita combinar mecanismos de cambio cultural con controles internos en los procesos de negocio.

Un adecuado sistema de gestión del riesgo de fraude, corrupción y lavado de activos debe partir de una estructura sólida de gobierno corporativo. Todos en la Organización desempeñan un papel importante en el proceso de supervisión y monitoreo, tanto la Junta Directiva, el Comité de Auditoría y la administración, como los auditores internos.

Una vez que existe la estructura deseable, los elementos de un programa integral de gestión de riesgo de fraude, corrupción y lavado de activos se dividen comúnmente en tres, como se puede apreciar en la gráfica 8.

- 46 -Capítulo 3

3.10.1.1. Prevención

Los controles preventivos están diseñados para ayudar a reducir el riesgo de que se presenten condiciones que originen casos de fraude y de conductas impropias. En este nivel, las organizaciones deben enfocarse, por ejemplo, en los códigos de conducta, en la capacitación y comunicación a nivel de la Organización sobre lo que constituye una conducta impropia para la Organización y también en los filtros e investigación, que comúnmente se refiere en inglés como due diligence, que se utilizan para contratar, retener o promover a empleados o proveedores. Algunos de los elementos o componentes que se deben considerar al hablar de mecanismos de prevención de fraude, corrupción y lavado de activos son los siguientes:

A. Supervisión de la Junta Directiva / Comité de Auditoría

La Junta Directiva de una Organización desempeña un papel importante en la supervisión e implementación de controles para mitigar el riesgo de fraude y conductas impropias. La Junta Directiva en conjunto con la administración es responsable de implantar la filosofía de “predicar con el ejemplo” y garantizar que se haya establecido una estructura de apoyo institucional a los más altos niveles para desarrollar prácticas de negocio en forma responsable y ética.

La labor de definir la visión estratégica, vigilar la operación y aprobar la gestión es responsabilidad de la Junta Directiva. En estas tareas, tienen responsabilidad todos los miembros de la Junta, actuando en forma individual o colegiada.

Para cumplir con su objetivo, la Junta puede apoyarse en órganos intermedios que se dediquen a analizar información y a proponer acciones en temas específicos de importancia, de manera que este cuente con mayor información para hacer más eficiente la toma de decisiones.

Si bien es cierto que en las leyes (como la Ley General de Sociedades Mercantiles, la Ley de Mercado de Valores y el Código Civil, entre

otras legislaciones) se prevén ciertas facultades y obligaciones para la Junta Directiva, es recomendable que cumpla entre otras con las siguientes funciones que le ayudarán a definir su labor y contribuirán a que la información sea más útil, oportuna y confiable:

• Promover el establecimiento de mecanismos de control interno y de aseguramiento de la calidad de la información.

• Promover que la Organización sea socialmente responsable, declare sus principios éticos de negocio y considere a los terceros interesados en la toma de sus decisiones.

• Promover la revelación de hechos indebidos y la protección a los informantes.

Las mejores prácticas corporativas, como ya lo hemos señalado, también recomiendan que exista el Comité de Auditoría, el cual debe asegurarse, entre otras cosas, de:

• Validar permanentemente el control interno y el proceso de emisión de la información financiera.

• Contribuir con la definición de los lineamientos generales del control interno, de la Auditoría Interna y evaluar su efectividad.

• Verificar que se observen los mecanismos establecidos para el control de los riesgos a que esta sujeta la Organización.

• Cumplir con el Código de Ética de Negocios y con el mecanismo de revelación de hechos indebidos y de protección a los informantes.

• Auxiliar a la Junta Directiva en el análisis de los planes de contingencia y recuperación de información.

Entre otras cosas, el Comité de Auditoría debe asegurarse de cumplir con el Código de Ética de Negocios y con el mecanismo de revelación de hechos indebidos y de protección a los informantes.


Finalmente, las mejores prácticas corporativas recomiendan que se apoye a la Junta Directiva en el cumplimiento de la función de evaluación del director general y de los funcionarios de alto nivel por medio de un órgano específico. Se recomienda que dicho órgano específico estudie y presente a la Junta Directiva para su aprobación, la propuesta para declarar a la Organización como entidad socialmente responsable, el Código de Ética de Negocios, así como el sistema de información de hechos indebidos y la protección a los informantes.

B. Supervisión de la alta airección

Para tener mayor certeza de que los controles contra el fraude y las conductas impropias siguen siendo efectivos y están en línea con los valores de la Organización, o bien, con las prácticas deseables, la responsabilidad sobre el enfoque de gestión del riesgo de fraude y de conductas impropias de la Organización debe compartirse con la alta dirección. Esta supervisión fundamental comienza con la prevención y también debe formar parte de las medidas de detección y respuesta.

El cuerpo directivo de las organizaciones se encuentra en una posición ideal para influir en las acciones de los empleados a través de su liderazgo ejecutivo, especialmente al fijar el “tono ético de la Organización” y desempeñando un papel decisivo en el fomento de una cultura de altos estándares éticos e integridad.

C. Función de Auditoría Interna

La función actual de Auditoría Interna también incluye ser un actor clave en las actividades antifraude, apoyando el enfoque de la dirección para prevenir, detectar y responder a fraudes y conductas impropias. De acuerdo con la Encuesta de KPMG sobre Fraude en Colombia 2013*, por este mecanismo se detectan los casos asociados a los diferentes tipos de fraude tales como: financiero (32%), malversación de activos (19%), corrupción (22%) y cibercrimen (30 %), cifras

que representan todavía un reto importante para esta función. En general, la Auditoría Interna debe ser responsable de:

• Planear y conducir la evaluación del diseño y la efectividad operativa de los controles antifraude.

• Asistir a la Organización en la evaluación de riesgos de fraude y ayudar a obtener las conclusiones y estrategias más apropiadas para mitigarlos.

• Informar al Comité de Auditoría sobre las evaluaciones del control interno, auditorías, investigaciones y actividades relacionadas.

D. Código de conducta

El código de conducta es uno de los vehículos de comunicación más importantes que puede utilizar la dirección para informar a los empleados sobre las principales normas que rigen las conductas de negocio aceptables. Un código de conducta bien redactado y apropiadamente comunicado es algo más que una mera reexpresión de las políticas de la Organización. Se trata de un documento que establece qué conductas son aceptadas y cuáles no, definiendo así los comportamientos esperados de cada uno de los empleados. Un código debe establecer ante todo las características propias de la cultura de control de la Organización, enunciarlas de una forma sencilla, pero firme, incluyendo las consecuencias de actuar de manera contraria al código.

*Próximamente se publicarán los resultados de la última Encuesta de Fraude, realizada en 2017.

Un código de conducta debe establecer ante todo las características propias de la cultura de control de la Organización, enunciarlas de una forma sencilla, pero firme, incluyendo las consecuencias de actuar de manera contraria al código.

- 48 -Capítulo 3

E. Investigación de antecedentes de terceros y empleados

Una parte importante de cualquier estrategia de prevención de fraudes y conductas impropias es la utilización de procedimientos de investigación de antecedentes en la contratación, retención y promoción de empleados, agentes, vendedores y demás terceros. Dichas prácticas pueden resultar especialmente importantes para aquellos empleados que tengan actividades clave en la Organización, por ejemplo, los que poseen algún tipo de autoridad sobre el proceso de elaboración de la información financiera.

El alcance y la profundidad del proceso de investigación de antecedentes normalmente variarán dependiendo de los riesgos identificados en la Organización, el cargo de dicha persona, su nivel de autoridad y las leyes específicas del país en el que esta ubicada la Organización.

Las prácticas de due diligence se pueden realizar al inicio de la relación empresarial o laboral o cuando se le promueve a un cargo de mayor responsabilidad, pero de manera permanente se deben monitorear estilos de vida y comportamiento en los negocios, de manera que se identifiquen a tiempo brechas en lo que se estima sea un comportamiento “normal” o “adecuado” y francas irregularidades.

F. Comunicación y capacitación

Para hacer conscientes a los empleados de sus obligaciones en relación con el control del fraude y de las conductas impropias, debe existir primero una capacitación adecuada y una comunicación continua. Muchas organizaciones dan como un hecho que todos sus empleados entienden lo que es un fraude o las consecuencias que puede tener una conducta impropia. No obstante, este no es un asunto que puede dejarse al sentido común. Las organizaciones deben hacer un esfuerzo de capacitación y comunicación sobre las conductas esperadas por cada uno de sus empleados, de tal forma que todos entiendan los riesgos que conlleva una conducta inadecuada. Para

establecer el plan de comunicaciones y capacitación, la administración deberá considerar el desarrollo de iniciativas que sensibilicen a los empleados sobre los fraudes y las conductas impropias. Dichas iniciativas deberán ser:

• Completas y basadas en puestos de trabajo y áreas de riesgo.

• Integradas con otras medidas de formación, siempre que sea posible.

• Efectivas para distintos entornos, utilizando diferentes métodos y técnicas.

• Periódicas y frecuentes, y aplicables a los empleados pertinentes.

3.10.1.2. Detección

El objetivo de los controles de detección es descubrir los fraudes y las conductas impropias cuando estas se produzcan. En este nivel, las organizaciones pueden adoptar, por ejemplo, sistemas de denuncia anónima o implementar programas de monitoreo y análisis de datos sensibles para la operación y administración de la Organización. Algunos de los elementos o componentes que se deben considerar al hablar de mecanismos de detección de fraudes son los siguientes:

A. Mecanismos de denuncia anónima

Las organizaciones pueden proporcionar a sus empleados distintos canales para que expresen sus preocupaciones y sospechas de fraude o conducta irregular. Normalmente, una línea de denuncia anónima o “Línea Ética” se trata de un mecanismo al que pueden recurrir los empleados para realizar denuncias sobre posibles fraudes o conductas impropias. Estas herramientas pueden incluir un número telefónico, página de Internet, dirección de correo electrónico, buzón anónimo, etc. De acuerdo con la Encuesta de KPMG sobre Fraude en Colombia 2013*, tipos de fraude tales como la malversación de activos, son detectados en un 51% gracias a denuncias hechas de



manera anónima por empleados, clientes, proveedores, etc.; los fraudes financieros en un 18%, la corrupción en un 41% y el cibercrimen en un 17%. De ahí que sea importante que cada Organización se pregunte sobre cómo puede agilizar y alentar la denuncia de comportamientos impropios. Un sistema de recepción de denuncias constituye una herramienta importante de control. Algunas características que deben tener los mecanismos de denuncia anónima para que sean realmente efectivas son las siguientes:

• Confidencialidad. Todos los asuntos reportados se deben tratar con estricta confidencialidad.

• Anonimato. Se debe respetar la decisión del denunciante de no revelar sus datos personales, para evitar una posible identificación, si así lo desea.

• Accesible. Debe ser accesible desde cualquier lugar y cualquier hora, de forma tal que no exista restricción de tiempos o medios para realizar denuncias.

• Independiente. En la medida de lo posible debe ser un mecanismo operado por un tercero independiente, para que el denunciante tenga la certeza de que su información será tratada con confidencialidad y refuerza la idea de que se respetará su anonimato.

• No represalias. Las denuncias que se hagan deben ser evaluadas y, de proceder, iniciar una investigación. Pero en todo caso, no se deben tomar medidas represivas con quien ha realizado la denuncia, así se mandará el mensaje correcto de incentivar la recepción de denuncias y reforzar el mensaje de la Organización sobre su política de cero tolerancia a irregularidades.

B. Auditoría y monitoreo

Los sistemas de auditoría y monitoreo diseñados para detectar fraudes y conductas impropias son herramientas importantes que la dirección puede utilizar para determinar si los controles están cumpliendo su función. Dado que es imposible hacer una auditoría de todos y cada uno de los riesgos de fraude y conductas impropias, la dirección puede desarrollar un plan de auditoría y monitoreo que este basado en los riesgos identificados por medio del proceso de evaluación del riesgo de fraude.

El plan de seguimiento y auditoría debe considerar aquellas actividades que, dado su nivel de riesgo (basado en la medición de su probabilidad de ocurrencia cruzada con el tipo de consecuencia esperada), se consideren susceptibles de verse inmersas en un fraude o conducta irregular.

Los miembros de la administración de una Organización encargados del monitoreo y la auditoría no solo deben contar con la formación y la experiencia necesarias, sino que también deben ser objetivos al evaluar los controles de los que son responsables. Para que sean óptimos, los protocolos de monitoreo y auditoría deben:

• Realizarse durante el curso normal de las actividades, incluso durante las actividades normales de supervisión y administración.

• Hacer uso de información externa para corroborar la información generada internamente.

• Comunicar formalmente las deficiencias y excepciones encontradas a la Junta Directiva o al Comité de Auditoría, de manera que pueda mitigarse y comprenderse de forma adecuada el daño que supone para la Organización.

• Utilizar los resultados para mejorar y modificar no solamente los controles específicos sujetos a la auditoría, sino también considerando otros controles, tales como las comunicaciones y la formación, las evaluaciones del rendimiento y la disciplina.

Un mecanismo efectivo de denuncia anónima debe garantizar confidencialidad, anonimato, accesibilidad, independencia y no represalias.

- 50 -Capítulo 3

3.10.1.3. Respuesta

Los controles de respuesta se refieren a los mecanismos de control que permitan tomar a tiempo las acciones correctivas más adecuadas para remediar o limitar los daños causados por el fraude o conducta impropia. En este nivel, las organizaciones deben adoptar, por ejemplo, un protocolo de investigación interna, que ayude a delinear las acciones concretas que se han de seguir en caso de haber detectado una irregularidad. Aquí también es importante diseñar un protocolo de sanciones y correcciones, que le sirva a la Organización como una guía de medidas disciplinarias a adoptar en caso de fraude o conductas impropias.

Una de las características esenciales de este elemento del programa es el tiempo. Cuando no se tienen mecanismos de respuesta apropiados, la reacción de la Organización puede ser tardía y las medidas que se puedan tomar posteriormente pueden ser poco útiles.

Uno de los elementos esenciales en la respuesta es la investigación de los hechos del fraude o conducta impropia. Cuando se descubre información sobre conductas impropias o fraudes, bien sea potenciales o reales, la Organización debe estar preparada para llevar a cabo una investigación objetiva y exhaustiva. El objetivo de cualquier investigación es recabar evidencias que contribuyan a realizar una evaluación independiente y basada en hechos de la infracción supuestamente cometida, de modo que la dirección pueda decidir la línea de actuación a seguir.

