Manual de Control Internotigo-une.com/.../2017/02/ManualControlInterno_Español.pdf1 Introducción...

Manual de Control Interno

Version4.1

Fecha18 febrero 2016

AutorIan Burrows – Head of Business Controls Lisa Boutchinski – Internal Control Manager

Breve descripciónVersión revisada

Tabla de Contenidos Pag

Introducción 1

1. Activos fijos 5

2. Inventarios 9

3. Recursos humanos 13

4. Compras y Cuentas por Pagar 18

5. Compras y cuentas por pagar – Contabilidad 24

6. Gobierno legal y corporativo 26

7. Tesorería 27

8. Cierre contable y reporte financiero 34

9. Gestión de TI y redes 38

10. Comercialización y mercadeo 54

11. Ventas y cuentas por Cobrar 56

12. Ventas y cuentas por cobrar – Contabilidad 66

13. Servicios financieros móviles 75

14. Seguridad Corporativa 87

15. Controles a Nivel de la Entidad 91

1

IntroducciónEste Manual de Control Interno (MCI) es un documento activo, que contiene una lista de las principales y obligatorias actividades de control que se espera encontrar en todas las operaciones de Millicom y demás funciones corporativas.

Objetivos del Control InternoEl ambiente de Control Interno de Millicom tiene por objeto garantizar que todas las operaciones realizadas dentro del Grupo cumplan con los principios y estrategias gerenciales, así, como con las leyes y normativa actuales del Grupo.

Mediante la implementación de sistemas de control interno en todas las actividades del Grupo, Millicom busca obtener una seguridad razonable de que el Grupo ha puesto en marcha las actividades necesarias para gestionar los riesgos que enfrenta:

• Para garantizar la exactitud y fiabilidad de la información financiera

• Para gestionar sus operaciones de una manera eficiente y eficaz

• Garantizar el cumplimiento de las leyes y reglamentos aplicables

De esta manera, se pretende proteger el valor de la Compañía para sus accionistas y empleados. Estas prácti-cas estándar deben adaptarse a las actividades y organizaciones locales.

Objetivos de este manualEl MCI y políticas relacionadas pretenden favorecer la integración de un nivel aceptable de control interno (CI) en todas las actividades del grupo (tanto de naturaleza financiera y no financiera).

El MCI tiene como objetivo proveer al personal al interior de Millicom con una lista más completa y detallada de las actividades de control específicas que deben de ser integradas en todas las operaciones y servicios corporativos.

Las actividades de control son presentadas de acuerdo con los principales procesos funcionales y operacio-nales y deben adaptarse a las actividades y organización locales. El MCI es complementario a las políticas y procedimientos de Millicom.

AlcanceCinco principios básicos de control interno constituyen la base del sistema de control interno de Millicom:

1. Delegación de Autoridad: La Delegación de Autoridad es una parte crítica dentro del marco de control y gobierno de Millicom. Millicom está organizada y gobernada a través de cadenas de autoridad delegada que empoderan a los empleados Millicom. Una operación puede definir o revisar sus estructuras mediante la reducción de niveles de gestión, la delegación de autoridad y responsabilidad a los niveles inferiores. Sin

2

embargo, la autoridad debe delegarse únicamente en aquellos que demuestran la competencia para tomar decisiones adecuadas, se adhieran al Código de Conducta de Millicom, políticas y procedimientos, y en-tiendan las consecuencias de los riesgos que asumen. En cualquier delegación de autoridad, el Delegador estará de acuerdo con el Delegado, de tal manera que cada parte entiende claramente:

a. La finalidad para la que se delega la autoridad.

b. Los objetivos a alcanzar y los recursos para lograrlos.

c. Las limitaciones de la delegación de la autoridad

d. La gestión de la actuación de la delegación de autoridad.

2. Segregación de funciones: es un componente fundamental de control interno; la separación de funciones y responsabilidades para asegurar que los individuos no pueden procesar transacciones de inicio a fin sin la participación de los demás, lo que reduce el riesgo de fraude y error a un nivel aceptable. Cuando se selec-cione o asigne un responsable para el desarrollo de las actividades de control, los dueños de los procesos deben tener en cuenta si las funciones están divididas o segregadas entre diferentes individuos para reducir los riesgos asociados de error o acciones inapropiadas o fraudulentas. Esta segregación de funciones por lo general implica la división de la responsabilidad del registro, autorización y aprobación de las transaccio-nes, y el manejo de activos relacionados. En el caso de que la separación de funciones no sea práctica, la gerencia debe desarrollar e implementar actividades de control de mitigación. Controles relacionados con la segregación de funciones se presentan en las diferentes secciones de este manual.

3. Las actividades de control: son las acciones establecidas a través de políticas y procedimientos que ayudan a asegurar que las directrices gerenciales puedan mitigar los riesgos para la consecución de los objetivos. Las actividades de control se realizan en todos los niveles de Millicom, en las distintas etapas dentro de los procesos del negocio y en el entorno tecnológico. Pueden ser preventivas o detectivas en su naturaleza y pueden abarcar una amplia gama de actividades manuales y automatizadas.

4. Medidas de seguridad física y lógica de los sistemas de información: Esto generalmente cubre los derechos de acceso a datos, sistemas operativos, redes, aplicaciones e instancias físicas. Los controles de seguridad sobre el acceso a la tecnología de Millicom protegen a la empresa contra el acceso inapropiado y el uso no autorizado del sistema. Al impedir el uso no autorizado y los cambios en los sistemas y datos, se está protegiendo la integridad de nuestros sistemas y el uso malicioso o un simple error.

5. Conservación y Archivo de documentos: Millicom desarrolla y mantiene documentación de su sistema de control interno por las siguientes razones:

a. Para proporcionar claridad en torno a las funciones y responsabilidades, promoviendo la coheren-cia de las prácticas deseadas en la gestión del negocio.

b. Para ayudar en la formación del nuevo personal y ofrecer una herramienta de repaso o de referen-cia para otros empleados.

c. Para proporcionar evidencia de la realización de actividades que forman parte del sistema de con-trol interno, lo que permite un seguimiento adecuado.

3

Las normas de conservación y presentación se aplican a todo tipo de documentos y datos, incluyendo la in-formación digitalizada.

Estos principios soportan los controles claves que deben aplicarse por todos dentro del Grupo. Los controles claves están diseñados como actividades de control necesarias para garantizar que los principales riesgos aso-ciados al proceso funcional u operacional sean manejados de la mejor manera.

ResponsabilidadesEl cumplimiento de los controles del Grupo y otros principios de control interno están bajo la responsabilidad directa de cada Operación, el CFO, la unidad de Negocio y los Departamentos.

Madurez de los controlesLa calidad de un control depende principalmente de la forma en que está diseñado y la eficiencia de la ope-ración de control.

Un control solido es a la vez:

Efectivamente diseñado: el control está diseñado y cubre todos los riesgos significativos en relación con un proceso o parte de un proceso adecuadamente.

Eficientemente operado: el control es operado como se ha diseñado, con la frecuencia exigida y de una manera coherente.

4

Las definiciones de la madurez de control Interno, utilizados por Millicom son

N/A N/A No aplica

No 0 El control no existe o es inefectivo

No, but 1 El control no está implementado como se describe en el MCI, pero existe otra actividad de control, que cubre los mismos objetivos y el riesgo

Yes, control exists 1 El control aplica solo a ALGUNAS transacciones. No se formaliza y/o no existe un

proceso documentadoo directriz local que lo describa

Yes, control is defined 2

El control se aplica a la MAYORÍA de las transacciones, se formaliza la ejecución. el diseño y la operación del control están documentados en un procedimiento local, política o directriz

Yes, control is managed 3

El control se ejecuta de manera sistemática y formalizada para todas las transac-ciones, existe un ciclo de mejora continua, es decir, las acciones correctivas y sus resultados son objeto de seguimiento

Los tres pilares “gente, proceso, sistema,” tienen una madurez alta, lo que significa que los tres criterios siguientes son eficaces

1. Responsable: el dueño del control está claramente asignado y capacitado

2. Gestión del conocimiento: el diseño y la operación del control, está documentada y actualizada

3. Automatización: el control está automatizado/integrado siempre que sea posible

La orientación adicional sobre cómo aplicar las definiciones en la práctica, incluyendo un árbol de decisión, está disponible.

5

1. Activos fijosEl objetivo principal de los controles internos sobre los activos fijos es maximizar el retorno de la inversión de los gastos de capital (CAPEX). Otros objetivos incluyen:

a. Salvaguardia de los activos de la compañía

b. Mantener un registro exacto de los activos fijos y

c. Asegurar que las adquisiciones y retiros están debidamente autorizados

1.1 Administración de Inversiones de Capital

FXA.CPX.CO.1 Aprobación de CAPEXTodas las inversiones CAPEX están debidamente autorizadas de acuerdo con la delegación en la matriz de autorizaciones antes de avanzar en el proyecto. Todas las aprobaciones se documentan basadas en la plantilla de solicitud de aprobación de Capital (CAR, Capex Approval Request).

FXA.CPX.CO.2 Modelo de negocio de inversiónCada proyecto de inversión potencial es apoyado por una evaluación financiera o modelo de negocio que de-talla como mínimo lo siguiente: descripción del proyecto, monto estimado de inversión de capital, retorno de la inversión, el enfoque de recuperación de la inversión, el periodo de recuperación, período de capitalización, fecha de puesta en servicio y asignación de propietario del proyecto calificado.

FXA.CPX.CO.3 Proceso para las compras relacionadas con el proyectoComo parte del cumplimiento de la compra del grupo Millicom de Pago (PTP), existe un procedimiento para garantizar los costos del proyecto / Los activos fijos se registran correctamente y consistentemente en los bienes de uso. Se registra en el cumplimiento de las políticas contables del Grupo y las NIIF (es decir, gastos de capital, los gastos operativos). Esto incluye la especificación del número del proyecto interno en toda la documentación de compra.

FXA.CPX.CO.4 Contabilidad analítica del proyectoEl análisis contable del proyecto busca asegurar la asignación adecuada de todos los costos incurridos en el proyecto.

6

FXA.CPX.CO.5 Actualización Mensual Administración del proyectoMensualmente, el líder del proyecto actualiza las herramientas de monitoreo y las comunica al departamento de Contabilidad. Esto incluye como mínimo, los programas de adquisiciones y especificaciones técnicas de compras detallados, así como un análisis de presupuesto Vs análisis de costo, previsiones revisadas, fecha prevista en servicio Vs fecha original en servicio.

FXA.CPX.CO.6 Gasto excesivoTodo gasto se vigila de cerca para asegurar que no se incurre en gastos no autorizados. Cualquier exceso de gasto potencial se escala a un aprobador autorizado; todo exceso de gasto debe ser plenamente justificado y apoyado por un CAR (Capex Approval Request) con el cálculo de amortización revisado que se mantiene en el archivo.