Una vez que se ha realizado una investigación, el siguiente aspecto crítico en una respuesta adecuada esta en la aplicación de normas y en la responsabilidad de rendición de cuentas.

Disponer de un sistema disciplinario consistente y coherente es un mecanismo de control fundamental para ayudar a disuadir la comisión de fraudes y conductas impropias. Al imponer sanciones significativas, la

dirección estará transmitiendo a las partes internas y externas que la Organización considera la gestión del riesgo de fraude y conductas impropias como una prioridad absoluta.

En Colombia, las medidas disciplinarias que se adopten deben tomar en cuenta las legislaciones nacionales y locales en materia laboral. De tal suerte que la medida disciplinaria adoptada no tenga un efecto inverso al buscado.

El tercer elemento a ser considerado como respuesta ante la comisión de un fraude es la adopción de medidas para remediar los daños ocasionados. Entre otros, los siguientes son algunos ejemplos de acciones que se pueden tener en cuenta:

• Estudiar las causas originales que han provocado los fallos de control, garantizando que se ha mitigado el riesgo y se han fortalecido los controles.

• Sancionar a aquellos que hayan llevado a cabo acciones impropias así como a aquellos directivos o supervisores que no hayan sido capaces de prevenir o detectar dichas acciones y que entren en el ámbito de su responsabilidad.

• Comunicar a los empleados que la dirección ha tomado las medidas pertinentes.

A pesar de que revelar públicamente un fraude o una conducta irregular puede resultar agresivo para una Organización, la administración quizá deba considerar esta posibilidad para así combatir o adelantarse a la publicidad negativa que pueda provocarle a la Organización el ilícito, poniendo de manifiesto su buena fe y contribuyendo a acabar con el problema. Por otro lado, se mitiga el riesgo de comunicación informal y sus consecuencias.

El propósito de esta sección ha sido proporcionar una visión general de los fundamentos en la gestión del riesgo de fraude, corrupción y lavado de activos, destacando las mejores prácticas que las organizaciones han considerado efectivas en el entorno de negocios


actual. Como se ha señalado, es imperativo reconocer que un programa integral de gestión del riesgo de fraude, corrupción y lavado de activos debe ser una de las características principales de los sistemas modernos de control interno y gobierno corporativo.

El énfasis de la gestión efectiva y responsable se debe poner en la disuasión de los delitos o conductas impropias. La investigación del fraude, del abuso y del error no debe ser el interés primordial de la alta dirección de las organizaciones, pues se trata de una posición más bien reactiva que proactiva. Su interés principal debe estar encaminado a fortalecer un gobierno corporativo eficaz, basado en un sistema de control de riesgos, que impidan el abuso de confianza y disminuya la probabilidad del error y el engaño.

Uno de los objetivos esenciales del gobierno corporativo es establecer un sistema de control interno y administración de riesgo que ayude a mitigar la incidencia de fraudes y todo tipo de conductas impropias, que puedan dañar el valor y la integridad de la Organización. Todas las organizaciones son susceptibles de padecer algún tipo de fraude o incurrir en actos de corrupción o lavados de activos. Sin embargo, se ha visto que la posibilidad de padecer un fraude se reduce sustancialmente cuando las organizaciones entienden los riesgos de su propia operación y adoptan un programa integral que les ayude a prevenir y detectar a tiempo posibles irregularidades.

Solo así se estará realmente tomando medidas concretas para mejorar la confianza en las organizaciones y trabajando para la protección de su patrimonio.

3.10.2. Gestión de riesgos de corrupción y Comité de Auditoría

Los Comités de Auditoría están dedicando un tiempo significativo en su agenda al riesgo asociado a prácticas anticorrupción; como referentes de cumplimiento legal/regulatorio, se pueden encontrar en Colombia, por

ejemplo, el Estatuto Anticorrupción, en Estados Unidos las Foreing Corrupt Practices Act (FCPA), y en el Reino Unido Bribery Act.

Existe un mayor enfoque regulatorio en la ética corporativa y asuntos de soborno centrándose en los programas de cumplimiento de la Organización. Los Comités de Auditoría centran su atención en sus propios procesos de denuncia, como son:

• ¿Todos los directivos y empleados de la Organización conocen el contenido del Estatuto Anticorrupción?

• ¿El Código de Ética incluye la prohibición de participar en actos de corrupción?

• ¿Operan efectivamente las denuncias?

• ¿Se asegura que las relaciones con instituciones del Gobierno se realicen con transparencia y con apego a la legalidad?

• ¿Las políticas, procedimientos, entrenamiento y comunicaciones relacionadas con el sistema de denuncias están actualizados?

• ¿El personal encargado del sistema de denuncias esta entrenado adecuadamente?

• ¿La administración entiende los riesgos globales de la Organización?

• ¿La Organización cuenta con un fuerte programa de cumplimiento alineado con su perfil de riesgo, incluido el entrenamiento de los empleados?

• ¿Existe un sistema de prevención y detección oportuna de actos de corrupción, especialmente en compras/ventas con organizaciones del Gobierno o en ciclos críticos de la Organización?

- 52 -Capítulo 3

3.11. Asuntos de cumplimiento fiscal local e internacional de la Organización Dentro del actual proceso de adhesión a la Organización para la Cooperación y Desarrollo Económico (OCDE), el país ha incorporado varios instrumentos internacionales a efectos de facilitar y dar cumplimiento a las recomendaciones impartidas por los miembros del organismo internacional.

La OCDE ha señalado que uno de los principales problemas fiscales que afrontan los Estados es la falta de información, por ello, dentro de su estrategia ha desarrollado la relevancia de la transparencia fiscal y el intercambio de información con fines tributarios, mediante instrumentos de intercambio entre Estados y la asistencia técnica mutua.

Colombia ha tenido una activa participación tanto en el desarrollo de las recomendaciones del Plan de Acción sobre Base Erosion and Profit Shifting BEPS20 como en la negociación de acuerdos internacionales que consagran el principio de transparencia fiscal; así pues, se ha adherido y promovido la firma de convenios de intercambio de información con varias jurisdicciones, ya sea por medio de instrumentos unilaterales, como la ley sobre cumplimiento fiscal de cuentas en el extranjero (FATCA), o multilaterales, como el Common Reporting Standard (CRS).

Por lo anterior, a continuación se presentan los principales comentarios de este proceso internacional y que son significativos para las organizaciones y los miembros de Junta Directiva:

3.11.1. Estrategia Base Erosion and Profit Shifting - BEPS

A partir del año 2012, la OCDE se encuentra evaluando las principales problemáticas de la tributación, local e internacional, y ha desarrollado una estrategia que compila y señala estos problemas y los mecanismos para combatir la erosión de las bases imponibles y la transferencia de beneficios BEPS.

Lo anterior surge como efecto de la implementación de esquemas de planeación tributaria internacional en algunos casos agresivos, donde las organizaciones logran reducir sus bases gravadas o transfieren sus actividades, activos o beneficios económicos hacia jurisdicciones donde existe una baja o nula tributación.

En este marco, el 5 de octubre de 2015, la OCDE presentó el documento final del Plan de Acción BEPS, con 15 acciones que persiguen cambios fundamentales en las reglas de tributación internacional, algunas de las cuales se incorporarán a la legislación interna y otras mediante la firma del instrumento multilateral que pretende una modificación de los actuales convenios bilaterales para evitar la doble imposición vigentes y que siguen el modelo OCDE.

Colombia, en un primer momento y como resultado de su proceso de adhesión, introdujo a la legislación fiscal la norma general antiabuso, la regulación sobre establecimientos permanentes, las reglas sobre sede efectiva de administración, las normas de precios de transferencia y estableció un listado de paraísos fiscales, entre otros.

La última reforma tributaria recoge varias de las recientes iniciativas del plan BEPS, entre otras, la revelación obligatoria de estrategias de planeación tributaria agresiva, el régimen de organizaciones controladas del exterior, la identificación del beneficiario efectivo, la cláusula general de abuso en materia tributaria, ciertas limitaciones al

20 Erosión de la Base y Traslado Artificial de Utilidades.


pago de regalías en el exterior y la adopción de la nueva documentación de precios de transferencia y el reporte país por país que debe ser entregado por las matrices de grupos multinacionales con sede en Colombia a la Administración Tributaria.

3.11.2. Acuerdos de intercambio de información

Los instrumentos de intercambio de información entre Colombia y gobiernos extranjeros no es un tema reciente, dado que, a partir del año 1992 se promulgaron normas orientadas a regular ciertos aspectos relacionados con la solicitud directa de información tributaria por la DIAN a gobiernos extranjeros a efectos de llevar a cabo el control fiscal sobre contribuyentes locales.

De la mencionada norma, se destacan cuatro elementos esenciales para adelantar ese procedimiento:

• Debe ser por medio de un acuerdo.

• Debe observarse el principio de reciprocidad en el intercambio de información.

• Debe consistir en información de orden tributario.

• La información debe corresponder exclusivamente para fines de control fiscal o en procesos fiscales o penales.

Así pues, la información recolectada por la administración a partir de los procesos de intercambio de información tributaria constituyen prueba dentro de los procesos fiscales, así como lo señala el numeral 6 del artículo 744 del Estatuto Tributario, dado que según esa información al haber sido obtenida a partir de un instrumento internacional se entiende que el proceso de legitimación se llevó a cabo.

En este mismo orden de ideas, el artículo 746-1 del Estatuto Tributario establece la facultad de las autoridades locales de practicar las pruebas que considere pertinentes

en territorio extranjero para recopilar el material probatorio necesario para llevar a cabo los procesos de fiscalización local. Así mismo, el artículo 746-2 otorga la posibilidad de que las autoridades extranjeras lleven a cabo una “inspección tributaria” en territorio nacional, observando los requisitos señalados en la ley o los instrumentos internacionales.

3.11.3. Instrumentos bilaterales

Los convenios para evitar la doble imposición (CDI) en su artículo 26 autorizan el “intercambio de información entre las autoridades fiscales de los Estados contratantes”. Así pues, es de vital importancia tener en cuenta que los CDI no solamente son mecanismos internacionales para definir la potestad tributaria, los cuales son benéficos para las organizaciones, sino que, adicionalmente, constituyen un medio para permitir el intercambio de información tributaria entre los Estados contratantes.

En la actualidad, Colombia ha suscrito acuerdos para evitar la doble imposición y prevenir el fraude fiscal con España, Chile, Canadá, México y Suiza y se encuentran en proceso de promulgación los de Corea, India, República Checa, Portugal y Francia.

3.11.4. FATCA

El Foreign Account Tax Compliance Act (Ley de Cumplimiento Tributario en el Exterior – FATCA, por sus siglas en inglés), se fijó como principal objetivo evitar la elusión de los contribuyentes estadounidenses, del pago de impuestos por la tenencia o propiedad de activos financieros en otros países. Dicha norma prevé una retención en la fuente del 30 % sobre los pagos de fuente estadounidense a organizaciones financieras del exterior, salvo si dicha Organización ha firmado un acuerdo para el envío de información de “Personas reportables en EE. UU”.

- 54 -Capítulo 3

Dado que las organizaciones financieras del país se encontraban sujetas al cumplimiento de las obligaciones planteadas en FATCA, el Gobierno colombiano suscribió un Acuerdo Intergubernamental (IGA), ratificado por la Ley 1666 de 2013, el cual hace obligatorio el cumplimiento de la Ley FATCA por las instituciones financieras colombianas y sus clientes; sin embargo, en virtud del mismo, las organizaciones financieras entregarán la información a la DIAN y esta entidad la intercambiará automáticamente con la Autoridad Tributaria Americana, respecto de personas naturales ciudadanas o residentes de EE. UU. y sociedades constituidas en EE. UU. o sociedades financieras pasivas que no siendo de Estados Unidos son controladas por personas residentes en ese País.

La anterior información está siendo reportada a la DIAN desde julio del año 2015.

3.11.5. Instrumentos multilaterales

Como se mencionó previamente, existen instrumentos multilaterales de intercambio de información, como es el caso del denominado “Common Reporting Standard” (CRS), mecanismo multilateral desarrollado y promovido por la OCDE, con la finalidad de establecer lineamientos para el intercambio de información financiera entre las autoridades tributarias miembros del acuerdo bilateral.

Ahora bien, Colombia ratificó el compromiso para implementar el CRS y, como consecuencia de ello, intercambiará información tributaria de forma automática con más de 45 países a partir de 2017; para tal efecto, la Dirección de Impuestos y Aduanas Nacionales (DIAN) emitió la Resolución 119 de noviembre de 2015, por medio de la cual se fijan los requisitos y lineamientos para llevar a cabo el reporte.

CRS exige a las instituciones financieras identificar dentro de sus clientes a aquellos que sean residentes, para efectos fiscales, en Estados distintos a Colombia, y reportar su información a la DIAN.

Adicional al anterior convenio, Colombia suscribió en mayo de 2012 la Convención de Asistencia Mutua en Materia Tributaria, la cual fue aprobada por la Ley 1661 de 2013 y se depositó el instrumento de ratificación en marzo de 2014.

El Acuerdo permite desde el año 2015 el intercambio automático y espontáneo de información tributaria relevante con 87 jurisdicciones que son parte de este.


Para ser consecuente con la evidente disrupción de los modelos de negocio, el Comité de Auditoría debe exhibir un cambio notable en la forma como ejecuta la supervisión, por lo que necesita mejorar su eficacia.

- 56 -

4. Herramientas de apoyo a la gestión de Juntas Directivas y Comités de Auditoría


En este capítulo presentamos once herramientas para apoyar la gestión de las Juntas Directivas y Comités de Auditoría; cada una de ellas debe adaptarse a las necesidades particulares de cada Organización.

4.1. Perfil de Espacios de Responsabilidad de las Juntas Directivas y Comités de AuditoríaAmbiente de Negocios Actual

1. La economía colombiana viene mostrando una tendencia de crecimiento sostenido, ¿cuán confiado se siente de que su Organización ha venido valorando las oportunidades para capitalizar tal crecimiento?

O Alto

O Medio

O Bajo

2. ¿Qué pasos seguirá su Organización durante el presente año para potenciar su crecimiento?

O Introducir / invertir en nuevos productos / servicios

O Mejorar los productos y servicios actuales

O Implementar reducciones de costos adicionales para mejorar la posición competitiva

O Buscar oportunidades de fusiones / adquisiciones

O Apuntar a una transformación del negocio, mediante la habilitación tecnológica, obtención de recursos, etc.