FXA.CPX.CO.7 Revisión Post InversiónSe fijan revisiones a la inversión y se llevan a cabo dentro de los tres meses siguientes a la entrega de proyec-tos para todas las inversiones > $ 5 millones USD de Solicitud de Aprobación de capital (CAR). La revisión se documenta adecuadamente y se comparte con el vicepresidente de infraestructura y estrategia tecnológica.

1.2 Adiciones de activos fijos

FXA.FAA.CO.1 Capitalización de los activosDatos relacionados con todos los activos nuevos, adquiridos o construidos, se informan rápidamente al depar-tamento de contabilidad donde se comprueba la Solicitud de aprobación del capital (CAR). Los gastos gene-rales atribuibles directamente (por ejemplo, mano de obra directa e intereses capitalizados) se completan y se precisan, capitalizándolos de acuerdo con las NIIF y la política de contabilidad del Grupo. Se registran como parte del costo de los activos fijos.

FXA.FAA.CO.2 Marcación de los activosLos activos fijos son etiquetados cuando se reciben. Proyectos llave en mano son etiquetados dentro de las 4 semanas a partir de la fecha de instalación.

FXA.FAA.CO.3 Conciliación de registro de activo fijoCambios en el Registro de Activos Fijos y GL (Libro Mayor) (registro/eliminación de activos) se realizan al mismo tiempo para asegurarse que sean consistentes. La conciliación se realiza por alguien independiente del proceso de capitalización de los activos fijos y está sujeto a revisión.

7

FXA.FAA.CO.4 Gestión de la información de activos fijosLa siguiente información se guarda en un archivo: número de etiqueta, número de la aprobación/CAR (Capex Approval Request) de la inversión, formulario de pedido, nota de entrega, factura, fecha de puesta en marcha, ubicación y tasa de depreciación.

FXA.FAA.CO.5 Lista de comprobación de capitalizaciónEl departamento de contabilidad prepara una lista de chequeo para capitalización de activos, antes de la adición de un sitio para asegurar que todos los ajustes aplicables son incluidos.

FXA.FAA.CO.6 Clasificación, vida útil y depreciación de los activosEl interventor junto con el técnico responsable, revisan la clasificación de la categoría de activos, la vida útil y el método de depreciación de activos basado en el cumplimiento de la política de contabilidad del Grupo. Cualquier desviación requiere aprobación por el contralor del Grupo.

FXA.FAA.CO.7 Revisión mensual de integridad y antigüedades y envejecimiento CWIPAntes de cada cierre, el libro mayor auxiliar se revisa para asegurar que todos los activos y facturas recibidas han sido registrados y que todo activo en uso se ha capitalizado. El libro auxiliar de trabajo en curso se concilia con el libro mayor general mensual. Un informe sobre la antigüedad de los trabajos en curso y se revisa men-sualmente, se da explicación de los trabajos en curso de más de seis meses.

FXA.FAA.CO.9 Cierre de Solicitud de Aprobación de capital (CAR)Cuando la recepción o construcción de activos se completa en su totalidad, su CAR es cerrado de forma que compras adicionales o potencialmente no relacionadas con el proyecto no puedan ser asignadas al mismo.

FXA.FAA.CO.10 new Revisar y aprobar la solicitud de capitalExiste una política documentada actual que detalla el proceso para solicitar financiación para activos fijos nuevos o existentes y/o para proyectos de capital nuevos o existentes. La política ha sido comunicada a los equipos pertinentes y se sigue en todos los casos de solicitudes de capital.

FXA.FAA.CO.11 new Pasivos y compromisos de arrendamientoLos compromisos de arriendo son calculados de acuerdo con los contratos firmados, IFRS y la política con-table del Grupo. Un registro de los contratos de arrendamiento se mantiene y se le incluye, como mínimo: Descripción de activos, fecha de inicio, fecha de finalización de arrendamiento, condiciones del pago de arren-damiento, cantidad y frecuencia.

8

1.3 Depreciación y deterioro

FXA.DAI.CO.1 Depreciación y cálculo de amortizaciónLa depreciación y amortización se calculan automáticamente al cierre de cada período a partir de los datos aprobados en la base de datos de activos fijos. El cálculo se compara con el presupuesto y período anterior para validar su consistencia, se reconcilia con los movimientos cláusula de amortización del balance de situa-ción sobre una base mensual. Las discrepancias se explican y / o son corregidos.

Un procedimiento trimestral asegura los cálculos de amortización y se detienen cuando el valor neto en libros de los activos llega a cero.

FXA.DAI.CO.2 Deterioro de activos fijos El equipo de Finanzas Global realiza revisiones de daño anuales en un nivel de Grupo, Sin embargo, las pruebas de deterioro de los activos fijos de subsidiarias son responsabilidad de las entidades dependientes. Existe un procedimiento para las pruebas de valoración y/o deterioro de los activos fijos.

Como mínimo, el procedimiento incluye lo siguiente: Descripción de los factores desencadenantes que pue-da iniciar una revisión, responsable de la revisión, las referencias a dichas políticas de grupo, los pasos de la revisión de deterioro (incluyendo la aprobación) y cómo la revisión es documentada. Cualquier ajuste al valor actual del goodwill y de los activos fijos están autorizados de conformidad con la matriz de autorización.

1.4 Disposición de los activos

FXA.ADI.CO.1 La disposición de activos fijosLa baja de activos fijos es formalmente justificada, solicitada, documentada y autorizada por los ejecutivos responsables. Las bajas de activos son comunicadas al departamento de contabilidad oportunamente con el fin de actualizar el Registro de Activos Fijos.

1.5 Registro de administración de activos fijos

FXA.FAR.CO.1 Inventario físico de los bienes tangiblesSe realiza regularmente un conteo físico de bienes materiales para verificar la existencia del activo fijo. Los resultados del conteo son conciliados con los registros de Activos fijos (FAR) / libro auxiliar. Todas las discre-pancias son investigadas y registradas sólo después de la aprobación apropiada.

Se organiza un programa cíclico de conteo que pueda cubrir el 100% de los activos durante un período de tres años. La estrategia de conteo cíclico debe estar documentada. Si se organiza sobre un período de tres años continuos, los activos individuales de más de 100 mil dólares al año se deben contar.

9

FXA.FAR.CO.2 Los movimientos de activos y actualización del registro de activos fijos (FAR)Existe un procedimiento que permite capturar los movimientos de los activos entre diferentes lugares. Se garantiza que el registro de activo fijo sea actualizado con exactitud y de manera oportuna. Se hace el reco-nocimiento y se reclasifica según los criterios para activos reubicados. Se relaciona la disposición de Retiro de Activos (ARO) y también se revisa la provisión.

1.6 Segregación de funciones

FXA.SoD.CO.1 Segregación de funciones – Compra de ActivosLa persona que a) aprueba las órdenes de compra de los activos fijos, b) recibe bienes, c) procesa las transac-ciones de las cuentas de activos fijos, d) tiene acceso de escritura al Registro de Activos Fijos, son independien-tes el uno del otro.

FXA.SoD.CO.2 Segregación de funciones – Recuento del inventario de Activos Fijos Los empleados que realizan el conteo de inventario de activos fijos son independientes de los responsables de la manipulación de los activos fijos.

2. InventariosLos principales objetivos del control interno sobre los inventarios, aseguran que:

a. la demanda del cliente siempre se cumple

b. registros de inventario son exactos

c. la inversión en inventario se mantiene en un nivel óptimo, y

d. las pérdidas por robo y obsolescencia se reducen al mínimo.

2.1 Contabilidad y ajuste de los inventarios

INV.IAA.CO.1 Aprovisionamiento y desaprovisionamiento de inventario.Trimestralmente se identifica el inventario de bajo movimiento, deteriorado y obsoleto y el aprovisionamiento o desaprovisionamiento es registrado en ese trimestre. Los ajustes de inventario se autorizan de acuerdo con la de-legación de autoridad local y están oportunamente registrados de acuerdo a los registros contables apropiados.

10

INV.IAA.CO.2 Conteo regular de inventario físico.Para elementos diferentes a las scratch cards: Es realizado un conteo completo del inventario físico mensualmente, bajo la supervisión del controlador financiero y no por empleados encargados de la manipulación de inventario.

Para elementos que no se cuentan mensualmente, se realiza un ciclo de conteo que cubra el 100% de estos ele-mentos en un año. La selección de los elementos a contar utilizando este ciclo es justificada en un documento escrito que es aprobado por el controlador financiero y revisado debidamente.

INV.IAA.CO.3 Conteo semanal de scratch cards.Las scratch cards son tratadas como dinero en efectivo y se contarán al menos una vez por semana. Para las scratch cards portadas por los empleados o agentes vendedores contratados, se tiene una toma de inventario mensual.

INV.IAA.CO.4 Procedimientos para toma de inventarios.Las instrucciones para toma de inventario deben estar documentadas y aprobadas en un procedimiento es-crito y comunicadas al personal responsable de la toma de inventario.

Las instrucciones deben ser precisas y proporcionar directrices sobre el proceso correcto en el reglamento de toma de inventario, por ejemplo: conteo doble, fecha del conteo, separación de bienes obsoletos y dañados, el diseño de las etiquetas de inventario y hojas pre-numeradas, el control de entrada y salidas durante la contabilización.

INV.IAA.CO.5 Conciliación de conteo físico con inventario registrado.La toma de inventario físico es conciliada con el inventario registrado como parte de la rutina de toma de inventario. Cualquier diferencia es investigada y las correcciones son asentadas siguiendo una segunda revisión/aprobación.

INV.IAA.CO.6 Procedimiento para transferencia de inventario.Las transferencias de inventarios entre locaciones son soportadas por notas de transferencia pre-numeradas (digital o física). Los registros de inventarios son actualizados prontamente para todos los movimientos.

INV.IAA.CO.7 Inventario en tránsito.Los inventarios en tránsito pendientes por más de un mes se identifican y se toman acciones correctivas.

INV.IAA.CO.8 Valoración de inventario.Los inventarios se valoran a su precio de costo o valor neto de realización (VNR). El costo del inventario se define teniendo en cuenta las rebajas y descuentos de proveedores e incluye los costes directos, como el trans-porte, los derechos de importación y los impuestos, etc.

11

2.2 Planeación de ventas y operaciones

INV.SOP.CO.1 Monitoreo de inventario.La cantidad de inventario de cada elemento (CAPEX y OPEX, incluyendo el inventario en consignación) es monitoreado mensualmente, incluyendo un cálculo a futuro (basado en la previsión de consumo) para ase-gurar que el inventario se mantenga en un nivel eficiente.