O Administrar la fijación de precios para aumentar la cuota del mercado

O Acceder a mercados emergentes / expansión internacional

O Trasladarse a negocios adyacentes

O Invertir en talentos / recursos humanos / habilidades

O Buscar financiación adicional

O Ninguno de los anteriores

O Otros (Especifique)

3. ¿En qué áreas radican las mayores oportunidades de optimización de costos / gastos en la búsqueda de mayor competitividad en un escenario de crecimiento económico del país?

O Revisión de procesos

O Utilización de IT en la operación

O Controles internos

O Riesgo de fraude

O Integridad de la información financiera

O Talento y capacitación de los empleados

O Desarrollo de la línea de liderazgo

O Cumplimiento antisoborno / anticorrupción y legal / regulatorio

O Administración de externalización / cadena de distribución prolongada

O Otras (Especifique)

- 58 -Capítulo 4

Gestión del Riesgo

4. ¿Cuál es el estatus del sistema / programa de gestión del Riesgo de su Organización?

O Se ha establecido un sistema de Gestión del Riesgo sólido y maduro

O Se ha implementado un sistema de Gestión del Riesgo, pero requiere un trabajo considerable

O El sistema de Gestión del Riesgo está en etapa de planificación / desarrollo

O No hay un esfuerzo activo / formal por implementar un sistema de Gestión del Riesgo formal

O Otro (Especifique)

5. ¿Está “dando resultados” la inversión de su Organización en gestión del riesgo en términos de la capacidad de la Organización de identificar, evaluar y gestionar los riesgos operacionales que enfrenta?

O Sí, en gran medida

O Sí, pero solo hasta cierto punto

O No está dando buenos resultados

O La Organización no ha hecho una inversión significativa en Gestión del Riesgo

6. ¿Está convencido de que la Junta Directiva / Comité de Auditoría entiende si la administración ha implementado controles eficaces para los riesgos operacionales significativos de la Organización?

O Sí

O No

O No está seguro

7. ¿Son adecuados los informes que recibe la Junta Directiva / Comité de Auditoría sobre los riesgos de cumplimiento y seguridad claves de la Organización como un sistema eficaz de “alerta temprana” para posibles problemas?

O Sí

O No

O No está seguro

8. En su opinión, ¿qué riesgo sistémico representa las mayores amenazas para su Organización?

O Riesgo económico y financiero

O Riesgo de lavado de activos o financiación del terrorismo (LAFT)

O Riesgo geopolítico

O Riesgo de la cadena de distribución

O Riesgo de la infraestructura crítica (electricidad, gas, telecomunicaciones, agua, transporte, etc.)

O Riesgo medioambiental / de cambio climático

O Riesgo de pandemia global (incluyendo terrorismo biológico)

O Riesgo cibernético (ataque a la infraestructura de IT global)

O Seguridad de los alimentos

O Desastre natural


9. En su opinión, ¿qué riesgos de la cadena de distribución representan las mayores amenazas para su Organización?

O Calidad del producto

O Servicio al cliente (tiempo de entrega, capacidad de respuesta)

O Visibilidad y control de la cadena de distribución

O Eficiencia / competitividad de la cadena de distribución

O Desastres naturales / terrorismo y conflictos

O Cumplimiento legal/regulatorio


10. ¿Cuán convencido está de que su Comité de Auditoría entiende el apetito al riesgo tributario de la Organización?

O Convencido

O Un poco convencido

O No está convencido

11. ¿Tiene su Comité de Auditoría una visión clara de la perspectiva que los analistas e inversionistas principales tienen sobre los riesgos significativos que enfrenta la Organización?

O Sí

O No

12. Además de los riesgos de información financiera, ¿de cuáles categorías de riesgo es su Comité de Auditoría responsable de supervisar? (Seleccione todas las que aplican)

O Riesgos financieros (por ejemplo, flujo de efectivo, acceso a capital, convenios de deuda)

O Riesgo LAFT

O Riesgos de cumplimiento legal / regulatorio

O Riesgo de seguridad de la IT y de privacidad

O Riesgos relacionados con el uso de redes sociales (Twitter, Facebook, Whatsapp, Youtube, Instagram, Linkedin, WeChat, QQ, Qzone, Snapchat, etc.21)

O Riesgos operacionales

21 Tenga en cuenta que existen al menos 30 redes sociales.


O Riesgos de RRHH / mano de obra

O Riesgos estratégicos

O Un “proceso de riesgos” en general

O Ninguna de las anteriores

O Otras (Especifique)

13. ¿Ha formado su Organización un Comité de Riesgo y/o designado un Director de riesgos (o un equivalente) para apoyar el programa de Gestión del Riesgo? (Seleccione todo lo que aplica)

O Si su respuesta es sí, el Comité de Riesgo incluye:

O solo directores no ejecutivos

O solo la administración ejecutiva

O tanto directores no ejecutivos como la administración ejecutiva

O La Organización no ha formado un Comité de Riesgo

O Sí, la Organización ha designado un director de riesgo (o un equivalente)

O La Organización no ha designado un director de riesgo (o un equivalente)

14. ¿Cuán convencido está de que el Comité de Auditoría escucha opiniones disidentes, incluyendo las que provienen de la administración media, en cuanto al ambiente de riesgo de la Organización y los controles relacionados?

O Convencido



15. ¿Cómo desarrolla su Comité de Auditoría, su entendimiento de los valores y la cultura ética de la Organización? (Seleccione todo lo que aplica)

O Encuestas a los empleados

O Comunicación informal frecuente con el director ejecutivo, el director financiero y otros ejecutivos superiores

O Comunicación con los empleados bajo el nivel C

O Visita a las ubicaciones físicas de la Organización

O Monitoreo de las quejas de los empleados, incluyendo las quejas de la línea de denuncias internas

O Obtención de datos del auditor externo

O Obtención de datos del auditor interno

O Otros (Especifique)

Información Financiera

16. ¿Hasta qué punto su Comité de Auditoría “profundiza” y revisa los supuestos claves subyacentes a los juicios y estimaciones contables importantes de la administración?

O En gran medida

O Hasta cierto punto

O Para nada

17. Se reúne su Comité de Auditoría (personal o telefónicamente) para revisar el comunicado sobre los resultados antes de emitirlo realmente? (Seleccione una opción)

O Sí

O No

O No, pero el borrador es revisado por el Presidente del Comité de Auditoría

18. Teniendo en cuenta el actual ambiente de riesgo, ¿cuán convencido está de que los informes narrativos de su Organización comunican adecuadamente la sensibilidad y los riesgos inherentes en los juicios y estimaciones contables de la Organización?

O Convencido



19. ¿Cree que las revelaciones de su Organización son demasiado complejas y voluminosas y que podrían ser más fluidas y claras?

O Sí

O No

20. En su opinión, ¿cuáles son los impedimentos significativos para lograr transparencia externa en los estados financieros de su Organización? (Seleccione todos los que aplican)

O Preocupaciones sobre la exposición legal (asesoría o consejo)

O Preocupaciones sobre la revelación de información competitiva

O Problema de “lenguaje común

O Reticencia a revelar información que pudiera ser vergonzosa

O Falta de transparencia interna

O No cree que los inversionistas debieran saber

- 60 -Capítulo 4

21. ¿Cuál de las siguientes presiones representan un riesgo para la integridad de los estados financieros de su Organización? (Seleccione todas las que aplican) Presiones para:

O Cumplir objetivos poco realistas de planificación y presupuesto del negocio (expectativas poco realistas del nivel Directivo)

O Cumplir las estimaciones y los pronósticos de los analistas sobre las ganancias

O Cumplir objetivos de compensación de incentivos

O Cumplir con convenios de deuda u obligaciones contractuales

22. ¿Hasta qué punto la Junta Directiva / Comité de Auditoría trata los temas de sostenibilidad / responsabilidad social empresarial?

O Los trata en las revelaciones de la Organización

O Los discute, pero no los incluye en las revelaciones

O No los discute

O No los discute, pero debería

23. ¿Tiene un plan, y tiempo en la agenda, para educar a su Comité de Auditoría sobre nuevas normas y pronunciamientos de contabilidad que pueden tener un impacto en su Organización?

O Sí

O No

24. ¿Ha discutido su Comité de Auditoría/Junta la política de la Organización sobre el uso de Twitter y otras redes sociales para contactarse con inversionistas y clientes?

O Sí

O No

Cumplimiento Legal / Regulatorio

25. ¿Cuán seguro está de que el (los) programa(s) de cumplimiento de su Organización es (son) eficaz (ces) al administrar riesgos relacionados con el cumplimiento transfronterizo/ anti-soborno y anticorrupción?

O Seguro

O Un poco seguro

O No está seguro

26. ¿Ha recibido su Comité de Auditoría un resumen de la Ley contra la Corrupción de Colombia y otros países?

O Sí

O No

O La Organización no hace negocios con otros países

27. ¿Entrega el Director de cumplimiento de su Organización (o su equivalente) informes al Comité de Auditoría por lo menos una vez al año sobre el estatus del programa de cumplimiento relacionado con anticorrupción y asesora de manera oportuna sobre materias que implican posibles conductas criminales?

O Sí

O No

O No está seguro

28. ¿Existen canales formales para el reporte por parte funcionarios o terceros en general de hechos de corrupción o situaciones que implican posibles conductas criminales?

O Sí

O No

O No está seguro

Riesgo de IT y Tecnologías emergentes

29. ¿Está convencido de que su Junta / Comité de Auditoría posee un proceso eficaz para supervisar los riesgos significativos de IT de la Organización?

O Sí

O No

30. ¿Ha recibido su Comité de Auditoría resúmenes sobre los planes de la Organización de usar información en la nube (cloud computing)?

O Sí

O No

O La administración señala que no tiene planes de usar un disco duro virtual

31. ¿Cuán eficaz es el proceso de planificación estratégica de su Organización al tratar con el ritmo de la innovación y el cambio tecnológico en el negocio?

O Muy eficaz

O Un poco eficaz

O No es eficaz

O No está seguro

32. Durante el año pasado, ¿sobre cuáles de los siguientes temas ha recibido su Comité de Auditoría o Junta actualizaciones de parte del director de informática de la Organización o su equivalente? (Seleccione todos los que aplican)

O Planes de la Organización para el uso de información en la nube

O Políticas de la Organización respecto al uso de redes sociales

O Política de seguridad de la información de la Organización


O Cómo la Organización está administrando los riesgos presentados por las tecnologías emergentes

O Cómo la Organización planea aprovechar las tecnologías emergentes

O Riesgos de externalizar la IT de la Organización

O Ninguno de los anteriores

O Otro (Especifique) Investigaciones Especiales y Gestión de Crisis

33. ¿Cómo caracterizaría el plan de preparación y respuesta ante crisis de la Organización? (Seleccione todos lo que aplican)

O Sólido y preparado

O Probado activamente o “armado para la guerra”

O Incluye un plan de comunicaciones

O Inadecuado, dados los desafíos particulares de la organización

O No está satisfecho con el plan de la Organización

O No está seguro

34. ¿Cuán convencido está usted de que su Organización, incluyendo el Comité de Auditoría o la Junta, está lista para responder en caso de una crisis “viral” a través d las redes sociales?

O Convencido



O No está seguro

Interacción con el Director Financiero

35. Considerando la posición competitiva y los desafíos estratégicos de su Organización en el futuro, ¿cuán convencido está de que el director financiero y la organización financiera poseen las habilidades y recursos requeridos para ser eficaces?

O Convencido



36. ¿Cuán satisfecho está del nivel de transparencia, es decir, comunicaciones abiertas y sinceras y el flujo de información, entre el director financiero / organización financiera y el Comité de Auditoría?

O Satisfecho

O Un poco satisfecho

O Insatisfecho (Explique)

Interacción con los Auditores

37. ¿Cuán satisfecho está con el apoyo que su Comité de Auditoría recibe de la firma de Auditoría Externa / Revisoría Fiscal y los especialistas técnicos, incluyendo la oficina nacional de la firma?

O Satisfecho

O Un poco satisfecho

O Insatisfecho (Explique)

38. ¿Con cuánta frecuencia provee la Auditoría Interna evaluaciones de los procesos de Gestión del Riesgo de la Organización al Comité de Auditoría? (Seleccione una opción)

O Una vez al año

O Dos veces al año

O Trimestralmente

O Otra (Especifique)

O La Auditoría Interna no provee dichas evaluaciones

39. ¿Cuán convencido está de que el plan de Auditoría Interna de su Organización se basa en el riesgo y se enfoca en los riesgos críticos, incluyendo los riesgos estratégicos, operacionales, de información financiera y de cumplimiento?

O Convencido



40. ¿Cuán satisfecho está con la calidad de la información que su Comité de Auditoría recibe en conexión con cada una de las siguientes áreas de supervisión? (Seleccione un nivel de satisfacción para cada área)

O Extender el plan de auditoría a las principales áreas de riesgo (p. ej., seguridad informática y principales riesgos operacionales y tecnológicos) y controles relacionados

O Mantener la flexibilidad del plan de auditoría para ajustarlo al negocio cambiante y las condiciones de riesgo

O Extender el plan de auditoría hacia la efectividad del proceso de gestión de riesgo de la Organización en general

O Mejorar el talento y la experiencia dentro de la organización de la Auditoría Interna

O Ayudar a evaluar/“auditar” la cultura de la organización

O La Organización no tiene una función de Auditoría Interna

- 62 -Capítulo 4

41. ¿Cuán satisfecho está con la calidad de la información que su Comité de Auditoría recibe en conexión con cada una de las siguientes áreas de supervisión? (Seleccione un nivel de satisfacción para cada área)

Satisfecho Un poco satisfecho Insatisfecho

Supuestos subyacentes de los juicios y estimaciones contables de la administración

Revelaciones

Ambiente de control general de la Organización

Riesgos estratégicos que enfrenta el negocio

Riesgo de liquidez

Valores corporativos y cultura ética

Riesgo de IT

Riesgo tributario

Riesgo de fraude y corrupción

Cumplimiento legal y regulatorio

Plan de trabajo de auditoría interna


42. Califique la eficacia de su Comité de Auditoría en las siguientes áreas:

Eficaz Un poco eficaz Necesita mejorar

Reglas y/o estatutos formales aprobados por la Junta Directiva o Consejo que definan responsabilidades y atributos

Composición, equilibrio y diversidad de habilidades, antecedentes y perspectivas

Liderazgo independiente

Líneas de comunicación abiertas con la Alta Dirección, Auditores independientes e Internos.

Prioridad de la agenda del Comité como una manera de enfocarla en los temas más importantes (versus los ítems de la “lista de verificación”)

Presupuesto propio de recursos, disponibilidad y tiempo para el desarrollo de su gestión.

Metodologías de autoevaluación que midan el grado de su contribución y establecimiento de planes de mejora de su gestión en la Organización.

Supervisión de la exactitud/ integridad de la información financiera

Cuestionamiento a la administración y aplicación de escepticismo suficiente

Evaluación del desempeño del Director financiero

Planificación de la sucesión del Director financiero

Vínculo entre riesgo y estrategia

Capacidad de mantenerse actualizado e informado de los cambios que impactan a la Organización (por ejemplo, contables, regulatorios, tecnológicos y de globalización)

- 64 -Capítulo 4

43. ¿Cuáles, si aplican, de las siguientes áreas representan una preocupación significativa para usted en términos de la preparación de la Organización para la declaración de impuestos de país a país de la OECD (primer informe el 31 de diciembre de 2017 para las organizaciones de año calendario)? (Seleccione todas opciones las que aplican?

O La Organización no es afectada

O Falta de claridad o comunicación con el Comité de Auditoría sobre este asunto a la fecha

O Identificación de los cambios en los sistemas y procesos que serán necesarios para cumplir con las nuevas exigencias de documentación

O Reevaluación de las estrategias de los precios de transferencia e identificación de aquellos que es más probable desafiar

O Desarrollo de un plan de comunicaciones para explicar e interpretar los datos de país a país y defender nuestras estrategias de precios de transferencia

O No hay preocupación sobre la preparación de la Organización

O Otra

44. ¿Usa su Junta / Comité de Auditoría un portal en línea donde los directores pueden acceder a información confidencial de la Organización, incluyendo materiales previos a las reuniones?

O Sí

O Si su respuesta es “sí”,

¿Entrega la Organización una tableta portátil (es decir, iPad u otro dispositivo portátil) a los miembros de la Junta para acceder al portal de la Junta?

O No

O No, pero se está considerando crear un portal de la Junta

45. Como miembro del Comité de Auditoría, ¿de qué persona de la administración le gustaría saber con más frecuencia? (Seleccione todos los que aplican)

O Director de riesgo (o su equivalente) O Director de informática O Director de auditoría O Director de cumplimiento (o su equivalente) O Director de impuestos O Jefes de administración del nivel medio / de unidades de

negocios O Otra (Especifique)

46. ¿En qué medida producen las dinámicas de su Comité de Auditoría un “pensamiento grupal” y desalientan las opiniones disidentes?

O En gran medida

O En cierta medida

O Para nada

47. Está satisfecho de que su comité de auditoría tenga el tiempo y la experiencia para supervisar los principales riesgos de su agenda, además de llevar a cabo sus principales responsabilidades de supervisión

Tiempo

O Sí O Sí, pero es cada vez más difícil O No

Experiencia O Sí O Sí, pero es cada vez más difícil O No

48. En su opinión, ¿cuáles son las brechas más importantes en la capacidad que tiene su compañía para gestionar el riesgo cibernético? (Seleccione máximo dos)

O Mantener los sistemas tecnológicos actualizados O Consciencia / cultura organizacional O Vulnerabilidad por parte de terceros / cadena de suministros O Talento / conocimientos O Monitoreo y reporte de ciberamenazas O Riesgo de “personas” internas O Disponibilidad y respuesta / contención de brechas O No hay brechas significativas O Otra

49. ¿A qué áreas de supervisión le gustaría que su Comité de Auditoría dedicara más tiempo durante los próximos 12 meses?

O Gestión del riesgo en general O Temas de los estados financieros (por ejemplo, valor

razonable, deterioro de activos, revelaciones) O Impacto de iniciativas de políticas públicas (por ejemplo,

salud, medio ambiente, energía, regulación financiera) sobre los procesos de información, cumplimiento, riesgo y control de la Organización

O Controles internos O Liquidez, acceso a capital y flujo de efectivo O Estrategia corporativa O Valores corporativos y cultura ética O Cumplimiento legal/regulatorio (incluyendo

leyes antisoborno) O Riesgo de IT y tecnologías emergentes O Auditoría Interna O Riesgo tributario O Riesgo de fraude y corrupción O Globalización y organización ampliada, cadenas de

distribución, externalización, etc. O Sostenibilidad y responsabilidad social empresarial O Otra (Especifique)


50. Durante los últimos tres años, ¿qué enfoques ha usado su Comité de Auditoría para llevar a cabo su autoevaluación?

(Seleccione todos los que aplican)

O Cuestionarios completados por los miembros del Comité de Auditoría

O Entrevistas confidenciales con miembros del Comité de Auditoría sobre el desempeño de todo el Comité de Auditoría

O Evaluaciones de miembros individuales del Comité de Auditoría

O Evaluaciones en 360° en las cuales el Comité de Auditoría ha solicitado retroalimentación respecto al desempeño del Comité de parte de sus miembros, otros directores, así como de la administración que tiene interacción con el Comité de Auditoría


51. ¿Cuán convencido está de que el actual enfoque de autoevaluación de su Comité de Auditoría mejora su eficacia?

O Convencido


O Necesita mejora

O No hemos implementado un proceso de autoevaluación en el Comité de Auditoría

52. ¿Qué podría mejorar la efectividad general de su comité? (Seleccione máximo tres opciones)

O Mejor entendimiento del negocio y los riesgos

O Experiencia adicional, seguridad tecnológica/cibernética

O Mayor disposición y habilidad para desafiar la gerencia

O Mayor diversidad de pensamiento, conocimientos, perspectivas y experiencias

O Experiencia más profunda en información financiera y auditoría

O Experiencia adicional, conocimiento de la industria, riesgo, internacional u otras áreas

O Mayor compromiso de los miembros del comité

O Traer “pensadores nuevos” al comité

O Mejores materiales previos a las reuniones

O Gestión mejorada de las agendas de las reuniones

O Plan de sucesión claro para el presidente/los miembros del Comité de Auditoría

O Destitución de directores con bajo rendimiento

O Mejor química/dinámica

O Otro

53. ¿Qué cosa ha hecho su Comité de Auditoría, sea grande o pequeña, que usted encuentra particularmente útil al desempeñar sus responsabilidades de supervisión? (Explique)

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

54. ¿Qué tema o riesgo vislumbra en el horizonte, o cercano, que cree pueda transformarse en un tema significativo para los Comités de Auditoría/Juntas durante los próximos años? (Explique)

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

- 66 -Capítulo 4

4.2. Modelo de Reglamento del Comité de AuditoríaUna buena práctica del Comité de Auditoría requiere una definición formal de su naturaleza, forma de operación, alcance y responsabilidades, entre otros aspectos, a través de un documento denominando Estatuto o Reglamento del Comité de Auditoría, el presente modelo representa únicamente un ejemplo el cual debe ser adaptado por las organizaciones de acuerdo a sus características y operación determinada.

El estatuto o reglamento del Comité de Auditoría normalmente cubre los siguientes aspectos:

• El propósito del Comité, que debe, como mínimo, ser:

– Asistir a la Junta Directiva en la supervisión de la integridad de los estados financieros de la Organización, el cumplimiento de los requisitos legales y reglamentarios, la evaluación de la independencia de los auditores externos, y los resultados de las auditorías internas;

– Revisar las revelaciones de información financiera según las normas contables pertinentes.

• Objeto del Estatuto, determinación de principios de actuación, establecimiento de régimen interno y reglas de funcionamiento.

• Integración o composición, miembros independientes, duración, remuneración funciones y reuniones del Comité.

• Designación del Presidente y nombramiento de reemplazo en ausencia de este.

• Actas y Secretario del Comité

• Medios de convocatoria

• Quórum deliberatorio y decisorio

• Invitados al Comité

• Independencia, formación y competencias de los miembros del Comité

• Autonomía y facultades del Comité• Las funciones y responsabilidades del Comité de Auditoría,

que deben incluir lo siguiente:

– Revisión del informe anual presentado por los auditores externos e internos de la Organización.

– Revisión de los estados financieros de la Organización.

– Discutir sobre la evaluación del riesgo y las políticas de Gestión del Riesgo de la Organización.

– Reunión periódica con la administración, los auditores internos y auditores externos para mirar avances en sus planes de trabajo.

– Revisión de los asuntos relevantes de auditoría con cada uno de los auditores externos de la Organización.

– Supervisar el establecimiento de políticas de contratación de empleados o ex empleados de los auditores externos.

– Aprobación del plan anual de Auditoría – Proponer a la Junta Directiva la designación de Revisor Fiscal / Auditor Externo

– Aprobación previa de los servicios prestados por los auditores y de algunos servicios no relacionados con la auditoría financiera o asesoría como tal.

– Revisar la independencia de los Revisores Fiscales / Auditores Externos

– Presentación regular de información a la Junta Directiva – Asegurar que el Código de Buen Gobierno se actualiza periódicamente.

– Revisión de las debilidades significativas relacionadas con la evaluación del sistema de control interno

– Revisión de los protocolos de Ética Empresarial y resultados de investigaciones

– Revisión de las políticas y prácticas sobre prevención del lavado de activos

– Autoevaluación del desempeño del Comité – Los demás aspectos contenidos en la Ley

• Otros aspectos que puede contener el estatuto, como parte de las responsabilidades del Comité son:

– Contratación de expertos o asesores

– Revisión de informes a la Junta Directiva, Asamblea General de Accionistas y Administración de la Organización.

– Modificación del Reglamento del Comité


4.3. Modelo de agenda del Comité de AuditoríaLas agendas de los Comités de Auditoría ofrecen un importante punto de vista, no shlo para los Directores y la Administración, de algunos de los temas críticos que enfrenta la Organización en el entorno actual. Una visión más profunda puede venir de conocer dónde el Comité de Auditoría quiere dedicar más de su tiempo en el orden del día.

A continuación presentamos un grupo de temas importantes que usualmente hacen parte de las agendas de los Comités de Auditoría:

• Mantenerse focalizado en la principal prioridad de un Comité de Auditoría: generación y presentación de información financiera y riesgos asociados al sistema de control interno de reporte de información.

• Monitorear estimaciones contables que involucren alto nivel de juicio o presunciones de la administración, prepararse para los cambios contables y entender cómo estos impactan la Organización y sus recursos.

• Discutir políticas contables significativas, estimaciones contables, cambios contables significativos, informes del Auditor, entre otros aspectos.

• Considerar si los estados financieros y las revelaciones de los mismos cuentan la historia completa de la Organización y se hace de manera adecuada.

• Discutir con la administración resultados financieros consolidados.

• Discutir con el Auditor Externo los resultados financieros consolidados.

• Discutir deficiencias o debilidades en el control interno sobre los informes financieros.

• Discutir cualquier fraude sobre la información financiera.

• Procedimientos para recibir, investigar y solucionar fraudes o denuncias asociados con métodos contables, control interno o auditoría.

• Atención a los planes de crecimiento e innovación de la Organización.

• Reevaluar la vulnerabilidad de la Organización frente a posibles interrupciones del negocio.

• Entender cómo los cambios tecnológicos e innovación están cambiando el escenario del negocio y su impacto en la Organización.

• Considerar el impacto del ambiente regulatorio y los programas de cumplimiento en el plan de negocios.

• Monitorear la independencia y transparencia del Auditor Externo.

• Seguimiento al desempeño del Auditor Externo.

• Participación en el proceso de selección del auditor externo (Recomendación).

• Evaluar de manera previa los servicios a ser provistos por el Auditor Externo y determinar si tiene objeción o no con la participación del Auditor.

• Actualización de los códigos internos de conducta y las reglas de gobierno corporativo de la Organización, cumplimiento y aplicación de los mismos.

• Revisar el programa de atención de denuncias e investigaciones por fraude o conductas indebidas.

• Evaluar la calidad de los controles del negocio alrededor de los principales riesgos estratégicos y operacionales y considera posibles lecciones aprendidas.

• Identificar y evaluar las políticas y procesos de la sociedad para medir y gestionar los principales riesgos financieros de forma integrada y global en la Organización

• Seguimiento al nivel de exposición de la Organización frente a terceras partes, ejemplo, contratistas, modelos de operación, exposición a riesgos financieros.

• Valorar el grado de preparación de la sociedad para responder y recuperarse de los principales riesgos financieros a los cuales puede estar sujeto la Organización.

• Entender los riesgos significativos de impuestos y como estos están siendo administrados por la Organización.

• Establecer expectativas claras frente a la función de los auditores internos y externos.

• Analizar los temas de cumplimiento en materia legal y regulatoria que podrían causar un impacto significativo en los estados financieros de la sociedad.

• Revisar la estructura de gobierno asociada a riesgos de IT.

• Comprender los riesgos generados por la reducción de costos incurridos en respuesta a crisis económicas.

• Asegurarse de que la Auditoría Interna esta enfocada correctamente y se utilizó en su totalidad.

• Seguimiento al plan de Auditoría Interna y planes de mejora.

• Seguimiento al plan del director de cumplimiento y planes de mejora.

• Autoevaluación y mirada fresca a la composición del Comité de Auditoría, en términos de independencia y competencias.

• Liderar el desarrollo de cambio cultural en términos de cultura de riesgos y control.

- 68 -Capítulo 4

4.4. Revisión del perfil de riesgo de la OrganizaciónEste cuestionario está basado en la metodología de KPMG, CBRA (Comprehensive Business Risk Assesment) y es diseñado para asistir en la identificación de fortalezas y áreas de mejoramiento para la situación actual del perfil de riesgos de la Organización.