INV.SOP.CO.2 Planeación de inventario.Para todos los elementos del inventario (incluyendo inventario en consignación) se realiza mensualmente la planeación de las compras conjuntamente con logística, compras y usuarios de negocios (comercial/Empre-sarial) según corresponda. Esto para asegurar los inventarios o nivel de pedidos, cantidad de pedidos, días de ciclo, previsión de consumo, el tiempo de reaprovisionamiento y la variabilidad, etc.

INV.SOP.CO.3 Correcto recibo.Todos los inventarios recibidos son debidamente revisados por una persona entrenada para asegurar el cum-plimiento con órdenes de compra, entrega de instrucciones y estándares Millicom. Cualquier deficiencia o déficit debe reportarse inmediatamente, documentarse y tomar acciones.

2.3 Ventas de inventario

INV.SOH.CO.2 Generación de orden de envío. La nota de envío y entrega es generada automáticamente por el sistema y se incluye dentro del empaque a enviar.

INV.SOH.CO.3 Conciliación entre el despacho y la orden.Existe un proceso que asegura que las mercancías enviadas coinciden con la orden de pedido. El encargado de bodega verifica los elementos alistados con la orden de distribución, orden de pedido y orden de entrega.

INV.SOH.CO.4 Actualización de cantidades de inventario.El inventario se actualiza inmediatamente se hacen los envíos, al menos diariamente, y preferible si es automáticamente.

12

2.4 Controles para Scratch Cards

INV.SCC.CO.4 Gestión de registro numérico oculto.Se deben implementar los controles adecuados para la generación de los registros numéricos ocultos (HR-N´s), para almacenamiento, transmisión y activación de las scratch cards, para reducir los casos de robo y actividades fraudulentas.

El acceso al sistema usado para generar el HRN está restringido a personal autorizado.

INV.SCC.CO.5 Procedimientos de seguridad para proveedores de tarjetas.Los procedimientos de seguridad de los proveedores de las tarjetas son auditados para garantizar sus están-dares de calidad. Donde sea posible, los procedimientos deben ser verificados por una empresa de seguridad especializada pagado por el proveedor.

INV.SCC.CO.7 Almacenamiento y activación de scratch cards.Las scratch cards son almacenadas con número serial en la bodega. La activación para el punto de venta es documentada, y realizada lo más tarde posible para reducir casos de robo o actividades fraudulentas.

2.5 Inventario en consignación

INV.CIV.CO.1 Seguimiento del inventario en consignación.El inventario dado en consignación pertenece a la operación pero está ubicado en el distribuidor o proveedor local. Si el inventario en consignación está en manos de los distribuidores o proveedores, debe prepararse y conciliarse con apropiado detalle de ese inventario en una rutina base con lo consignado y facturado al menos una vez al mes. Los distribuidores deben garantizar como cubrir el valor de lo entregado en consignación.

INV.CIV.CO.2 Acuerdo del inventario en consignación.Existe un acuerdo formal para todo el inventario entregado en consignación. Específicamente define la pro-piedad del inventario hasta el pago total, las responsabilidades y penalidades en caso de pérdidas y las garan-tías para obtenerlo.

INV.CIV.CO.3 Monitoreo mensual del consumo del inventario en consignación.Existe una revisión mensual entre el consumo reportado de lo consignado, las órdenes y envíos del período. La información se proporciona entonces al departamento de contabilidad.

13

INV.CIV.CO.4 Inspección del inventario en consignación.Existe un procedimiento documentado que detalla el proceso para una inspección física aleatoria del inven-tario por un miembro de la compañía, dependiendo de la cantidad de inventario, valor, existencias e historial de facturación. La calidad y cantidad de diferencias son reportadas para asegurar que la contabilidad refleja los aprovisionamientos y desaprovisionamientos necesarios.


INV.SoD.CO.1 Segregación de funciones - Adquisición de inventario.Existe segregación de funciones, en las personas responsables de: a) adquisiciones; b) recepciones; c) pago de cuentas; d) toma de inventario; e) envíos; son independientes una de otra.

INV.SoD.CO.2 Segregación de funciones - Conteo de inventario.Las personas que realizan la toma de inventarios son independientes de las personas que manipulan los ele-mentos del inventario, por ejemplo el personal de bodega.

3. Recursos humanosLos controles internos de Recursos Humanos y el proceso de nómina tienen por objeto garantizar que:

a. Exista un proceso definido para gestionar el ciclo de vida del empleado desde la contratación hasta la salida y que además se ejecute.

b. Los sueldos, primas, comisiones y otros incentivos son otorgados y autorizados de acuerdo con las directrices de la empresa.

c. La nómina se calcula de acuerdo con los números de empleados reales y las condiciones contrac-tuales, y

d. Existe una adecuada segregación de funciones para reducir el riesgo de fraude.

3.1 Contratación de personal (Reclutamiento)

HRM.RCT.CO.1 Autorización para dar inicio al proceso de SelecciónSe da inicio a un proceso de contratación según las directrices de recursos humanos Millicom, con base a la matriz de la autorización de las operaciones y a la posición del reclutado.

14

HRM.RCT.CO.2 Formalización y aprobación de la contratación, despido, traslado y da-tos contractualesLa vinculación, el despido, los traslados y la modificación de los datos contractuales de los empleados están formalizados y han sido aprobados de acuerdo con la delegación local de la matriz de las autorizaciones.

HRM.RCT.CO.3 Examen Jurídico de los contratos de trabajoSe tiene presente en la preparación de los contratos de trabajo la revisión por parte de un asesor legal (Interno o Externo).

HRM.RCT.CO.4 Firma y actualización de los contratos de los empleadosTodos los contratos de los empleados están debidamente firmados por el funcionario correspondiente y por el representante de la entidad autorizada. Igual que las modificaciones posteriores realizadas durante el proceso de contratación. Estos contratos son debida y oportunamente actualizados para reflejar cualquier cambio dis-puesto en las leyes y reglamentos locales cuando sea necesario (por ejemplo, el cambio en el salario mínimo).

HRM.RCT.CO.5 La edad mínima de contrataciónExisten directrices locales que especifican la edad mínima de contratación, de acuerdo con la Organización Internacional del Trabajo (OIT), de acuerdo a las leyes locales y las normas de Recursos Humanos de Millicom o la que sea mayor. Se define que dentro de la operación exista un documento como “prueba de la edad”.

HRM.RCT.CO.6 Verificación de AntecedentesDependiendo de la posición, de la ley de empleo local, en los reglamentos y procedimientos, se incluye la ve-rificación de antecedentes para los solicitantes de empleo.

HRM.RCT.CO.7 nuevo La igualdad de oportunidadesTodas las posiciones disponibles se anuncian y se comunican internamente, y el debido proceso de recluta-miento se sigue para todas las posiciones abiertas. La documentación que justifique los cambios en datos maestros se conserva en el archivo.

3.2 Evaluación del Desempeño y Desarrollo de la Carrera Profesional

HRM.PAC.CO.1 Revisión anual de desempeñoExiste un proceso anual y oficial de desempeño y desarrollo del personal, el cual se encuentra documentado y se lleva a cabo por todos los gerentes de línea de acuerdo a las instrucciones del Grupo.

15

HRM.PAC.CO.2 Definición y comunicación de sistema de incentivosLos criterios para bonos de incentivos anuales están en línea con el Grupo y la estrategia de cada filial. Está claramente definido al principio de cada período y formalmente documentado. Las reglas de bonificación y el plan de incentivos son aprobados por la dirección ejecutiva de acuerdo con la delegación de matriz de auto-rizaciones y se comunican a todos los empleados.

HRM.PAC.CO.3 Programa de incentivos a largo plazoPara el programa de incentivos a largo plazo (si lo hay), existe un procedimiento de comunicación por escrito adecuado e incluye términos y condiciones, la elegibilidad de los empleados, determinación, la notificación y la aceptación del premio implementado.

3.3 Terminación

HRM.TRM.CO.1 Procedimiento de salidaExiste un procedimiento formal de salida que enumera todas las acciones obligatorias que se van a tomar y controles para llevar a cabo antes de que un empleado deje la empresa (recuperación de activos de la empre-sa, la eliminación perfiles y derechos de acceso, la recolección o la deducción de los préstamos, etc.). Cada sali-da de los empleados es apoyado con una copia del procedimiento de salida (o sumario, o lista de verificación) firmado por el gerente de línea de los empleados para dar cuenta del cumplimiento con el procedimiento.

HRM.TRM.CO.2 nuevo Conciliación con el archivo de datos maestros Una conciliación se lleva a cabo entre el detalle de empleados retirados y el archivo maestro de nómina para asegurarse que se realiza el proceso adecuado en la elaboración de la última nómina para asegurar del emplea-do retirado y que los empleados no sigan recibiendo un sueldo una vez el empleo ha cesado.

3.4 Documentación de Recursos Humanos e información maestra del empleado

HRM.EMD.CO.1 Política Local de Recursos Humanos Existe una política local de Recursos Humanos. Cada operación tiene un mecanismo para vigilar el cumpli-miento de su política de recursos humanos local, con la política de Recursos Humanos del Grupo y todas las leyes locales de empleo y regulaciones pertinentes. Las políticas de recursos humanos que se aplican a perso-nal extranjero se preparan únicamente por las oficinas principales de Millicom.

16

HRM.EMD.CO.2 Registro de los empleadosTodos los empleados que trabajan para la empresa debe estar debidamente registrados; La información sobre los empleados contratados directamente por Millicom se separa de los empleados contratados a través de una empresa de terceros. La información clave sobre todos los empleados deben ser custodiados de forma segura y el acceso está estrictamente limitado y sólo pueden ser accedidos por aquellas personas que correspondan.

HRM.EMD.CO.3 Revisión del organigramaEl organigrama se actualiza periódicamente y revisado para garantizar la exactitud de la información. Se pre-sentará al interventor Global HR dos veces al año: en el cuarto trimestre una vez que el presupuesto se valida y luego en junio para hacerle seguimiento a los cambios y desviaciones del presupuesto.

HRM.EMD.CO.4 Descripción del trabajoCada puesto de trabajo en la organización está soportado por una descripción genérica de sus funciones para asegurar que el papel que se espera esté en línea con el papel aceptado.

HRM.EMD.CO.5 La gestión del talentoSe implementa un proceso para identificar recursos clave (empleados con habilidades particulares, cualidades y/o conocimientos y que posean certificaciones específicas, etc.). Existe un plan de retención y una planea-ción, para validar que los recursos clave están bien ubicados.

3.5 Nómina

HRM.PYR.CO.1 Registro de las horas de trabajo y las ausenciasEl tiempo real trabajado y la categoría de ausencia (petición de vacaciones, solicitudes de licencia por enfer-medad, accidentes de trabajo, etc.) se registran y son monitoreados para informes mensuales de acuerdo con leyes y regulaciones locales.

HRM.PYR.CO.3 Revisión del informe de nóminas individualesEn cada proceso de nómina, el informe de nómina individual se revisa y se compara con los dos meses anteriores para identificar cualquier discrepancia. Deducciones de nómina (impuestos, seguridad social, pensiones y présta-mos a empleados, etc.) también están incluidas en la revisión. Todos los datos de nómina relevantes y los cambios (por ejemplo, la contratación, bonificaciones, etc.) se analizarán en base a los documentos de apoyo.

17

HRM.PYR.CO.4 Aprobación del informe de nóminasEl informe de nóminas es revisado y firmado de conformidad con los límites de autoridad como por el dele-gado en la matriz de autorizaciones, antes del pago.

HRM.PYR.CO.6 Conciliación de la nómina con los desembolsosEl informe de nóminas se concilia mensualmente a los desembolsos reales. Las diferencias son investigadas y resueltas. La conciliación es objeto de revisión.

HRM.PYR.CO.7 Planes de pensiones AnticipadaNo existe el beneficio de pensión anticipada.


HRM.SoD.CO.1 La aprobación de los derechos de acceso a datos de nóminaTodos los login de acceso a los datos maestros de nómina, por ejemplo: En la creación de nuevas entradas, modificaciones, eliminaciones, todo cambio de login de acceso (lectura o escritura) son revisados y autori-zados por el gerente de Recursos Humanos. El acceso está restringido para asegurar que sólo las personas autorizadas puedan acceder a los datos maestros de la nómina.

HRM.SoD.CO.2 Seguimiento a los cambios en los datos maestros del empleadoExiste un informe donde se muestra que la creación, modificación y eliminación de datos maestros del em-pleado emitido con regularidad. Es revisado por alguien independiente de aquellos que tienen autoridad para hacer cambios de Datos Maestros. Cualquier problema tiene un seguimiento inmediato hasta su solución.

HRM.SoD.CO.3 Existe en la nómina segregación de funciones, entre las ellas la Separación de:a. Quienes tienen acceso a Modificar datos maestros

b. Quien firma los registros de tiempo

c. Quien calcula el pago

d. Quien firma los pagos

HRM.SoD.CO.4 nuevo Los cambios en datos maestros del empleadoLos cambios en datos maestros (por ejemplo, salario, posición, deducciones de nómina, datos bancarios y la creación de nuevos empleados) están debidamente autorizados de conformidad con la matriz de autorizaciones.

18

4. Compras y Cuentas por Pagar Los principales objetivos del control interno sobre el proceso de compras y cuentas por pagar son:

a. Apoyar las necesidades operacionales a través de un proceso de adquisición eficiente y rentable.

b. Asegurar que las actividades de adquisición están en conformidad con las facultades delegadas.

c. Asegurar controles para prevenir y detectar el fraude.

Las actividades de control establecidas a continuación aplican a todas las categorías de compras, bienes y servicios, gastos e inversión.

4.1 Selección y gestión de proveedores

PPT.SSM.CO.1 Matriz de autorización para proceso de adquisiciónLos delegados a través de la Matriz de autorización definen la lista de aprobaciones requeridas en función de los topes y las políticas del Grupo, incluyendo la aprobación de contratos a proveedores, aprobación de órde-nes de compra y aprobación de facturas.

PTP.SSM.CO.2 Proceso de selección de proveedoresEl proceso de selección de proveedores incluye:

• Las solicitudes de pedido para definir las necesidades y especificaciones con el departamento de compras.

• Se organiza un proceso de pre-calificación, de acuerdo con la política de compras locales, antes de la selección competitiva real para establecer un grupo de oferentes que son capaces y pueden adherirse a los estándares de Millicom, es decir, el oferente es apto para el proceso.

• El análisis de los posibles nuevos proveedores/contratistas se realiza basado en los factores deter-minados en las directrices emitidas por el Departamento de Compras Corporativas.

• La documentación del proceso de abastecimiento y la decisión final (según la matriz de autoriza-ciones), se conserva durante un mínimo de cinco años después del finalizado el contrato, o más tiempo si es requerido por la legislación local

19

PTP.SSM.CO.3 Contratación competitivaEl proceso de contratación se realiza a través de un proceso competitivo (es decir, invitando a varios provee-dores a ser parte del proceso para que presenten sus propuestas). Si se necesita realizar un cambio de un pro-ceso competitivo, se formaliza a través de proveedor único y debe ser aprobado por la gerencia autorizada, e incluida en un reporte mensual preparado para el Oficial de Fraude/Gerente de Riesgo. El flujo de aprobación debe incluir, al menos, al jefe local de contratación y si el artículo de compra es parte de una categoría gestio-nada globalmente, debe informarse al director mundial de la categoría o jefe global de contratación.

PTP.SSM.CO.5 Acuerdo de confidencialidad para los proveedores y MillicomLa información proporcionada a Millicom por los proveedores en respuesta a una oferta es estrictamente confidencial. Todos los participantes, por parte del proveedor y por parte de Millicom, deben firmar un com-promiso de confidencialidad. Para los empleados de Millicom, no se requiere un acuerdo de confidencialidad específica, si está cubierto por el contrato de trabajo o un código de conducta.

PTP.SSM.CO.6 Evaluación Anual de ProveedoresAdemás de los topes definidos por el Departamento de Compras Corporativas, y en base a la evaluación de la criticidad local (riesgo / impacto financiero), los proveedores/contratistas existentes son evaluados periódica-mente contra los requisitos del contrato, por ejemplo, cualquier acuerdo de nivel de servicio definido (SLA) o indicadores clave de rendimiento (KPI).

PTP.SSM.CO.7 Fuente alternativa de proveedores para compras críticasPara las compras críticas sensibles/estratégicas se analiza sistemáticamente una fuente alternativa de suminis-tro para asegurar la continuidad del negocio. Las fuentes alternativas de suministro han sido identificadas y se puede acoplar a corto plazo para reducir al mínimo las interrupciones del negocio.

PTP.SSM.CO.8 Los acuerdos Marco Para los proveedores / contratistas principales (que se definen basándose en un análisis de riesgos, en la parte superior del valor de los gastos), un acuerdo marco general o un contrato se formaliza de manera sistemática, revisada y firmada por los niveles pertinentes de administración de acuerdo con las normas de las autoridades locales y por los proveedores/contratistas.

PTP.SSM.CO.9 Términos y Condiciones generales de comprasLos términos y condiciones generales de compra son estándar, son revisados por el jefe local del Departamen-to Legal, de Finanzas y de Cadena de Abastecimiento, se aplican a cada compra y se mencionan en la Orden de Compra, (PO). Las desviaciones ya sean en la PO, el Contrato o el acuerdo marco se mencionan y deben ser aprobados por los niveles pertinentes de administración de acuerdo con la Matriz de Autorizaciones. Para los artículos parte de una categoría administrada a nivel mundial, las modificaciones son aprobadas por el director mundial de la categoría a cargo de la misma.

20

PTP.SSM.CO.10 Administración del archivo maestro de proveedores (VMF)La compañía guarda un archivo maestro de proveedores (VMF), que abarca todos los proveedores aprobados y se mantiene con derechos de acceso limitados. El empleado que posea acceso a adicionar/eliminar/modificar, debe tener un respaldo y éstos no deben ser involucrados en el proceso de adquisición o Departamento de Con-tabilidad. Ninguna compra puede hacerse con proveedores no registrados en el VMF. Las condiciones de compra establecidas en el VMF tienen que ser utilizadas de forma automática para la creación de la PO, hasta el pago.

PTP.SSM.CO.11 Seguimiento a cambios en el VMFTodas las modificaciones hechas al archivo maestro de proveedores deben ser revisadas (con especial atención a los datos bancarios de proveedores), a través de la generación automática mensual de un “informe de con-trol de cambios” proveniente del sistema.

PTP.SSM.CO.12 Adhesión de los empleados a las reglas de contrataciónExiste un proceso para asegurar la adhesión por parte de los empleados a las normas de contratación: Existe un proceso de comunicación y formación sobre el procedimiento de contratación (incluyendo sólo a proveedores debidamente registrados) y la comunicación de las medidas disciplinarias en caso del no seguimiento o adherencia.

PTP.SSM.CO.13 Código de conducta de los proveedores de MillicomLos proveedores, al menos los que hacen parte del “TOP 20”, firman el Código de Conducta de Proveedores de Millicom y se les informa de los estándares de Millicom sobre la edad mínima legal de trabajo (revisar el control sobre edad mínima de contratación en el proceso de recursos humanos: HRM.RCT. CO.5).

PTP.SSM.CO.14 Control sobre el cumplimiento por parte de los proveedores al código de conducta.Los proveedores de alto riesgo, se definen con el apoyo del equipo de salud y seguridad en el trabajo corpo-rativo y de medioambiente (HSE - Health, Safety & Environmental) y de responsabilidad social empresarial (CSR - Corporate Social Responsibility). Se realizan controles periódicos para el cumplimiento del Código de Conducta para proveedores.

PTP.SSM.CO.15 Cláusula para impedir renovaciones tácitas (para evitar contratos a término indefinido)El acuerdo con proveedores incluye una cláusula que impide la renovación automática del contrato (Con excep-ción de los contratos de alquiler de sitio), y todos los contratos de suministro incluirán una cláusula que impide la renovación automática más allá de 5 años, (No habrán contratos de duración indeterminada) o, como mínimo, incluyen un mecanismo que permita la terminación por Millicom dentro de un tiempo razonable. Un proceso competitivo de licitación se debe seguir antes de una potencial renovación/extensión del contrato o un informe de justificación debe hacerse mucho antes de la fecha límite de la terminación del contrato.

21

4.2 Proceso de la orden de compra

PTP.POP.CO.1 Aprobación de las órdenes de compra PO Todas las órdenes de compra son autorizadas por un nivel específico de autoridad de acuerdo con las reglas de autoridad de gestión del grupo y de los administradores locales.

PTP.POP.CO.2 Campos obligatorios de las PO Cada PO tiene un número de referencia único, siempre que sea posible generado por el sistema. Cuando se utilizan órdenes manuales la secuencia se contabiliza. Cada PO incluye también la identificación del provee-dor, referencia del producto, cantidad, precio, condiciones de entrega y de pago junto con la referencia a los proyectos (proyecto CAPEX o OPEX) y el contrato o acuerdo marco, si aplica.

PTP.POP.CO.3 Identificación de los términos y bienes/servicios en la PO Los términos (condiciones de pago, los arreglos logísticos, etc.) de la orden de compra deben ser identificables. Los bienes y servicios a recibir deben ser fácilmente identificados en términos de la naturaleza y cantidad.

PTP.POP.CO.4 Las PO aprobadas quedan bloqueadas Una vez aprobadas, las órdenes de compra – (Purchase Orders – PO) deben ser bloqueadas para evitar mo-dificaciones en el sistema, para que los campos de datos (proveedor, la naturaleza de la compra, cantidad, número de pedido, etc.) no puedan ser modificados sin estar sujeta a una nueva aprobación.