Apoyo a la Alta Dirección

Elementos de enfoque Totalmente Totalmenteen desacuerdo de acuerdo

El Sistema de administración de riesgos tiene el apoyo de la Gerencia y la Junta Directiva 1 2 3 4 5

Existe un ejecutivo líder de alto nivel que apoya la gestión de riesgos en la Organización 1 2 3 4 5

Se ha establecido en la Organización una filosofía de gestión de riesgos y cultura de riesgos a nivel de alta dirección 1 2 3 4 5

El conocimiento y compromiso de la alta dirección sobre gestión de riesgos se ha desarrollado a través de entrenamiento y capacitación 1 2 3 4 5

Políticas y Organización


Hay una responsabilidad compartida para el manejo de riesgos y fomentar el compromiso con el sistema de gestión de riesgos. La Organización formalmente refuerza la responsabilidad y compromiso, por ejemplo a través de evaluaciones de desempeño e incentivos

1 2 3 4 5

La Organización ha establecido:• Un comité de manejo de riesgos• Un área independiente• Un líder de riesgos

1 2 3 4 5

La organización ha preparado una definición escrita de riesgos 1 2 3 4 5

Hay una política escrita sobre gestión de riesgos que se use en la actualidad 1 2 3 4 5

Se ha desarrollado a nivel corporativo un perfil de riesgos de la Organización 1 2 3 4 5

La gestión de riesgos ha sido integrada dentro de la toma de decisiones, por ejemplo por:

• Alineación con la misión, visión y objetivos corporativos• Alineación del manejo de riesgos con los objetivos de todos los niveles

de la Organización• Incluyen el manejo de riesgos en la planeación estratégica actual y los

procesos operacionales• Comunicación de directrices corporativas para la actual planeación estratégica

y los procesos operacionales• Comunicación de directrices corporativas sobre niveles aceptables de riesgo

1 2 3 4 5



Los resultados del manejo de riesgos se han integrado en las políticas, planes y prácticas del día a día y los informes de desempeño. Por ejemplo, los informes de desempeño facilitan el aprendizaje, disminuyen la improvisación en la toma de decisiones, aseguran los logros, controlan las fallas y pueden comunicar la información sobre mejores prácticas y lecciones aprendidas

1 2 3 4 5

El manejo de riesgos actual sistemáticamente determina la valoración de los riesgos. Por ejemplo considera:

• Impacto (insignificante a catastrófico)• Probabilidad (rara vez a casi seguro) de que un evento ocurra o algún otro

método de comprensión del riesgo

1 2 3 4 5

La Organización ha determinado su apetito de riesgo, es decir, el nivel de riesgo que la organización está preparada para aceptar 1 2 3 4 5

La organización ha determinado su capacidad de riesgo, es decir el nivel de riesgo que la Organización no está preparada para exceder 1 2 3 4 5

Hay claramente definidos unos parámetros para el aseguramiento o mantenimiento del nivel aceptable de riesgo residual, es decir, para aquellos riesgos que aún se presentan después de las acciones de gestión, procesos y controles que han sido considerados para administrarlos

1 2 3 4 5

La Organización ha implementado estrategias basadas en las situaciones específicas de riesgo y exposición al riesgo para direccionar:

• Recursos humanos con conocimiento de riesgo en la organización y de negocios y con habilidades para la gestión de riesgos

• Herramientas, desarrollo de procesos y técnicas para la gestión de riesgos corporativos, adoptar procesos que aseguren la implementación de la gestión de riesgo a lo largo de la Organización

1 2 3 4 5

La administración ha determinado la frecuencia para el análisis y evaluación de riesgos 1 2 3 4 5

Hay formalizadas y comunicadas prácticas de gestión de riesgos que estén claramente comunicadas y sean aplicadas en todos los niveles

• Compromiso de toda la Organización desde arriba• Talleres de cara a cara para desarrollo de soportes

1 2 3 4 5

- 70 -Capítulo 4

Implementación y Ejecución


Un proceso común y formal de gestión de riesgos ha sido establecido para el entendimiento, gestión y comunicación del riesgo 1 2 3 4 5

El proceso de gestión de riesgos ha sido establecido a:• Nivel corporativo/de la Organización• Niveles de unidades de negocio

1 2 3 4 5

El proceso de gestión de riesgos es continuo para asegurar que se mantenga relevante 1 2 3 4 5

Las fuentes y clases de riesgo han sido identificados (p. ej., económico, político, eventos naturales, humanos, financieros, mercados, cumplimiento legal y normativo)

1 2 3 4 5

La “capacidad de riesgo” que es el nivel de riesgo que la Organización no está preparada para exceder ha sido determinada (p. ej., pérdidas > $10 millones) 1 2 3 4 5

El “apetito de riesgo” que es el nivel de riesgo que la Organización está preparada para aceptar ha sido determinado (p. ej., pérdidas hasta de $1 millón) 1 2 3 4 5

Un proceso y criterio sistemáticos han sido establecidos para definir parámetros cuantitativos y cualitativos para la clasificación de riesgos. Por ejemplo, hay un proceso para:

• Determinar la “probabilidad” (rara vez hasta muy frecuente) de un riesgo o evento que ocurra

• Medir el “impacto” (desde “insignificante”, por ejemplo, perdidas < $5000 hasta “catastróficas” por ejemplo pérdidas > $10 millones)

• Posicionar el riesgo basado en la probabilidad y el impacto (p. ej., extremo, alto, medio y bajo)

1 2 3 4 5

Para los riesgos críticos la Organización ha establecido procesos y herramientas específicas para:

• Minimizar el riesgo y las amenazas (p. ej., control y manejo financiero)• Maximizar las oportunidades (p. ej., procesos de negocio)

1 2 3 4 5

Los riesgos y la efectividad de respuesta de la administración para su gestión son monitoreadas para asegurar que los cambios no alteren las prioridades en los riesgos o para ajustarlos. La Organización ha establecido evaluación y mecanismos de informe para las actividades de gestión de riesgos tales como:

• Informes de rendimiento• Monitoreo de seguimiento• Evaluación

1 2 3 4 5


Herramientas – La Organización usa las siguientes o similares herramientas o técnicas


Varias herramientas tecnológicas y técnicas se usan para la gestión de riesgos 1 2 3 4 5

Un Modelo de Negocios a nivel de la Organización y/o una estructurade las cinco fuerzas de porte o PEST se usan para entender el entorno y negocio de la Organización

1 2 3 4 5

Existe un análisis de Riesgo/Retorno para calcular el apetito y la capacidad de riesgo 1 2 3 4 5

Existe una matriz de Riesgos del Negocio para:• Identificar riesgos netos y residuales que amenacen el alcance

de los objetivos• Definir parámetros (impacto y probabilidad) para la clasificación del riesgo• Aseguramiento de la significación del riesgo a un nivel corporativo

y de negocio

1 2 3 4 5

Perfil de riesgos para:• Identificar respuestas (p. ej., procesos de negocio y controles) a los riesgos• Identificar los procesos de negocio usados para gestionar los riesgos 1 2 3 4 5

Herramientas de modelación para análisis de escenarios, estudios y pronósticos 1 2 3 4 5

Técnicas cualitativas tales como talleres, cuestionarios y auto evaluaciones 1 2 3 4 5

Internet e intranet de la Organización para promover conocimiento y gestión de riesgos, compartiendo información interna y externamente 1 2 3 4 5

Evaluación de las prácticas en la Gestión de Riesgo de la Organización contra las mejores prácticas de la industria 1 2 3 4 5

- 72 -Capítulo 4

4.5. Revisión de la responsabilidad del Comité de Auditoría sobre los reportes financierosConsiderando que la evaluación de los estados financieros es una de las principales responsabilidades del Comité de Auditoría, este deberá realizar una serie de revisiones, indagaciones y evaluaciones a la información financiera, que incluyen aspectos y preguntas como los siguientes:

• Discutir políticas contables significativas, estimaciones contables, cambios contables significativos, informes del Auditor, entre otros.

• Cuáles son las implicaciones contables de las transacciones nuevas y significativas.

• Cuáles son los efectos de cambios en los principios contables.

• La tendencia de los métodos de aplicación de tales principios contables es de alto riesgo o conservadora.

• El uso de reservas y acumulaciones.

• El uso de estimaciones y juicios importantes en la preparación de los estados financieros.

• Métodos seguidos por los auditores para la evaluación del riesgo contable y los resultados obtenidos.

• Áreas de alto riesgo en los estados financieros.

• Discutir con la Administración resultados financieros consolidados.

• Discutir con el Auditor Externo los resultados financieros consolidados.

• Discutir sobre deficiencias o debilidades en el control interno sobre los informes financieros.

• Discutir cualquier fraude sobre la información financiera.

En términos de un adecuado sistema de control interno sobre generación o informe con respecto a información financiera, el Comité puede hacer indagaciones o revisiones de aspectos, como los siguientes:

• ¿Se han documentado políticas y procedimientos adecuados para asegurar que las políticas contables, prácticas y procedimientos cumplen con la naturaleza y contenido de los principios contables locales y los internacionales?

• ¿Se han comunicado adecuadamente las políticas y procedimientos financieros para asegurar que los empleados que necesitan conocerlos las entienden completamente?

• ¿Se han dispuesto los procedimientos suficientes y adecuados para asegurar el cumplimiento de las políticas y procedimientos financieros y dicho cumplimiento ha sido adecuadamente documentado?

• ¿Tienen los empleados conocimiento de la sección de proceso de informes financieros sobre la política de ética general de negocios y cortesías y han sido todas las infracciones comunicadas a la Administración Legal de la Organización?

• ¿Se han comunicado todos los conflictos de intereses actuales y potenciales a la Administración Legal de Asuntos Corporativos, como se explica en el código corporativo de Políticas de Conducta y Ética de negocios XYZ?

• ¿Se han comunicado todas las demandas y procedimientos legales o administrativos pendientes a la Administración Legal de Asuntos Corporativos?

• ¿Se han comunicado a la Administración Legal de Asuntos Corporativos y al Comité de Auditoría todas las actividades fraudulentas, independiente de su nivel de materialidad?

• No han existido incumplimientos de instrumentos de deuda durante el trimestre. Si es así, describa brevemente e indique si se han revelado los detalles a la Tesorería y Finanzas Corporativas.

• No se han registrado contratos de gran relevancia en el trimestre. Si es así brevemente describa e indique si los detalles se remitieron a la Administración.

• Ninguna Firma certificada de servicios de contabilidad ha sido contratada para ningún proyecto diferente al de la auditoría anual de los estados financieros. Si es así, provea una breve descripción e indique si la relación ha sido revelada a la Administración.

• No se han presentado cambios significativos en los sistemas de control interno o estructura del ambiente del control interno.


4.6. Revisión de riesgos de continuidad de negocioAplicando la siguiente encuesta pretendemos establecer el entendimiento que tiene su Organización de la importancia de contar con un plan de Continuidad de Negocio. El siguiente cuestionario lo lleva paso a paso (metodológicamente) en el correcto desarrollo para la implementación de un Plan de Continuidad de Negocio.

1. ¿Conoce “le han presentado” los resultados de análisis de riesgos asociados con continuidad de negocio?

a. Sí

b. No

2. ¿Los riesgos de continuidad a los que está expuesta su Organización han sido identificados, están siendo monitoreados y tienen un responsable de mitigación?

a. Sí

b. No

3. ¿Conoce “le han presentado” los resultados del análisis de impactos (por sus siglas en inglés BIA)?

4. ¿Las estrategias de continuidad están enfocadas en los pilares de continuidad (personas, infraestructura tecnológica, infraestructura física, proceso)?

e. Ninguna de las anteriores (no conozco las estrategias de continuidad)

f. Todos los pilaresg. Solo tecnología

5. ¿Existe una estructura de continuidad?, ¿con comités para tal fin?, ¿estos comités están conformados por miembros de alto nivel?, ¿esta estructura cuenta con procedimientos de administración de crisis?

a. Ningunab. Medianamentec. Conforme totalmente

6. ¿Existe un plan de continuidad de negocio para su Organización? ¿Este plan cuenta con procedimientos de recuperación para las operaciones críticas y el retorno a las operaciones normales y estos procedimientos están claramente documentados?

a. Ninguno (no lo conozco)b. Medianamentec. Conforme totalmente

7. ¿Existen procedimientos alternos para cada pilar (personas, tecnología, infraestructura física y procesos)? Por ejemplo: ¿sabe dónde se desarrollarían las actividades críticas de su Organización en caso de no poder acceder a las instalaciones tradicionales?


8. ¿Conoce de los planes de pruebas del plan de continuidad?, ¿le han pedio su participación como responsable en alguna medida de la administración de crisis? “Plan de pruebas es un documento generalmente anualizado que programa las pruebas de escritorio, por componente e integradas”.


9. ¿Cuenta su Organización con campañas de sensibilización en temas de continuidad?, ¿las campañas obedecen a un plan estructurado de aplicación?


10. ¿Cuenta su Organización con campañas internas que busquen gestionar conflictos internos que puedan afectar la continuidad del negocio?


11. ¿Algún área de control (interna y/o externa) de su Organización le ha presentado los resultados de las auditorías y/o revisiones del tema de continuidad, tendiente a las mejores prácticas y/o cumplimiento regulatorio de la Superintendencia Financiera, Superintendencia de Sociedades, entre otra?

a. En ninguna medidab. Mejores prácticasc. Cumplimiento regulatoriod. Conforme totalmente (ambas)

- 74 -Capítulo 4

4.7. Revisión de riesgos de fraude, corrupción y lavado de activosPrevención de fraudes, corrupción y lavado de activos

Cuestionario de autoevaluación

El cuestionario y la evaluación de la lucha contra el lavado de dinero, prevención de fraudes, y corrupción no es una lista de verificación y no es ni exhaustiva ni prescriptiva. Se ha diseñado para que las organizaciones se enfoquen en las áreas clave y que les permita evaluar si tienen una gestión eficaz de sus riesgos de negocio y cumplimiento de sus obligaciones legales y obligaciones reglamentarias para prevenir el lavado de dinero, financiamiento del terrorismo, fraudes y corrupción.

Debajo de cada pregunta hay una escala de confianza del 1 al 10, donde 1 representa el menor nivel de confianza y 10 representa el mayor nivel de confianza. Cuando haya respondido a cada pregunta, puede resultar útil anotar su nivel de confianza con cada una de sus respuestas. Esto le ayudará a determinar qué políticas y procedimientos, y sistemas y controles necesita mejorar para asegurarse de que tiene un efectivo programa de prevención de Fraude, Corrupción y Lavado de Activos.

¿El cuerpo directivo de su Organización asume la responsabilidad total de los sistemas y controles de la prevención de fraudes, corrupción y lavado de activos?

¿El cuerpo directivo de su Organización comprende plenamente el marco legal y regulatorio, para ellos personalmente y para la Organización, de participar en la financiación de lavado de dinero y el terrorismo?

¿El cuerpo directivo de su Organización tiene injerencia en la aprobación de las políticas y procedimientos para el sistema de autocontrol y gestión del riesgo LAFT, así como sus actualizaciones?