PTP.POP.CO.5 Revisión del estado de la PO El estado de todas las órdenes de compras pendientes se revisa mensualmente y se toman medidas apropia-das, como el seguimiento de la entrega oportuna con el proveedor, la grabación de las entregas o el cierre de la orden de compra.

PTP.POP.CO.6 Todas las compras se realizan por el Departamento de compras Sólo el Departamento de Compras debe adquirir, solicitar cotizaciones o comprometer a la Compañía en la adquisición de bienes y servicios. Sin embargo, de acuerdo con la política de adquisiciones del grupo, las acti-vidades de adquisición seleccionados pueden delegarse a otros departamentos en los siguientes casos:

• Protección de seguridad esencial, los intereses estratégicos o comerciales de Millicom

• Los bienes y servicios que requieren conocimientos muy especializados

Esta delegación deberá estar documentada y aprobada por el jefe local de la Contratación.

22

PTP.POP.CO.7 Nuevo Todas las compras están respaldas por una orden de compra válidaTodas las compras requieren una orden de compra, incluyendo aquellas para las que existe un contrato de suministro. Las excepciones podrán concederse en función del nivel de gasto (por ejemplo, las compras de menos de US$ 200 realizadas por el área de adquisiciones no requieren una orden de compra) o la naturaleza del gasto (ej. categorías de compra, como servicios públicos).

Las excepciones al uso de la orden de compra se definen y se documentan, y son aprobadas por el responsable del Departamento Financiero (CFO) y son comunicadas a los equipos pertinentes internamente. El monitoreo es para asegurar que toda la actividad de compra que no ha seguido el proceso de orden de compra esté de acuerdo con la política de excepciones.

4.3 Recepción de bienes y servicios

PTP.RCG.CO.1 Conciliación entre la PO y nota de entrega La naturaleza y cantidad de los bienes recibidos se comparan con la nota de entrega y la PO. Las discrepancias o incumplimientos se informan sistemáticamente en la nota de entrega antes de reconocer el recibido, o no.

PTP.RCG.CO.2 Notificación de discrepancias e incumplimientos de entregas Discrepancias o incumplimientos significativos son notificados y aprobados por los responsables correspon-dientes de acuerdo a la matriz de autoridad local antes de ser aceptados.

PTP.RCG.CO.3 Registro de la información de los entregables Existe un proceso para asegurar los bienes y servicios de datos, la recepción oportuna y registrada con exac-titud en una entrada de mercancías Nota (GRN) o el recibo del servicio (GRN). Los datos se actualizan en el sistema de inventario, así como en el sistema de contabilidad.

PTP.RCG.CO.4 Control de calidad de los bienes y servicios recibidos Para todos los bienes y servicios existe un proceso de control de calidad y existe un procedimiento de recep-ción documentado e incluye como mínimo:

1. Responsable de recibir bienes y servicios de mercancías y control de calidad, incluyendo la validación por la matriz autoridad local

2. Qué controles específicos deben realizarse

3. Con qué frecuencia el control debe ser ejecutado

4. Problemas de calidad deben ser comunicados. Y

5. Cómo el control debe ser documentado para demostrar que se ejecuta.

23

PTP.RCG.CO.5 Reclamos a proveedores Las reclamaciones a proveedores se registran en un archivo específico. Se hará seguimiento regularmente por parte de las personas responsables de compras (Ejemplo. sustitución de bienes o solicitud de una nota de crédito).

Compras es responsable de la coordinación con el departamento interno. En función de la naturaleza de la reclamación, Contratación debe involucrar al departamento Legal o de Cumplimiento.

4.4 Logística

PTP.LOG.CO.1 Planeación del proceso de compras El departamento de Cadena de Suministro tiene una planificación de las adquisiciones para los departamen-tos de Abastecimiento, con la suficiente antelación (mensual como mínimo) para estar en condiciones de organizar la logística de los flujos de una manera óptima.

PTP.LOG.CO.3 Informe sobre indicadores de costo y rendimiento de logística El departamento de la cadena de abastecimiento local realiza un seguimiento mensual de los costos de lo-gística y los indicadores clave de rendimiento (KPI) por ejemplo, costo de transporte por aire / tierra / mar / multimodal, la relación de la carga aérea, el análisis de costos de almacenamiento y el espacio, etc. Cuando se identifican las debilidades, las acciones correctivas apropiadas se aplican oportunamente.

4.5 Gestión de Terceros

PTP.TPO.CO.1 La aprobación de la contratación de consultores La contratación de consultores, contratistas, agentes temporales de corto / largo plazo, deberá estar debida-mente aprobada, de acuerdo con la matriz de autorizaciones de la Compañía.

PTP.TPO.CO.3 Monitoreo de Asesores y costos de la mano de obra externa Los costos de mano de obra subcontratada, como consultores, contratistas y agentes temporales deben ser registrados, se debe hacer seguimiento y notificación periódica a la administración local, para asegurar que no hay desvío de los procedimientos de contratación.

A modo de ejemplo, el seguimiento se puede proporcionar a través de indicadores claves de rendimiento, como el número / costo de la mano de obra subcontratada Vs los empleados de nómina, para la operación completa y por departamento, la duración promedio de la asignación del personal subcontratado, porcentaje de las posiciones claves ocupadas por empleados subcontratados, etc.

24


PTP.SoD.CO.1 La separación de funciones - La adquisición de bienes y servicios Las personas que: a) ingresan las órdenes de compra; b) autorizan las órdenes de compra; c) reciben los bienes y servicios; d) procesan las transacciones de la cuenta de compras. Y e) actualizan el archivo maestro de pro-veedores. Son independientes uno del otro.

4.7 Gestión del proveedor

PTP.DAI.CO.1 nuevo Desempeño ético de los proveedores Todos los proveedores en las categorías de alto riesgo (según la política Millicom) con contratos de suministro de más de $ 1 millón USD por año, han completado una autoevaluación EcoVadis dentro de los últimos dos años.

Cualquiera de los proveedores que puntúan por debajo de 35/100 tiene un plan de acción correctivo y segui-miento del avance por la operación.

5. Compras y cuentas por pagar – ContabilidadLos controles internos del proceso Compras y cuentas por pagar – Contabilidad tiene por objeto garantizar que los pagos a proveedores se registran con puntual precisión.

5.1 Grabación de facturas

PTP.IVR.CO.1 Recepción de las facturas Existe un proceso para asegurar que todas las facturas son recibidas directamente por el departamento de finan-zas. Esto puede ser a la vez un proceso físico, por ejemplo, las facturas físicas son recibidas en la recepción que luego las lleva directamente al departamento de finanzas, y/o un proceso digital, es decir, las facturas electrónicas se envían a una dirección única de e-mail para contabilidad, por ejemplo, [email protected].

PTP.IVR.CO.2 Tres pasos (three way match) entre la PO, los documentos de entrada y la factura.La orden de compra (PO), la recepción de documentos y las facturas de proveedores se analizan para identifi-car que haya concordancia y son revisadas para su aprobación antes de preparar el pago al proveedor.

PTP.IVR.CO.3 Resolución de disputas Los conflictos con los proveedores son registrados y controlados por el departamento de finanzas sobre una base continua. El departamento de finanzas es responsable de la coordinación con el(los) departamento (s) involucrados en la disputa con el proveedor para asegurar una pronta resolución. En función de la naturaleza de la disputa, finanzas debe involucrar al área legal o de recursos humanos.

25

5.2 Gestión de cuentas por pagar

PTP.APM.CO.1 Revisión mensual y la confirmación de saldos por pagarSobre una base mensual, finanzas prepara un calendario de provisiones basado en la lista de productos / servicios recibidos pero no facturados. El equipo de finanzas, en conjunto con cada departamento correspon-diente, revisa la lista de órdenes de compra pendientes con el fin de determinar si se requieren provisiones de bienes / servicios recibidos físicamente pero no facturados.

PTP.APM.CO.3 Revisión de cuentas por pagar vencidasUna revisión periódica de los saldos de proveedores / vencimiento de saldo acreedor y débito incluidos en cuentas por pagar del libro mayor se realiza para prevenir el fraude y la duplicación de pagos. Cualquier ano-malía se investiga y se corrige cuando sea necesario.

PTP.APM.CO.4 Confirmación anual de los datos de las cuentas por pagar con los 20 pro-veedores más importantes Las conciliaciones de cuentas por pagar de los 20 proveedores más importantes se realizan anualmente (antes de fin de año). Se identifican y se investigara las diferencias entre la declaración de proveedor y el libro mayor acreedor. Se hacen las correcciones necesarias después de su revisión y aprobación.

PTP.APM.CO.5 Aprobación de pagos anticipados Los pagos anticipados y los avances son aprobados de conformidad con la Matriz de autorizaciones. Como práctica recomendada éstos deben mantenerse a un mínimo y sólo se producen en el contexto de las nego-ciaciones contractuales.

PTP.APM.CO.6 Revisión mensual de pagos anticipados Los pagos anticipados se concilian y examinan mensualmente para gestionar el riesgo de doble pago y garan-tizar que los costos se reconocen en el período contable correcto. Todos los pagos anticipados deben:

• Estar vinculados al contrato correspondiente y PO.

• Se deben verificar todas las facturas vinculadas al contrato para garantizar que el pago anticipado fue legalizado.

PTP.APM.CO.7 Conciliación de Libro de compraEl total de los saldos de proveedores se concilian mensualmente de manera individual con el libro mayor. Partidas conciliatorias son identificadas e investigadas. La conciliación es objeto de revisión.

26

6. Gobierno legal y corporativo Los principales objetivos de Control Interno sobre los procesos de gobierno legal y corporativo son los de asegurar que los contratos cumplan con las leyes y normativa, así como con las políticas corporativas, y res-pondan al mejor interés de la Compañía. Las actividades de control establecidas en adelante se aplican a todas las categorías de contratos.

6.1 Gestión contractual

CGV.LEG.CO.2 Numeración de Contratos y Almacenamiento Todos los contratos están numerados (por secuencia numérica, alfabética o en combinación). Todos los grupos cumplen con el Procedimientos de retención y las regulaciones locales. Un registro de contratos se mantiene bajo la supervisión del departamento legal (u otra función designada) que detalla todos los contra-tos firmados, fecha del contrato, la propiedad de contrato y emplazamiento de almacenamiento. Todos los contratos se almacenan de forma segura (por ejemplo, en una caja fuerte a prueba de fuego).

CGV.LEG.CO.3 Comunicar al área financiera los nuevos contratos Está definido el procedimiento para informar y comunicar al departamento de Finanzas sobre los nuevos contratos. Los contratos nuevos o complejos y sus posibles efectos contables, son discutidos con el depar-tamento financiero antes de la firma. Cuando se considere necesario, el equipo del Grupo de Finanzas y / o equipo de IFRS son consultados.