¿El Consejo de Administración de su Organización recibe información sobre la gestión ordinaria que le permita tomar decisiones informadas sobre el lavado de dinero y financiamiento del terrorismo que enfrenta la Organización para que pueda cumplir con eficacia sus responsabilidades de gobierno de la Organización?

¿Es la Alta Gerencia de su Organización lo suficientemente profunda y experimentada para cumplir efectivamente sus responsabilidades y entiende también las obligaciones contraídas en virtud de las leyes de fraude, corrupción y lavado de activos?

¿Es la Alta Gerencia de su Organización lo suficientemente independiente para evitar conflictos de intereses o conflictos que puedan surgir?

¿La Alta Gerencia de su Organización ha puesto en marcha políticas, normas, sistemas y controles de fraude, corrupción y lavado de activos que sean adecuados para la actividad específica que esta lleva a cabo?

¿La Alta Gerencia de su Organización ha comunicado las políticas, procedimientos, sistemas y controles de fraude, corrupción y lavado de activos a todo el personal pertinente y este entiende sus responsabilidades?

¿Pone en marcha la Alta Gerencia de su Organización los sistemas de vigilancia adecuados para garantizar el cumplimiento continuo de los requisitos de prevención y detección de fraude, corrupción y lavado de activos?

¿La Alta Gerencia provee los recursos técnicos, humanos y físicos necesarios para implementar y mantener en funcionamiento el sistema de autocontrol y gestión del riesgo de LAFT?

¿La Organización recibe y atiende los requerimientos y recomendaciones de los órganos de control relacionados con el sistema de autocontrol y gestión del riesgo de LAFT?

¿El Comité de Auditoría recomienda a Ia Dirección adoptar cualquier otro código o manual relacionado con el mantenimiento de la ética que considere pertinente dentro del ambiente de control de Ia sociedad?

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10


¿Usa la Alta Gerencia una plantilla de informe estándar?

¿Es el contenido del informe de Alta Gerencia suficientemente amplia y permite atender los requisitos reglamentarios?

¿Con qué frecuencia se prepara el informe y a quién se le presenta?

¿Reporta el informe de manera satisfactoria los riesgos de fraude, corrupción y lavado de activos que enfrenta la Organización al órgano de gobierno?

¿Requiere el formato del informe una acción proactiva por parte del órgano de gobierno de la Organización?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Cómo se perfila el riesgo a clientes?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Qué tipo de clientes requiere la “debida diligencia” adicional?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Qué líneas de negocio de servicios requieren la “debida diligencia” adicional?

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿De qué manera su Organización registrar sus evaluaciones de riesgos?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Cómo los procedimientos de su Organización mitigan los riesgos identificados?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Con qué frecuencia se evalúan los riesgos y los procedimientos de revisión?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Qué información del cliente es apropiada para verificar su identidad?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Tiene su Organización los procedimientos de identificación lo suficientemente flexibles para atender a todo tipo de clientes?

¿Qué formas de identificación no se aceptan en su Organización?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Qué información de “Conozca a su Cliente” (Know your Client) es recogida por la Organización para los negocios de mayor riesgo y cómo se registra esta?

___________________________________________________________

___________________________________________________________

___________________________________________________________

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

- 76 -Capítulo 4

¿Tiene procedimientos satisfactorios para hacer frente a personas políticamente expuestas?

¿Tiene su Organización los procedimientos adecuados para asegurarse que no tenga relación con un cliente que se encuentra en una lista de sanciones de terrorista o lista negra, o que tenga antecedentes penales o conexiones criminales conocidas?

¿Cubre el programa de entrenamiento de su Organización los riesgos específicos de fraude, corrupción y lavado de activos?

¿Qué formación específica necesita cumplir el personal en relación con las políticas y procedimientos que han sido diseñados para mitigar los riesgos de fraude, corrupción y lavado de activos?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Está el nuevo personal familiarizado con las cuestiones de fraude, corrupción y lavado de activos, recibe una formación más intensiva?

¿Cómo se adapta la formación para las funciones de personal?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Con qué frecuencia se entrena al personal?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Cómo se comunican al personal los cambios en los procedimientos?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Cómo es la efectividad de cualquier medida de formación?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Entiende el personal involucrado en la actividad del cliente lo que constituye una actividad sospechosa y su obligación de presentar informes internos a la Alta Gerencia de cualquier actividad sospechosa?

¿Tiene usted los procedimientos de control adecuados que le permitirán identificar las operaciones sospechosas o patrones de transacciones?

¿Sus procedimientos incluyen el mecanismo de información necesario para ofrecer un informe interno a la Alta Gerencia?

¿Entiende la Alta Gerencia sus obligaciones legales?

¿Dispone la Organización de una cultura abierta en la que el personal se siente cómodo haciendo una divulgación a la Alta Gerencia?

¿Entiende el personal los problemas y las posibles consecuencias si llega a ser involucrado?

¿Quién es responsable de la prevención del fraude?

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Cuál es su apetito por el riesgo de fraude?

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10


¿Tiene usted una política integral de prevención del fraude?

¿La política de prevención del fraude se ha comunicado a todo el personal?

¿Cómo identifica los riesgos de fraude y cuáles son?

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Cuáles son los principales sistemas y controles para el seguimiento de los riesgos de fraude?

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Ha sufrido algún incidente de fraude recientemente?

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Ha cuantificado las pérdidas por fraude?

¿Tiene usted la denuncia de irregularidades en los procedimientos y sí es así cómo tienen éxito?

¿Tiene un presupuesto para la prevención del fraude?

¿Cómo controla la eficacia de sus sistemas de prevención del fraude y los controles?

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

¿Qué información se proporciona sobre fraude al cuerpo directivo de su Organización?

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

1 2 3 4 5 6 7 8 9 101 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

- 78 -Capítulo 4

4.8. Evaluación de la Auditoría InternaLista de Preguntas sobre la Evaluación de Prácticas de Auditoría Interna (Plantilla para verificar la solidez de la Auditoría Interna)

Evaluación Práctica de Auditoría Interna

Posicionamiento

¿Tiene la Auditoría Interna un plan estratégico a largo plazo alineado con los perfiles de riesgo corporativo actuales y futuros y con los objetivos estratégicos de la Organización? ¿Se desarrolló dicho plan en colaboración con la dirección ejecutiva y el Comité de Auditoría y ha sido aprobado por el Comité de Auditoría?

¿Se actualiza periódicamente el plan estratégico a largo plazo para alinearlo con los cambios en los objetivos estratégicos de la Organización? En caso afirmativo, ¿con qué frecuencia y cuál es el proceso para actualizar el plan?

¿Es la Auditoría Interna independiente de hecho y apariencia pero no está demasiado alejada del negocio? (Por ejemplo, una función de Auditoría Interna que es demasiado “independiente” podría no estar lo suficientemente cerca al negocio para ser efectiva)

¿Se visualiza la función de Auditoría Interna como un componente clave de la estructura del gobierno corporativo y como la garantía de un recurso crítico en la tercera línea de defensa que es reconocida en toda la Organización por estar en capacidad de llevar a cabo las acciones aprobadas por la Administración/Junta?

¿Tiene la Auditoría Interna sólidas relaciones con los más altos niveles (por ejemplo, Director Ejecutivo de Auditoría – CAE, por sus siglas en inglés) y los informes tienen sólida y concisa relación directa con los miembros de la Junta, individuos pertenecientes al equipo ejecutivo y gerentes de negocios y otros miembros de la Alta Dirección? ¿Están estas personas tratando de llegar en forma proactiva a la Auditoría Interna para ayudarle a abordar temas de riesgo y control?

¿Se considera al Director Ejecutivo de Auditoría como un “socio” de la dirección ejecutiva de la Organización mientras mantenga su independencia? ¿Asiste el Director Ejecutivo de Auditoría a las reuniones ejecutivas y su aporte es buscado por el denominado grupo ejecutivo?

¿Influye la Auditoría Interna en el cambio de la Organización (o sea, tiene la reputación, credibilidad e impacto para presentar sus puntos de vista en varios comités)?

¿Está claramente articulado el papel de la Auditoría Interna en relación con las otras funciones de aseguramiento y lo comprende la Organización (por ejemplo, primera y segunda líneas de defensa incluyendo gestión del riesgo, complimiento, etc.)?

¿Se percibe positivamente a la Auditoría Interna por todas las partes interesadas incluyendo el Comité de Auditoría, la alta dirección y los reguladores? ¿Aprecia la Organización las habilidades de la Auditoría Interna?

¿Tanto el Comité de Auditoría como la dirección ejecutiva buscan proactivamente –a nivel macro de la Organización– la posición y opinión de la Auditoría Interna sobre el perfil de riesgo general, asuntos de gobernabilidad y otros temas?

¿Se percibe a la Auditoría Interna como un socio de negocios? ¿Solicita la Administración la participación y/o consulta con la Auditoría Interna al inicio y en el trascurso de todas las iniciativas principales?

¿Consideran la alta dirección y el Comité de Auditoría que la Auditoría Interna tiene la capacidad de asumir posiciones que no son populares?

¿Tiene la Auditoría Interna el estatus apropiado dentro de la Organización para que sea visualizada como una función de “valor agregado”?

¿Se visualiza la función de Auditoría Interna como un campo de capacitación para la administración?


¿Se propone la Auditoría Interna cuestionar la estrategia del negocio en caso que esta no considere que el ambiente de control puede soportar los riesgos asociados? ¿Tiene la Auditoría Interna el soporte y respaldo de los ejecutivos y de la Junta Directiva para que se escuche su posición?

¿Tiene la Auditoría Interna la capacidad de participar en todas las reuniones de los comités principales, incluyendo gobernabilidad, comités ejecutivos y de control que se programen en toda la Organización? ¿Ha asistido a estas reuniones?

¿Tiene la Auditoría Interna acceso libre y sin restricciones a las personas claves, incluyendo el Comité de Auditoría, Presidente, Junta Directiva y el denominado “Grupo Ejecutivo”? ¿Se reúne permanentemente el Director Ejecutivo de Auditoría con ellos?

¿Está la Auditoría Interna sujeta a la revisión regular de su efectividad según criterio de desempeño claros y medibles dados por el Comité de Auditoría?

Personal

¿Considera el resto de la Organización que la Auditoría Interna es un valioso recurso de talento (con base en las personas trasladadas desde la Auditoría Interna a otros departamentos)?

¿Puede la Auditoría Interna atraer profesionales con calidad desde el interior de la Organización (programas de rotación) y fuera de ella?

¿Existe un claro avance en la carrera dentro de la Auditoría Interna que contribuya a asegurar que la Auditoría Interna puede atraer y conservar recursos de alta calidad?

¿Tiene la estrategia de la Auditoría Interna visión de futuro a mediano y más largo plazo en materia de personal (por ejemplo, si se tienen en consideración las áreas de crecimiento en el negocio, áreas de riesgo nuevas y emergentes, así como los factores internos y externos que afectan la capacidad de la Auditoría Interna para atraer talento)?

¿Está claramente documentada la estrategia de personal?

¿Tiene la Auditoría Interna un método documentado de competencias que identifique las capacidades básicas que se necesitan para cumplir su misión con base en las necesidades de la Organización –tanto anuales como estratégicas (a largo plazo)– y que, así mismo, considere su perfil de riesgo y el plan de auditoría?

¿Hace la Auditoría Interna un análisis de la brecha entre las competencias básicas que se requieren y el conjunto de habilidades actuales que existe en el departamento?

¿Dispone la Auditoría Interna de un plan detallado para cerrar la brecha entre las capacidades que necesita y el conjunto de habilidades que existe en la actualidad?

¿Actualiza regularmente este análisis la Auditoría Interna con base en los cambios del negocio y en el perfil de riesgo?

¿Tiene la Auditoría Interna un programa estructurado de capacitación en habilidades requeridas para realizar una tarea y habilidades sociales que está ligado al documento sobre competencias básicas a que se hizo referencia anteriormente? ¿Hace la Auditoría Interna monitoreo y seguimiento a la capacitación a través de la función?

¿Tiene la Auditoría Interna programas estructurados y formales de transferencia e intercambio de conocimiento entre los profesionales de Auditoría Interna? ¿Impulsa y formaliza la Auditoría Interna el intercambio de conocimiento cuando se utilizan profesionales externos en la materia para complementar sus servicios de Auditoría?

¿Tiene la Auditoría Interna una reserva de talento diverso con una amplia mezcla de habilidades y experiencia obtenida dentro de la Auditoría Interna y en negocios, dentro y fuera de la Organización?

¿Posee la Auditoría Interna una cultura global y un conocimiento específico del país cuando realiza auditorías fuera de su país base?

¿Tiene la Auditoría Interna el equilibrio apropiado entre una cultura de desafío, investigación y escepticismo, y una cultura que respalda la construcción de relaciones profesionales y de colaboración?

- 80 -Capítulo 4

¿Emplea la Auditoría Interna especialistas reconocidos en gobernabilidad, gestión de riesgo, fraude e identificación y mitigación de riesgo? ¿Está de acuerdo la Alta Dirección?

¿Tiene la Auditoría Interna un plan formal de sucesión para todos los cargos claves?

¿Es competitiva la política de remuneración de Auditoría Interna? ¿Se fundamenta en el logro de métricas de desempeño definidas (por ejemplo, con base en la calidad del trabajo e impacto en el negocio y no simplemente en la entrega según el plan y el rendimiento del negocio)?

¿Es el Director Ejecutivo de Auditoría un cargo rotativo (por ejemplo, cada cinco a siete años)? ¿En qué forma la Organización (es decir, el Comité de Auditoría) asegura que el liderazgo de la Auditoría Interna tiene el equilibrio correcto entre conocimiento del negocio y función, y el escepticismo apropiado con respecto a sus clientes?

Procesos

¿Valora la Auditoría Interna la estrategia de negocios de la Organización y los planes de implementación? ¿Tiene la Auditoría Interna un sólido entendimiento de la estrategia y los riesgos inherentes?

¿Valora la Auditoría Interna los riesgos y temas afines en toda la Organización (macro) incluyendo temas contundentes, tendencias, etc. (es decir, “establece la relación existente”)?

¿Está la valoración del riesgo de la Auditoría Interna alineada con el proceso de valoración de la gestión del riesgo general de la Organización (ERM)? ¿Utilizan un lenguaje común?