CGV.LEG.CO.4 Términos de gestión del contrato Esta formalmente implementado el procedimiento, con las condiciones contractuales, el seguimiento de los términos es verificado por funcionarios relevantes (incluyendo la terminación y cláusulas de renovación). La renovación automática del contrato está desestimada y todos los contratos tienen como mínimo, un meca-nismo que permite en un plazo razonable la terminación o cancelación por Millicom. La supervisión del ren-dimiento y la notificación oportuna están definidas. Los incumplimientos y las excepciones, son identificados y reportados, y se toman medidas para resolverlas de una manera oportuna.

6.2 Solicitud de Colaboración de las Autoridades

CGV.COR.CO.1 Gestión de solicitudes de asistencia al cumplimiento de la leyEn cumplimiento de la ley el departamento legal local confirma la legalidad de las solicitudes de colaboración de las autoridades antes de que se procesen. La autoridad que hace la solicitud proporciona por escrito. En caso de petición urgente, la solicitud escrita se puede proporcionar de manera posteriori. Todas las solicitudes

27

deben ser documentadas y archivadas según el tipo (intercepción en vivo, los datos de CDR, datos de MFS y retirada de contenidos) y de la autoridad solicitante. Las áreas informan el número total de solicitudes por categorías de forma anual, formalizándolo en los informes a través de la herramienta corporativa Enablon.

CVG.COR.CO.2 Monitoreo de la privacidad de las bases de datos del cliente Para responder a solicitudes de asistencia en cumplimiento de la ley, el acceso a las base se datos del cliente (la información personal del cliente, los datos de CDR, tales como llamada, ubicación, SMS, correo electrónico o información de tráfico de Internet, documentos de servicios en la nube, la dirección IP) está estrictamente supervisado:

• El acceso a esta información está justificado y documentado de forma sistemática.

• Sólo las personas autorizadas tienen acceso a las bases de datos del cliente.

• Es posible generar un informe de registro de acceso que es emitido por TI y es revisado por el área legal, fraude o el equipo de seguridad, para comprobar que sólo las personas autorizadas recupe-raron o consultaron la base de datos del cliente.

7. TesoreríaLos principales objetivos de CI de Tesorería son asegurar: a) todo el efectivo se recibió y registró con rapidez y precisión. b) todos los desembolsos de efectivo se encuentran debidamente autorizados y se registran adecua-damente c) los saldos de caja se mantienen en niveles adecuados. d) se reduce al mínimo el riesgo de fraude; y e) el cumplimiento de las directrices de la empresa y las leyes locales.

7.1 Cuentas bancarias

TRS.BAC.CO.1 Relaciones bancarias Todas las relaciones bancarias, incluyendo la apertura y la celebración de las cuentas bancarias, cuentas en el extranjero, líneas de moneda extranjera, garantías bancarias, banca electrónica, sistemas de pago y cualquier otro servicio bancario se establecen con sólo los bancos permitidos, tal como se define en las políticas de te-sorería del grupo de acuerdo con la matriz de autoridad local.

La apertura y cierre de la cuenta bancaria con el banco seleccionado debe ser notificada al equipo de tesorería de Millicom cuando ocurra. Cualquier apertura de cuentas bancarias con bancos no autorizados deber ser apro-bada por escrito por el director de finanzas del Grupo o el Tesorero del Grupo, previa la apertura de la cuenta.

28

TRS.BAC.CO.3 Mandato bancario Cada Filial / Operación mantiene un registro de todas sus cuentas bancarias y una lista de todos los firmantes autorizados. Los firmantes autorizados para cada cuenta bancaria son aprobados formalmente por el Consejo de Administración de Operaciones o de acuerdo con la matriz de autorización, de acuerdo a los estatutos sociales locales. Trimestralmente el CFO revisa la lista de firmantes autorizados por cualquier cambio. Esto está documentado y compartido con la Tesorería del Grupo. Todos los cambios en las firmas autorizadas son notificados inmediatamente al banco (s).

TRS.BAC.CO.4 De cobertura No se realizan operaciones de tesorería especulativas (es decir, con la única intención de obtener beneficios), incluso para el negocio de MFS. Los instrumentos de cobertura (valor razonable / flujo de caja / seguro de cambio según se define en las Políticas de Tesorería Grupo) se realizan sólo con los bancos principales, ver Política de Tesorería para las excepciones, por ejemplo, Colombia. No hay instrumentos de cobertura con vencimiento superior a 6 meses.

Cualquier estrategia y ejecución de cobertura es aprobada por el grupo de tesorería, gestión de capitales y aprobados por el equipo de Millicom y/u otras personas autorizadas como se define en las Políticas de Teso-rería del Grupo.

Hay limitadas excepciones específicas a esta política relacionada a Colombia que se detallan en la Política de Tesorería del Grupo. Estas deben cumplirse en su totalidad.

TRS.BAC.CO.5 La tarjeta de crédito corporativa Las tarjetas de crédito corporativas se expiden a los empleados con la aprobación de: • los gerentes de línea de los empleados, y el CFO. Las tarjetas débito corporativas con débito directo a la cuenta de la empresa no están autorizadas, con la excepción de las tarjetas débito aprobadas de manera formal tanto por el vicepresidente ejecutivo responsable y el CFO, presidente.

En el caso en que las tarjetas corporativas con débito directo en la cuenta bancaria de la Compañía (s) se expi-dan a miembros seleccionados del personal, debe existir un procedimiento que cubra los principales riesgos y controles, debe estar documentado y se debe incluir la lista de tarjetas en circulación.

TRS.BAC.CO.6 El seguimiento de la tarjeta de crédito corporativa El departamento de contabilidad obtiene mensualmente del departamento de Tesorería una lista actualizada de los empleados que se les ha emitido una tarjeta de crédito corporativa. La lista se verifica con la lista de empleados sobre una base mensual. Todas las inquietudes son objeto de seguimiento.

29

7.2 Pasivos financieros

TRS.FDB.CO.1 La deuda externa Los acuerdos externos para nuevos préstamos, bonos y líneas de crédito, independientemente de los valores, vencimientos o soporte de garantía, sólo podrán registrarse con la aprobación formal de la tesorería del gru-po Millicom. Esto incluye cualquier forma de programas de financiación de proveedores. Todos los términos y condiciones de los acuerdos de financiación externos son revisados y formalmente firmados por el grupo Legal y de Tesorería antes de firmar dichos acuerdos.

Esto es válido independientemente del vencimiento de la deuda (a corto, medio o largo plazo), y con indepen-dencia de si una garantía será proporcionada por el Grupo Millicom o no. Además la autorización adecuada también se debe obtener de la Junta local y el CFO de Millicom o la junta de Millicom dependiendo del tamaño y la delegación de autoridad.

TRS.FDB.CO.3 Acuerdo fuera de balanceAntes de entrar en un acuerdo fuera de balance (por ejemplo, garantía bancaria), los compromisos son apro-bados por un representante legal y de gestión de acuerdo con la delegación local de la matriz de la autoridad. Ellos están debidamente registrados y revisados regularmente para la acción apropiada. Todos los registros de garantía son reportados a la Tesorería del Grupo Millicom sobre una base mensual.

La aprobación se obtiene del Grupo de tesorería de Millicom y el Equipo Legal del Grupo antes de buscar cualquier garantía externa. En función de la importancia de la garantía, podría requerirse la aprobación del CFO del Group o la junta de Millicom según la delegación de la autoridad contenida en las Políticas de Te-sorería del Grupo.

TRS.FDB.CO.4 Revisión del registro de préstamos Se revisa el registro de préstamos de forma periódica para comprobar que sea correcto y completo (incluyendo la coherencia del gasto en intereses, clasificación en corto/largo plazo, etc.) y se compara con el Libro Mayor.

TRS.FDB.CO.5 Condiciones El equipo de la tesorería local supervisa el cumplimiento de las Condiciones e informa trimestralmente a los controladores regionales en Luxemburgo. Los controladores revisan el cumplimiento de Condiciones y firman la revisión como evidencia. Mensualmente los controladores regionales realizan la supervisión de cumpli-miento de condiciones independientes e informan a la Tesorería del Grupo Millicom. Todas las violaciones o posibles violaciones de Condiciones se comunicarán inmediatamente al grupo de tesorería de Millicom y el controlador regional de la operación.

30

7.2 Procesamiento de pagos

TRS.PPR.CO.2 Procedimiento de pago a tiempo de facturas y retencionesExiste un procedimiento estándar y está documentado para asegurar el pago puntual de las facturas y reten-ciones. El procedimiento proporciona orientación en relación con varios tipos de pagos (autoridad pública, proveedores, etc.).

TRS.PPR.CO.5 Aprobación de pagos Todos los pagos bancarios deberán estar avalados por los justificantes pertinentes, aprobados de acuerdo con la matriz de autorización local y registrados en el libro mayor antes del pago.

Todos los pagos bancarios están sujetos a la doble aprobación por las firmas autorizadas. Firmantes son for-malmente aprobados por el Consejo de Administración o autoridad competente de la operación de acuerdo con los estatutos locales tanto ‘ A’ y ‘ B ‘ autorizados.

TRS.PPR.CO.6 Pagos domiciliadosLos pagos a los proveedores a través de orden permanente se mantienen al mínimo. Todas las órdenes perma-nentes son revisadas y validadas con los bancos contra los contratos de los proveedores sobre una base anual.

TRS.PPR.CO.7 La integridad de las cuentas bancarias de proveedores La información relativa a las cuentas bancarias de proveedores, condiciones de pago, forma de pago se ali-menta automáticamente desde el archivo maestro de proveedores para el módulo de pago / plataforma / herramienta durante el proceso de preparación de los pagos. No hay modificaciones de los datos maestros de proveedores se pueden hacer en la herramienta de pago después de esta transferencia automatizada.

7.3 Caja Menor

TRS.PTC.CO.1 Seguridad de facilidades de pago El acceso a las facilidades de pago (pago de MFS, talonarios de cheques, y la caja Menor) está restringido y controlado. El monitoreo incluye, entre otras cosas, una numeración secuencial de los controles y los movi-mientos de caja Menor.

TRS.PTC.CO.3 Procedimiento de gestión de caja MenorExiste una política claramente definida para la gestión de los gastos de caja Menor (una de las políticas cu-briría: uso autorizado, nivel máximo de almacenamiento de efectivo para gastos menores, la reposición, los límites de autoridad para los gastos de caja menor, la segregación de funciones entre los responsables de la caja menor y aquellos que autorizan el gasto, etc.). La política está documentada y comunicada.

31

TRS.PTC.CO.4 Revisión de los movimientos de caja MenorLos movimientos de caja Menor se registran para documentar cómo se gasta el dinero en efectivo. Los ade-lantos en efectivo son compatibles con los recibos de cada monto emitido. Los movimientos de caja menor se revisan y se concilian con los recibos de caja al saldo de cada de cierre. La revisión incluye un inventario de caja Menor semanal y conteos periódicos “sorpresa” por alguien independiente. El número de cuentas y el nivel de participación de las partes independientes en los conteos deben ser determinados con base en el riesgo. Todas las operaciones deben reducir al mínimo el uso de caja Menor (niveles retenidos, número de ubicaciones).

TRS.PTC.CO.5 El seguimiento de los adelantos en efectivo a los empleadosLos avances en efectivo / préstamos a los empleados pueden ser aprobadas solamente y conjuntamente con personal autorizado de recursos humanos. Se firma un acuerdo formal entre la empresa y el trabajador, don-de el empleado reconoce formalmente que la cantidad de adelanto en efectivo / préstamos serán deducidos de su pago en cantidades regulares hasta que esté completamente recuperado por la empresa. Recursos hu-manos registra en un archivo los adelantos en efectivo / préstamos aprobados de los empleados para tomar las medidas que sean necesarias.

No hay avances en efectivo para directores generales EVP (o superior) sin la aprobación oficial de la Junta Gru-po Millicom. Adelantos en efectivo aprobados / préstamos a empleados se describen como tales en los com-probantes de pago, firmado por los empleados, y registrados en los libros de contabilidad como un anticipo.

7.4 Conciliación bancaria

TRS.BRC.CO.1 Conciliaciones bancarias Mensualmente todos los saldos de cuentas bancarias son conciliados con los extractos de cuentas bancarias y el libro de caja, Las partidas de conciliación que no coincidan se documentan y se investigan para resolverlas de manera oportuna. Las conciliaciones son revisadas y firmadas por el responsable financiero (CFO), el con-tralor del grupo / director de contabilidad del Grupo para la dirección general. Una copia de la conciliación, junto con la documentación de respaldo se archiva. El proceso de conciliación cumple con la política de Te-sorería del Grupo y se realiza de forma automática en el módulo ERP, donde está disponible.


TRS.SoD.CO.1 Segregación de funciones para el pago Existe segregación de funciones entre las siguientes personas: 1. la persona que procesa los pagos y tiene ac-ceso a los sistemas bancarios, cheques, etc. 2. La persona que aprueba las facturas y eleva las solicitudes de pagos, 3. La persona que aprueba los pagos; y 4. La persona que registra los pagos en los libros locales.

32

TRS.SoD.CO.2 La seguridad de los pagos en efectivoLa segregación de funciones existe entre los responsables de los pagos en efectivo y aquellos que autoricen tales gastos. La delegación de autoridad para la aprobación de los pagos en efectivo y transferencias de dinero se documenta en la matriz de autorizaciones local.

TRS.SoD.CO.3 Seguridad de acceso al sistema de banca electrónicaLa lista de las personas autorizadas para acceder al sistema de banca electrónica, en caso de existir, se revisa al menos trimestralmente con la lista que dispone Recursos humanos. La lista se aprueba, con una periodicidad anual como máximo, en función del nivel de gestión adecuado con el banco.

TRS.SoD.CO.4 Segregación de funciones para la conciliación bancariaExiste segregación de funciones entre las siguientes personas: 1. la persona que registra la transacción bancaria en los libros de contabilidad. 2. la persona autorizada para realizar los pagos. 3. Y la persona que realiza las conciliaciones bancarias.

7.6 Gestión de efectivo

TRS.CAS.CO.1 La conversión del excedente de caja Con periodicidad semanal, los excedentes de efectivo (es decir, todo aquello que sobrepase un mes en OpEx o CapEX, excluyendo el efectivo restringido de la cuenta de fideicomiso de Servicios Financieros Móviles) se convierte a USD y se deposita offshore de acuerdo con la Política de Tesorería del Grupo, con la excepción de Chad y Senegal, donde el excedente de efectivo se gestiona en euros. Todo el efectivo se consolida de manera semanal en las cuentas maestras, tal y como se establece en la Política de Tesorería del Grupo

TRS.CAS.CO.2 Seguridad de los excedentes de cajaSe prioriza el depósito de excedentes de caja de la siguiente manera: a) Cuenta general corporativa, b) depó-sitos a corto plazo con menos de 6 meses de vencimiento con los bancos principales definidos en la Política de Tesorería del Grupo. Cuentas en el extranjero con los bancos no principales están cerradas.

TRS.CAS.CO.3 La previsión de flujo de efectivoSe prepara una predicción del flujo de caja de 15 meses continuos cada trimestre y se envía a través del pro-ceso de predicciones trimestral estándar (planificación y análisis financiero (FP&A) y entregas de pérdidas y ganancias (P&L) y bancos y valores (B&S)).

33

TRS.CAS.CO.5 Gestión de excedentes de cajaLa inversión de excedentes de caja ( incluyendo, pero no limitado a los instrumentos que contienen deriva-dos) es hecha solo por personas debidamente autorizadas y con la aprobación formal por escrito ya sea por el director financiero del grupo o el tesorero del grupo y en cumplimiento de la Política de Tesorería del Grupo.

7.7 Servicios Financieros Móviles - cuentas de fideicomiso

TRS.MFS.CO.2 El seguimiento de las cuentas de fideicomisoLas cuentas de fideicomiso se revisan trimestralmente para asegurar una adecuada diversificación de los ban-cos asociados y el cumplimiento de las Políticas de Tesorería del Grupo, así como la regulación local. Los valores disponibles por cuenta son monitoreados de forma permanente. Acciones tales como el seguro de depósitos, se toman cuando se considere necesario.

TRS.MFS.CO.3 Intereses de las cuentas de fiduciariasExiste un procedimiento formal definido, documentado que controla y gestiona todas las entradas de cuen-tas fiduciarias, por ejemplo, el pago de intereses, la distribución de interés para los clientes y agentes, gastos bancarios, los gastos relacionados con honorarios, etc.

Una estrategia para gestionar el interés de las cuentas fiduciarias es discutida con un representante legal y el equipo de Tesorería.

TRS.MFS.CO.4 Administración de Fondos MFS Todo el efectivo restringido el MFS se lleva a cabo en moneda local y en forma de depósitos que garantizan el 100 % de liquidez, sin riesgo a su capital y sin penalizaciones por amortización. De acuerdo con la Política de Tesorería del Grupo, todo efectivo no restringido se transfiere de forma regular desde las Cuentas de Fideico-miso de Servicios Financieros Móviles a las cuentas bancarias de MIC. Todas las posiciones de efectivo MFS restringidos y no restringidos, por las cuentas de fideicomiso, se reportan mensualmente en HFM.

TRS.MFS.CO.5 Transacciones transfronterizas de MFSTodas las cuentas de Tigo fiduciarios se pre - financian por los agentes y clientes, a menos que otros requisitos sean dictados por la ley.

En el contexto de las transacciones transfronterizas (ambas transacciones internacionales entrantes y salien-tes), la creación de dinero electrónico es pre- financiado en moneda local en el momento en que el dinero se transfiere. Cualquier desviación de esta norma está aprobada específicamente por la Tesorería del Grupo Mi-llicom. Los contratos firmados antes de 2014, en el que no se cumpla con este requisito de pre - financiación son revisadas con el objetivo de garantizar el cumplimiento.

34

RS.MFS.CO.6 Préstamos entre empresasEn lugares donde el MFS es una entidad legal separada: cada 6 meses y no más tarde de 30 días después del final del período de 6 meses, el director financiero de la operación (CFO) y el Jefe MFS envían a la tesorería del grupo Millicom y al Equipo Global MFS la necesidad de recapitalización para el MFS de la Compañía.

Dicha evaluación incluye tanto dinero y la financiación no efectiva. La evaluación debe ser aprobada por la Comisión de Hacienda y por el Gerente Global de Impuestos y el director de impuestos locales.

8. Cierre contable y reporte financieroLos objetivos principales del Control Interno sobre el proceso de cierre Contable y reporte financiero son:

a. Asegurar el cierre oportuno, preciso y completo de los libros subyacentes

b. Preparar informes financieros internos y externos. Y

c. Que se lleve a cabo la presentación oportuna de los informes con las autoridades externas.

Además las actividades de control relacionadas con los gastos de viaje se presentan en la sección 8.6

8.1 Actividades del cierre financiero

CFR.FCA.CO.1 Aprobación de cambios en los cuadros de cuentas localesLos cambios en los planes de cuentas locales son aprobados por un ejecutivo autorizado y están de conformi-dad con las directivas de grupo. Cuentas específicas entre compañías se crean en el sistema de contabilidad local basado en las instrucciones corporativas.

CFR.FCA.CO.2 Lista de chequeo de cierreExiste una lista de control de cierre mensual por el controler financiero para asignar que realizó y que revisa todas las tareas mensuales de cierre dentro del equipo de finanzas. La lista de control de cierre se utiliza para contrastar los resultados con los plazos de presentación de informes internos y de grupo. La lista de control de cierre completo es revisada y aprobada por el controler al final del proceso de fin de mes.

CFR.FCA.CO.3 Lista de chequeo de provisiones potenciales Se prepara una lista de comprobación de las áreas donde las obligaciones podrían dar lugar a provisiones, y es actualizada por lo menos cada tres meses. El Departamento de Finanzas recibe una actualización de las obli-gaciones potenciales de cada departamento para asegurar el tratamiento contable de las obligaciones reales o potenciales (legales, regulatorios, comerciales, tributarias, distintas) la cual es revisada.

35

CFR.FCA.CO.4 Monitoreo de las cuentas pendientes o transitoriasTodas las cuentas transitorias y de compensación son revisadas y aprobadas con regularidad. Cada cuenta se concilia de forma mensual que incluye un análisis de antigüedad de saldos. Cada conciliación de cuentas es revisada por alguien independiente del preparador.

CFR.FCA.CO.5 Conciliación de libros auxiliares con el libro principal contable Todas las cuentas de balance son conciliadas sobre una base regular. Como mínimo, cuentas de alto riesgo y / o cuentas de alto volumen se concilian mensualmente. En particular, todos los libros auxiliares (activos fijos, cuentas por cobrar, cuentas por pagar, inventario, etc.) se concilian con el libro mayor mensualmente. Todas las conciliaciones son revisadas y firmadas por la dirección. La segregación de funciones existe entre el preparador y revisor.

CFR.FCA.CO.6 Validación de juicios o tratamientos contables complejosTodas las transacciones nuevas y / o significativas en las que el tratamiento contable es crítico o complejo (por ejemplo, lo que representa para los derivados, las ventas de la torre y posterior arrendamiento financiero operativo, etc.) son identificados. El tratamiento contable propuesto es analizado y documentado. Este es remitido al equipo del Grupo IFRS para su revisión y aprobación.

CFR.FCA.CO.7 Revisión de ProvisionesAl final de cada periodo deben estar contabilizadas todas las partidas a fin de poder realizar un cálculo ra-cional de la provisión (de acuerdo con IFRS). Las provisiones se actualizan al menos trimestralmente y son aprobadas para su integridad y exactitud.