¿La Auditoría Interna tiene en cuenta la valoración de riesgos emergentes y factores externos, incluidos factores económicos y datos de organizaciones similares? ¿Cómo se hace esto?

¿Anticipa la Auditoría Interna el riesgo porque tiene una profunda comprensión del negocio, industria y ambiente económico?

¿Tiene la Auditoría Interna un rápido y efectivo proceso de escalamiento para asuntos que requieren atención inmediata de la alta dirección por fuera del proceso normal de un informe de auditoría?

¿Tiene la Auditoría Interna un proceso de auditoría sólido y continuo que hace monitoría de los riesgos claves del negocio, cambios en el negocio, cambios en la economía y en los indicadores claves de rendimiento? ¿Está el proceso documentado y da como resultado cambios en el foco y en el plan de auditoría?

¿Utiliza efectivamente la Auditoría Interna en este proceso la tecnología y las rutinas automatizadas?

¿Se realinea continuamente este proceso con la valoración del riesgo/prioridades de riesgo?

¿Tiene la Auditoría Interna un plan de Auditoría Interna “viviente” versus un plan anual que se modifica regularmente con base en los resultados de su proceso de auditoría continua y los cambios en el negocio, ambiente de control y entorno económico?

¿Se involucra activamente la Administración y el personal de la Auditoría Interna en el negocio antes, durante y después de la auditoría para ayudar a tener la seguridad de que siempre estén conectados con el cambiante perfil de riesgo del negocio?

¿Administra y monitorea proactivamente la Auditoría Interna las relaciones con las partes interesadas claves?

¿Reserva anualmente la Auditoría Interna una porción de sus horas totales para hacer peticiones al servicio de gestión/revisiones consultivas y aumenta cada año el porcentaje de estas solicitudes?

¿Valora la Auditoría Interna el proceso general de gobernabilidad incluyendo la estructura de la Organización, la efectividad de los comités, el proceso decisorio, líneas de presentación de información, etc.? ¿Se tiene en cuenta esta información en el desarrollo del plan de auditoría?

¿Evalúa la Auditoría Interna la efectividad de las diferentes funciones de control (gestión de riesgo, riesgo de mercado, riesgo de crédito, cumplimiento, etc. y contribuye a su mejoramiento? ¿Tiene los recursos apropiados para hacer una evaluación efectiva?


¿Trabaja estrechamente la Auditoría Interna con su principal ente regulador y busca sus aportes en la valoración del riesgo y actividades de auditoría?

¿Trabaja estrechamente la Auditoría Interna con el Auditor Externo y busca su aporte en la valoración del riesgo y actividades de auditoría? ¿Busca oportunidades para un apalancamiento conjunto?

¿Utiliza la Auditoría Interna profesionales en la materia cuando esta carece del conocimiento, habilidades, o competencias necesarias para ejecutar la totalidad o parte de un proyecto/compromiso?

¿Permite el financiamiento, aún en tiempos de dificultades económicas, el uso de especialistas en la materia cuando se requieren para satisfacer necesidades específicas tanto técnicas como de recursos?

¿Es clara, concisa y pertinente la comunicación escrita y verbal de la Auditoría Interna con el Comité de Auditoría, y se hace con regularidad? ¿Incluye esta opiniones generales sobre el ambiente de control (a nivel macro) en lugar de asuntos específicos del informe de auditoría?

¿Produce la Auditoría Interna informes concisos y oportunos (para las auditorías individuales y para los órganos de gobierno) que identifiquen tanto las causas como las consecuencias de los problemas y que se presenten con claridad e impacto?

¿En su informe hace la Auditoría Interna una determinación efectiva para el negocio de la magnitud/impacto de los hallazgos?

¿Tiene la Auditoría Interna la capacidad de comunicar efectivamente al negocio el valor de hacer frente a sus hallazgos?

¿Identifica la Auditoría Interna e informa a las partes interesadas claves los asuntos sistémicos y las prácticas más importantes que contribuyen a impulsar la consistencia/eficiencia operativa en toda la Organización?

¿Se involucra la Auditoría Interna en una convergencia de riesgo/iniciativa GRC (ERM, por sus siglas en inglés) en toda la Organización?

¿Trabaja estrechamente la Auditoría Interna con las otras funciones de aseguramiento tales como gestión de riesgo, cumplimiento, etc., y busca oportunidades de apalancamiento entre las diferentes funciones de aseguramiento así como en las iniciativas SOX?

¿Valora la Auditoría Interna los procesos/capacidades de estas funciones de aseguramiento antes de determinar cuánta confianza puede depositar en ellas?

¿En la planeación de los trabajos, la Auditoría Interna considera y valora en todos los casos los riesgos de fraude asociados con la actividad que se está revisando?

¿Utiliza efectivamente la Auditoría Interna la tecnología para aumentar la eficiencia del departamento?

¿Utiliza la Auditoría Interna un Cuadro de Mando Integral (“Balancedd Scorecard”) que incluya objetivos financieros, mejoramiento del ingreso, recuperaciones de costos, optimización de costos, uso eficiente de recursos, etc.)?

¿Se comparten los resultados de este Cuadro de Mando con la Dirección Ejecutiva y la Junta?

¿Se utilizan los resultados del Cuadro de Mando en la valoración del desempeño tanto del Director Ejecutivo de Auditoría como de la función de Auditoría Interna?

¿Cuenta la Auditoría Interna con mecanismos efectivos y sólidos para seguir el rastro y hacerle seguimiento a los problemas, validación de resultados y escalamiento de los problemas?

¿Cuenta la Auditoría Interna con estándares y protocolos relacionados con políticas de retención y almacenamiento de documentos?

¿Efectúa la Auditoría Interna autorrevisión regular y monitorea los desarrollos en las funciones de Auditoría Interna de organizaciones pares?

¿Valora regularmente la Auditoría Interna su Retorno de la Inversión (ROI) identificando maneras de hacer más con menos y cómo ayudar a tener la certeza que las actividades claves de Auditoría Interna continúan siendo frescas y pertinentes? ¿Busca la Auditoría Interna oportunidades para impulsar eficiencias en sus propios procesos, incluyendo la reubicación de ciertas actividades de Auditoría Interna?

- 82 -Capítulo 4

4.9. Evaluación de los Auditores Externos y la Revisoría FiscalAspectos para evaluar el trabajo del Auditor Externo y/o Revisor Fiscal

No° Aspecto

Comunicación con el Comité de Auditoría: Su auditor externo o revisor fiscal le comunicó al menos los siguientes aspectos:

1

Los asuntos considerados como significativos, identificados en el inicio, transcurso y etapa final de las auditoría de la Organización y sus subordinadas, tales como:

• Principales estimados contables

• Estimación de pérdida sobre activos y pasivos financieros

• Valoración de inversiones

• Deterioro de activos financieros y activos no financieros

• Determinación de goodwill e intangibles

• Impuesto sobre la renta corriente y diferido

• Contingencias

• Otros asuntos contables relativos a la industria

2 Los principales Principios de Contabilidad de Colombia que afecten a la Organización.

3 Nuevos pronunciamientos contables emitidos durante el año y sus posibles efectos sobre los estados financieros consolidados de la Organización.

4 Conocimiento de la existencia de fraudes significativos en la Organización durante el año.

5 Establecimiento de un mutuo entendimiento de los términos en que debería ser efectuada la auditoría, incluyendo los objetivos de auditoría, las responsabilidades y roles de los diferentes profesionales de dirección.

6 El Auditor conoce los roles y responsabilidades de los miembros del Comité de Auditoría.

7 El Auditor presentó al Comité de Auditoría el Marco General de la Estrategia de Auditoría y tiempos establecidos para su ejecución e informe.

8 El Auditor informó el enfoque de auditoría y estrategia planeada para el desarrollo de este trabajo.

9 El Auditor y el Comité de Auditoría han intercambiado criterios y opiniones sobre el entendimiento del control interno, cambios efectuados recientemente a este, así como deficiencias materiales del control interno.

10

El Auditor ha comunicado la estructura del equipo de trabajo incluyendo los expertos utilizados como parte del equipo, como por ejemplo:

• Profesionales de Valoración

• Actuarios para Pensiones y Jubilaciones

• Impuestos


Tecnología de información

11 El Auditor ha comunicado sus consideraciones acerca de la Continuidad de Negocio en Marcha de la Organización.

12 El Auditor ha comunicado diferencias de auditoría ajustadas y no ajustadas.

13El Auditor ha comunicado al Comité de Auditoría diferencias de auditoría encontradas en los estados financieros discutidas con la Administración durante el curso de la auditoría y su materialidad en forma individual y en conjunto, aun así muchas de ellas fueron reconocidas y registradas en los libros.

Sobre el Informe de Auditoría

14 El Auditor ha comunicado si durante la auditoría surgió algún asunto que significara una calificación de la opinión o una limitación en el alcance.

15 El Auditor ha comunicado las debilidades materiales del control interno o deficiencias significativas que en su conjunto puedan considerarse debilidades materiales.

16 El Auditor ha comunicado al Comité de Auditoría el resultado de su evaluación sobre el control interno relativo a los estados financieros, así como de los sistemas de gestión de riesgos aplicables.

17 El Auditor ha comunicado al Comité de Auditoría incumplimientos de leyes y regulaciones identificados y su efecto sobre los estados financieros.

18 El Auditor ha comunicado dificultades encontradas en la ejecución de la auditoría.

19 El Auditor ha comunicado posibles desacuerdos con la Administración.

20 Considera usted que existe adecuada comunicación de doble vía entre el Comité de Auditoría y los Auditores Externos.

21 El Auditor ha comunicado al Comité de Auditoría operaciones significativas llevadas a cabo por la Organización (adquisiciones, escisiones, liquidaciones, etc.) y su efecto sobre los estados financieros.

Independencia

22El auditor le ha suministrado al Comité de Auditoría una comunicación escrita, en la cual se indiquen las relaciones entre el Auditor, la Organización y las personas con responsabilidad o rol de información financiera, manifestando su independencia frente a la Organización.

- 84 -Capítulo 4

4.10. Autoevaluación del Comité de Auditoría Ejemplo de evaluación del Comité de Auditoría

La evaluación debe ser diligenciada por cada uno de los miembros del Comité de Auditoría y también puede ser completada por otras personas que trabajen con dicho Comité, tales como el Director Financiero, el Director de Auditoría Interna y el Auditor Externo

Organización


1. El reglamento del Comité de Auditoría establece claramente la naturaleza y alcance de sus responsabilidades y ha sido aprobado por el Comité y la Junta en pleno.

1 2 3 4 5

2. La participación en el Comité de Auditoría cumple los requisitos reglamentarios y los miembros tienen la trayectoria y habilidades apropiadas y contribuyen activamente con su aporte.

1 2 3 4 5

3. La Junta participó activamente en el análisis de la composición del Comité de Auditoría, incluyendo la consideración de si los miembros ya conocían de finanzas o si podrían llegar a tener una cultura financiera.

1 2 3 4 5

4. Las acciones del Comité de Auditoría reflejan independencia de la Administración, comportamiento ético y los mejores intereses de los accionistas.

1 2 3 4 5

5. Los paquetes de información para las reuniones del Comité de Auditoría son completos, se reciben con suficiente anticipación e incluyen información necesaria que permita discusiones de importancia.

1 2 3 4 5

6. Las reuniones del Comité de Auditoría están bien organizadas, son eficientes y efectivas, se llevan a cabo con suficiente frecuencia y su duración es apropiada para permitir la discusión de los temas pertinentes de conformidad con las responsabilidades del Comité de Auditoría.

1 2 3 4 5

7. Los miembros del Comité de Auditoría son abiertos, honestos y efectivos en su comunicación con la Administración, con los auditores internos y externos y entre sí.

1 2 3 4 5

8. Hay adecuado soporte interno y externo y disponibilidad de recursos para el Comité de Auditoría. 1 2 3 4 5

9. Se concede tiempo suficiente entre las reuniones del Comité de Auditoría y las reuniones de la Junta que permita la realización de cualquier trabajo asignado y su informe a la Junta, según sea apropiado.

1 2 3 4 5

10. El Presidente del Comité de Auditoría se mantiene en permanente contacto con el Presidente de la Junta, el Director General (Presidente), el Director Financiero, el Auditor Externo y el Director de Auditoría Interna.

1 2 3 4 5

11. Las actas y los informes a toda la Junta reflejan las actividades, acciones y recomendaciones importantes del Comité. 1 2 3 4 5

12. El liderazgo del Presidente del Comité de Auditoría es efectivo. 1 2 3 4 5


Supervisión del proceso de preparación y presentación de información financiera


1. El Comité de Auditoría contribuye a establecer desde el nivel superior el tono apropiado que comprende la insistencia en la integridad y exactitud de la información financiera.

1 2 3 4 5

2. El Comité de Auditoría estudia la calidad e idoneidad de la contabilidad y la información financiera incluida la transparencia de la información revelada, y las principales políticas contables de la Organización.

1 2 3 4 5

3. El Comité de Auditoría ha logrado el equilibrio adecuado de una supervisión proactiva y no ha infringido la responsabilidad administrativa ni ha proporcionado una supervisión que no sea efectiva.

1 2 3 4 5

4. El Comité de Auditoría establece claras expectativas y proporciona retroalimentación con respecto a la competencia del Director Financiero de la Organización y la alta dirección financiera.

1 2 3 4 5

5. Se consideran apropiadamente los riesgos de la presentación de información financiera y sus respectivos controles internos que se reflejan en las discusiones del Comité de Auditoría y en los temas de la agenda.

1 2 3 4 5

6. El Comité de Auditoría revisa los temas importantes y juicios relativos a la presentación de información financiera, incluyendo enfoques alternativos para la preparación de los informes financieros anuales y trimestrales.

1 2 3 4 5

7. El proceso de determinación de la agenda del Comité de Auditoría es cuidadoso y está dirigido por el Presidente de dicho Comité. 1 2 3 4 5

8. Hay discusión importante y consideración de la claridad e integridad de las revelaciones en la presentación externa de la información financiera (incluyendo el informe anual, presentaciones financieras trimestrales y comunicados de prensa).

1 2 3 4 5

9. Los ajustes a los estados financieros de la Organización procedentes de las diferentes auditorías externas e internas son revisados por el Comité de Auditoría, independientemente de que hayan sido o no registrados por la Administración de la Organización.

1 2 3 4 5

10. El Comité de Auditoría asesora a la Junta en su valoración del alcance y efectividad de los sistemas establecidos por la Administración para identificar, valorar, administrar y monitorear los riesgos financieros y de otro tipo.

1 2 3 4 5

11. Existe consideración apropiada de las transacciones con partes relacionadas, incluyendo la revelación de estas transacciones en los informes financieros. 1 2 3 4 5

12. La supervisión por parte del Comité de Auditoría de los procedimientos de denuncia de irregularidades es apropiada. 1 2 3 4 5

- 86 -Capítulo 4

Supervisión de los procesos de auditoría


1. Las acciones del Comité de Auditoría demuestran su responsabilidad directa en el nombramiento, independencia, remuneración y supervisión del trabajo del Auditor Externo.

1 2 3 4 5

2. Hay una activa consideración del plan de auditoría, carta de compromiso y resultados de la auditoría externa. 1 2 3 4 5

3. El proceso de aprobación previa de servicios diferentes de los de auditoría que presta el Auditor Externo es efectivo y refuerza la independencia del Auditor. 1 2 3 4 5

4. Existen procedimientos efectivos para la evaluación de las calificaciones del Auditor Externo, desempeño, efectividad e independencia. 1 2 3 4 5

5. Se da consideración apropiada a la carta a la Administración y otras comunicaciones que haga el Auditor Externo. 1 2 3 4 5

6. Las líneas de información de que dispone la Auditoría Interna y la interacción con el Comité de Auditoría fomentan un ambiente donde los asuntos que podrían involucrar a la Administración se llevarán a la atención del Comité de Auditoría.

1 2 3 4 5

7. El Comité de Auditoría revisa periódicamente la idoneidad de la función de Auditoría Interna en concordancia con el plan de auditoría, cumplimiento, composición, calidad y permanencia del personal.

1 2 3 4 5

8. Se da apropiada consideración al plan de trabajo de la Auditoría Interna, recursos, habilidades, independencia y objetividad. 1 2 3 4 5

9. Existe consideración apropiada del informe de Auditoría Interna, respuesta de la Administración y acciones de mejoramiento. 1 2 3 4 5

10. El Comité de Auditoría monitorea y valora el rol y efectividad de la función de Auditoría Interna en el contexto general del sistema de gestión de riesgo de la Organización.

1 2 3 4 5

11. Las sesiones privadas con el auditor interno y externo dan como resultado discusiones francas de los asuntos pertinentes. 1 2 3 4 5

12. El Comité de Auditoría examina eficazmente los informes de Auditoría Interna, las respuestas de la Administración y las medidas adoptadas para su mejora. 1 2 3 4 5

13. Los miembros del Comité de Auditoría monitorean el canal de denuncia y de línea ética de la Organización, apoyando la labor de seguimiento e investigación de los procesos de acuerdo con los procedimientos establecidos.

1 2 3 4 5


Mejoramiento permanente


1. El Comité de Auditoría proporciona orientación efectiva para nuevos miembros del Comité. 1 2 3 4 5

2. El Comité de Auditoría supervisa el cumplimiento de las normas y políticas de buen gobierno Corporativo. 1 2 3 4 5

3. El Comité de Auditoría proporciona o alienta el desarrollo profesional permanente de sus miembros. 1 2 3 4 5

4. Existe un proceso de autoevaluación del Comité de Auditoría y este es efectivo. 1 2 3 4 5

5. Cualquiera y todos los asuntos identificados que requieren seguimiento están resueltos. 1 2 3 4 5

Evaluación general

Elemento de enfoque Totalmente Totalmenteen desacuerdo de acuerdo

1. ¿Cuál es su valoración general del desempeño del Comité de Auditoría? 1 2 3 4 5

- 88 -Capítulo 4

4.11. ¿Cómo identificar el riesgo inherente de corrupción y fraude en su Organización?Para evitar los riesgos de Corrupción y fraude es necesario que tanto el gobierno corporativo de las organizaciones como sus ambientes de control y riesgos evalúen los siguientes puntos. Si su Organización no realiza o no tiene en cuenta alguno de los siguientes puntos, podría estar en riesgo de eventos de corrupción y fraude.

Gobierno corporativo

• La Junta Directiva revisa y aprueba (al menos anualmente) los programas de Auditoría de Cumplimiento y Anti-Corrupción y fraude.

• La Junta Directiva es informada periódicamente de los riesgos de Corrupción y fraude de la Organización. La Junta conoce cómo son controlados, mitigados y monitoreados estos riesgos.

• La Administración presenta periódicamente a la Junta Directiva los indicadores de desempeño asociados a la gestión del Riesgo de Corrupción y fraude. Fueron estos indicadores aprobados por Junta Directiva – Estos indicadores fueron revisados y aprobados al menos anualmente.

• La Administración transmite periódicamente (al menos anualmente) a la totalidad de los empleados los valores y las conductas esperadas asociadas a mitigar el riesgo de corrupción y fraude al cual se expone la Organización.

• Los empleados conocen claramente sus responsabilidades y consecuencias al momento de verse involucrados en un hecho de corrupción y fraude.

Ambiente de control

• Existe un compromiso por parte de los altos directivos para promover una cultura de transparencia e integridad en el cual el soborno y la corrupción y fraude sean considerados inaceptables.

• La Organización cuenta con un programa de cumplimiento debidamente documentado.

• Las políticas y procedimientos asociados al cumplimiento están alineados con la misión, visión y valores de la Organización.

• La Organización tiene definido un código de conducta alineado con los requerimientos de cumplimiento y es conocido y comprendido por todos los empleados.

• La Organización cuenta con un proceso de evaluación de riesgos que incluya los riesgos asociados a soborno y corrupción y fraude.

• Se han definido las funciones y asignado las responsabilidades relacionadas con la gestión y puesta en marcha del programa de cumplimiento.

• La Organización cuenta con un Manual de Cumplimiento debidamente documentado y formalizado.

• La Organización ha establecido los procedimientos sancionatorios adecuados y efectivos para el incumplimiento de las políticas de prevención de soborno y corrupción y fraude.

• La Organización cuenta con un procedimiento formal de debida diligencia con el fin de identificar y evaluar los riesgos de soborno y corrupción y fraude que estén relacionados con las actividades de sus proveedores, contratistas, empleados, accionistas y terceros relacionados.

• La Organización cuenta con un mecanismo de recepción y atención de denuncias de conductas inadecuadas o irregulares.

• La Organización ha establecido políticas de no retaliación a denunciantes de conductas inadecuadas o irregulares.

Evaluación del riesgo

• Sus riesgos inherentes de ABAC incluyen identificación, evaluación y categorización de riesgos inherentes.

• Su Organización cuenta con un proceso formal de evaluación de riesgos.

• Su plan de evaluación de riesgos incorpora criterios cuantitativos y cualitativos.

• Sus controles internos asociados con riesgos de ABAC son apropiadamente diseñados y funcionan efectivamente.

• Conoce su riesgo residual de anticorrupción y fraude y antisoborno.

• Su perfil de riesgo ABAC es actualizado dados los cambios del entorno de sus negocios.

• Su mapa de riesgos de ABAC sirve de insumo para un adecuado monitoreo de los riesgos más críticos.


Tecnología y Data Analytics

Muchas organizaciones manifiestan no saber o no aprovechar sus recursos tecnológicos para soportar sus iniciativas de cumplimiento, de hecho, también manifiestan no usar o no saber si usan Key Risk Indicators (KRI’s) y Key Performance Indicators (KPI’s) para soportar pruebas y monitoreo a las tareas de cumplimiento asociadas con sus terceras partes. Si las organizaciones desean fortalecer sus programas de cumplimento, deben desarrollar e implementar elementos preventivos y fortalecer capacidades para detectar posibles problemas futuros, es decir, incluir componentes predictivos mediante el uso de procedimientos basados en Data Analytics.

Dado lo anterior, a continuación se presentan algunos aspectos que se deben considerar para fortalecer sus esquemas de cumplimiento desde el punto de vista tecnológico y de Data Analytics:

1. Analizar si su infraestructura tecnológica está alineada con los requisitos de cumplimiento.

2. Desarrollar e implementar procedimientos de Data Analytics para identificar causas raíz y analizar tendencias (Data Mining, Text Mining y modelos predictivos):

a. Análisis de relacionamiento con terceras partes.

b. Cumplimiento de políticas y procedimientos para evaluar su alineación con los procesos de la organización.

c. Análisis de quejas realizadas por terceras partes que puedan reflejar tendencias que indiquen posibles situaciones de corrupción y fraude y/o incumplimiento.

d. Análisis de transacciones consideradas como de alto riesgo (donaciones, regalos, gastos, entre otras).

3. Usar KRI’s y KPI’s para desarrollar sus pruebas y monitoreo, e integrar estos indicadores a sus enfoques de Gobierno, Riesgo y Cumplimiento.

Adicionalmente, un buen desarrollo analítico puede ayudar a la organización a identificar y entender necesidades de entrenamiento, efectividad en los procesos de debida diligencia e incluso si un proceso o control requiere una reevaluación.

A continuación se presentan algunos elementos que pueden ayudarle a medir el nivel de madurez de su Organización, en cuanto al desarrollo e implementación de procedimientos de Data Analytics para la identificación de posibles eventos de corrupción y fraude:

• ¿Realiza procedimientos de Data Analytics específicos para identificar posibles violaciones?

• ¿Sus procedimientos de Data Analytics están formalizados y se definen responsables y métricas para su evaluación?

• ¿Con qué frecuencia realiza los procedimientos de Data Analytics?

• ¿Quién dirige los procedimientos de Data Analytics?

• ¿Usa herramientas específicas para el desarrollo de los procedimientos de Data Analytics?

• ¿Cuenta con personal con habilidades suficientes para el desarrollo y monitoreo de los procedimientos de Data Analytics?

• En qué áreas se enfocan sus procedimientos de Data Analytics:

– Pagos a terceras partes

– Gastos de entretenimiento y regalos

– Ventas y mercadeo

– Reclamaciones por gastos

– Donaciones y desarrollo social

– Gastos de viaje y alojamiento

– Bonificaciones y remuneraciones de nómina

Referencias

ACIS. (Junio de 2016). Encuesta Nacional de Seguridad Informática. Revista Sistemas.

Best practice in risk management. A function comes of age. A report from the Economist Intelligence Unit Sponsored by KPMG and other institutions. 2007.

Beyond box-ticking. A new era for risk governance. A report from the Economist Intelligence Unit Sponsored by KPMG and other institutions. 2009.

ColCERT. (2016). Sectores afectados en Colombia por incidentes digitales. Conpes, 2016.

Conpes. (2016). Conpes 3854: Política Nacional de Seguridad Digital. Consejo Nacional de Política Económica y Social; República de Colombia; Departamento Nacional de Planeación.

Core competencies for Today’s Internal Auditor, The IIA’s Global Internal Audit Survey, 2010.

El Espectador. (11 de marzo de 2016). Ciberfraude cuesta $1 billón en Colombia: Revela estudio de la firma Cisco. Obtenido de http://www.elespectador.com/noticias/economia/ciberfraude-cuesta-1-billon-articulo-621635

Encuesta de Fraude en Colombia, KPMG en Colombia, 2013*.

Estupiñán Gaitán, R. (2006). Administración de Riesgos ERM y la Auditoría Interna. ISBN: 958-648-434-3.

Evolución del papel del auditor interno. Creación y preservación del valor desde la perspectiva de Auditoría Interna, KPMG Advisory, 2007.

Global Risks 2012 (World Economic Forum).

Guzmán Vásquez, A. (2012). Hacia la implementación de buenas prácticas de Gobierno Corporativo en Sociedades Cerradas. Alexander Guzmán Vásquez y María Andrea Trujillo Dávila. Bogotá: Colegio de Estudios Superiores de Administración (CESA). Departamento de Comunicaciones y Marketing. ISBN: 978-958-8722-14-6.

ICGN Global Corporate Governance Principles. The International Corporate Governance Network (ICGN). 2009.

KPMG. (2014). Cyber Security, A Theme for the Boardroom. KPMG.

KPMG. (2015). Cyber Security Dashboard: Monitor, Analyse and Take Control of Cyber Security. Amstelveen.

Managing risk in perilous times. Practical steps to accelerate recovery. A report from the Economist Intelligence Unit Sponsored by KPMG and other institutions. 2009.

National Coordinator for Security and Counterterrorism. (2013). Dutch National Cyber Security Strategy 2: From awareness to capability. La Haya.

Rodríguez, M. (27 de abril de 2016). La banca y aseguradoras, en alerta por estafas con pagos por internet. (C. A., García, entrevistador). El Tiempo. Obtenido de http://www.eltiempo.com/economía/sectores/cifras-sobre-fraudes-y-estafas-electrónicas-en-colombia/16574145

Superintendencia de Industria y Comercio. (3 de noviembre de 2015). Circular Externa 002. Bogotá, Colombia.

Superintendencia de Sociedades, Cámara de Comercio de Bogotá y Confecámaras. (Septiembre de 2009). Guía Colombiana de Gobierno Corporativo para Sociedades Cerradas y de Familia, ISBN: 978-958-688-283-5.

Superintendencia de Sociedades. Circular 100-000005/2014. Establecimiento de un sistema de autocontrol y gestión del riesgo de lavado de activos y financiación del terrorismo (LA/FT).

Superintendencia de Subsidio Familiar. Circular No. 023 de 2012. Instrucciones sobre el Sistema de Control interno en las Cajas de Compensación Familiar, gestión de riesgos y Comité Independiente de Auditoría.

Superintendencia Financiera de Colombia. Circular 014 / 038 de 2009. Instrucciones relativas a la revisión y adecuación del Sistema de Control Interno.

Superintendencia Financiera de Colombia. Circular Externa No. 028 de 2007. Adopción de recomendaciones del código de mejores prácticas corporativas de Colombia.

The Evolving Role of the Head of Risk. The changing risk management environment. KPMG. 2009.


© 2018 KPMG S.A.S. y KPMG Advisory, Tax & Legal S.A.S., sociedades colombianas por acciones simplificadas y firmas miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.

[email protected]/coT:+57 (1) 618 8000

KPMG en Colombia KPMG en Colombia KPMG en ColombiaKPMG_CO @KPMGenColombia

ISBN 978-958-56111-0-8

Juntas Directivas Eficientes - KPMG

Documents

Transcript of Juntas Directivas Eficientes - KPMG