CFR.FCA.CO.8 Política de conciliación de cuentas de balance Existe una política documentada clara con respecto a la preparación y revisión de conciliaciones de cuentas de balance. Cada cuenta de balance tiene un dueño / preparador y un revisor. La frecuencia de la conciliación de cada cuenta se identifica claramente. Como mínimo, cuentas de alto riesgo y / o cuentas de alto volumen se hacen sobre una base mensual.

CFR.FCA.CO.9 La conciliación de cuentas de balanceLas conciliaciones de balance son preparadas con información adecuada respecto a la cantidad, la naturaleza y el envejecimiento de ambas partidas conciliatorias y la posición en el balance de cierre. La documentación de soporte se adjunta cuando sea necesario (por ejemplo, informes de libros mayores auxiliares subyacentes, los informes del sistema, etc.). Las excepciones son detectadas, investigadas y se aclaran de manera oportuna.

36

CFR.FCA.CO.10 Ajustes contablesUn listado de los ajustes pendientes/recurrentes mensual es mantenido, incluyendo una lista con el nombre de los responsables del cálculo y registro de cada ajuste. Se realiza una revisión mensual que asegura que to-dos los ajustes pendientes /recurrentes han sido registrados.

8.2 Gestión de las cuentas intercompañía

CFR.ICM.CO.2 Documentación y respaldo de precios de transferenciasTodas las transacciones entre compañías con Grupo Millicom y otras empresas deben ser soportadas de acuerdo a un documento legal firmado y precios de transferencia de manera que:

• Se establezca la naturaleza de la transacción. Y el pago / ingreso es de conformidad con el principio de libre competencia establecido por la legislación local y / o principios de la OCDE.

CFR.ICM.CO.3 Conciliación de cuentas entre compañíasLa conciliación de cuentas entre compañías se lleva a cabo con regularidad y son documentadas (al menos trimestralmente). Todas las discrepancias significativas entre compañías se investigan y son corregidas opor-tunamente. Las conciliaciones están sujetas a revisión.

8.3 Reportes y consolidación

CFR.RAC.CO.1 Estados de cambios desde el local a las cuentas consolidadasEl contador de cada filial concilia con el paquete de informes de consolidación del Grupo Hyperion sobre una base mensual antes de la presentación. Esta conciliación incluye la consolidación parcial de las personas jurídicas locales con el fin de informar al Grupo (en su caso). La conciliación se realiza para rendir informe como mínimo de los ingresos, EBITDA, los activos totales, el patrimonio total. La conciliación es revisada por el controler.

CFR.RAC.CO.2 Revisión de los indicadores clave de funcionamiento y revisión analítica de Pérdidas y ganancias. Una revisión analítica del P&G (con el presupuesto, pronóstico, etc. periodo anterior) se lleva a cabo y se documenta incluyendo indicadores clave de rendimiento. La revisión explica las variaciones y tendencias sig-nificativas. Es revisado por la alta dirección (por ejemplo, CFO, GM).

CFR.RAC.CO.3 Estudio analítico del Balance y flujo de cajaUna revisión analítica del Balance General y Estado de flujos de efectivo se realiza mensualmente y se docu-mentan como parte del proceso de cierre. La revisión explica las variaciones y tendencias significativas. Es revisado por la alta dirección (por ejemplo, CFO, GM).

37

CFR.RAC.CO.4 Examen de la situación fiscalEn cada cierre de consolidación, la situación fiscal está debidamente analizada: -Cálculo de los impuestos corrientes y diferidos se puede soportar(trimestral) -Pagos de impuestos en efectivo para el año se pueden introducir (mensual) -Pagos de retención de impuestos pueden ser identificados (trimestral) -Identificar los riesgos fiscales en cada país (trimestral a través de proceso de matriz de riesgos de impuestos) -Comparar la tasa efectiva de impuestos a la tasa de impuesto y explicar las variaciones (trimestral) -Divulgaciones de im-puestos para las cuentas anuales pueden ser completadas (anualmente).

8.4 Declaraciones de impuestos y el cumplimiento

CFR.TAX.CO.1 new El cálculo del impuestoExiste una política documentada para la realización de los cálculos de impuestos sobre la renta, el IVA (im-puesto sobre las ventas) / impuestos indirectos local y WHT (retenciones a cuenta). Esta política define a las personas encargadas de la realización del cálculo e incluye un calendario que indique las fechas de vencimien-to para completar cada ciclo.

Una lista detallada de todas las obligaciones a presentarse ya sea en un mes o una vez al año se mantiene y se utiliza para asegurar que todos los rendimientos requeridos se han completado.

CFR.TAX.CO.2 new Conciliación de impuestosLos pagos de impuestos / reembolsos presentados están conciliadas con los cálculos.

CFR.TAX.CO.3 new Ingresos tributariosAl entregar los cálculos, se obtiene una confirmación de la recepción de la declaración fiscal y del pago/recep-ción por parte del departamento del Gobierno. Se mantiene un registro de todas las confirmaciones recibidas por parte de los departamentos del Gobierno

CFR.TAX.CO.4 new Consulta tributaria a especialistas de ImpuestosLos especialistas en impuestos y el equipo de Grupo Fiscal son consultados antes de todos los grandes proyec-tos, contratos o cualquier transacción con un potencial de impacto fiscal significativo con el fin de compren-der plenamente el impacto en la situación fiscal de la empresa.

38

8.5 Segregación de Funciones

CFR.SoD.CO.3 Separación de funciones para los ajustes.Todas los ajustes son revisados y aprobados por una persona apropiada (por ejemplo, contralor) que es inde-pendiente del que registra el ajuste.

8.6 Los gastos de viaje

CFR.TEX.CO.1 Política de gastos de viajeReglas para los viajes y otros gastos menores son definidas y comunicados a todos los empleados y contratis-tas / consultores pertinentes. Incluyen los gastos permitidos, límites a las cantidades que pueden ser reclama-dos, documentación necesaria, se requiere la aprobación y proceso de reembolso. Las reglas locales están en línea con la política de gastos de viaje y de grupo.

CFR.TEX.CO.2 Aprobación de los gastos de viajeTodos los viajes y otros gastos menores reclamados por los empleados y contratistas / consultores relevantes se presentan para su aprobación junto con los recibos de soporte. Todos los reclamos son aprobados por el administrador de la línea del empleado antes de ser presentado para su pago. Reclamaciones de gastos para directores generales son aprobadas por el Director de EVP Comercial en LATAM (o la Junta local de Colombia, Guatemala y Honduras) o el EVP (Vicepresidente ejecutivo) en África.

9. Gestión de TI y redes Los principales objetivos del control interno sobre Tecnología de la Información y Gestión de la Red son:

a. La continuidad y la eficiencia de las operaciones comerciales

b. garantizar la exactitud, la integridad, la seguridad y confidencialidad de los datos

c. La prevención de transacciones fraudulentas

Control Interno a TI y a la gestión de la red, es complementario a otras políticas y normas de Millicom, in-cluyendo Información sobre Normas de Seguridad ( ISS 2.0), la gestión de crisis y los Estándares de Gestión de Continuidad de Negocio

39

9.1 Políticas, Formación y Sensibilización

ITN.POA.CO.1 Políticas locales de Seguridad de la Información y Tecnología de la InformaciónLas políticas de Seguridad de la Información y Tecnologías de la Información están definidas localmente de acuerdo con las políticas del Grupo, especialmente en lo que respecta a los Estándares de Seguridad de la In-formación y los Estándares de Gestión de la Crisis y Gestión de la Continuidad del Negocio. Las políticas son comunicadas a todos los empleados y contratistas.

La política local de Seguridad de la Información y Tecnologías de la Información identifica riegos relevantes y define todos los autorizados, actividades restringidas o prohibidas. Como mínimo, incluye:

• Riesgos relacionados con Seguridad de la Información y Tecnologías de la Información.

• Uso autorizado, restringido o prohibido de computadores de la compañía, emails, internet y telé-fonos móviles.

• Las actividades prohibidas, por ejemplo compartir contraseñas, acceso no autorizado a los datos o divulgación de datos.

• Políticas sobre el uso de dispositivos personales (trae tu propio dispositivo), incluyendo teléfonos, llaves USB, discos duros y portátiles.

La política es firmada por todos los empleados, contratistas y terceros (por ejemplo proveedores de servicios) que trabajan en la compañía. Esta política es actualizada al menos anualmente.

ITN.POA.CO.2 Sensibilización, información y formación Curso de sensibilización relacionado con Seguridad de la Información y uso de Tecnologías de la Información es realizado al menos en una base anual para los empleados, incluyendo:

• Carteles acerca de los riesgos y la responsabilidad de las acciones realizadas.

• Sesiones de sensibilización con toda la compañía

• Información específica o sesiones de entrenamiento con equipos específicos o interés específico.

El curso de sensibilización también se incluye en la inducción de los empleados nuevos. Las herramientas online son preferibles, especialmente para planear, soportar el entrenamiento, monitorear y evidenciar el pro-greso. Se deben mantener registros de asistencia para los cursos obligatorios. Las evaluaciones son tenidas en cuenta para asegurar su correcto entendimiento y aceptación.

40

9.2 Gestión de Accesos y Permisos de Usuario

Las actividades de gestión de permisos y accesos convocan a varios puestos de la organización:

• Titular de información: Se trata de un puesto comercial y no de fábrica que resulta clave para pro-teger datos y sistemas sensibles. Este puesto debe estar claramente definido en las políticas. El titu-lar de la información gestiona el inventario, asigna información a la categoría adecuada y decide el nivel mínimo de protección. Sin embargo, el personal de seguridad revisa las decisiones del titular de la información para garantizar el cumplimiento de políticas y normativas.

• Titular de proceso comercial: Tiene la responsabilidad última del rendimiento de un proceso para conseguir sus objetivos, así como la autoridad y la capacidad para realizar los cambios necesarios.

• Gestor o titular de aplicación: Se trata de un puesto comercial y no de fábrica y es responsable de la aplicación, así como de la definición y la entrega de la dirección y valor agregado de la aplicación.

• Responsable directo (del usuario): Se trata de un puesto comercial o de fábrica y es el responsable directo de los usuarios finales (empleados, contratistas, etc.).

• Administrador de sistemas: Se trata de un puesto técnico/de fábrica y es responsable del manteni-miento, configuración y funcionamiento fiable de los sistemas electrónicos, especialmente de los equipos multiusuario, como son los servidores.

• Responsable de Seguridad de la Información (local): Desarrolla, implementa, prueba y revisa la se-guridad de la información de una organización para protegerla e impedir el acceso no autorizado. Informa a los usuarios acerca de las medidas de seguridad, explica potenciales amenazas, instala software, implementa medidas de seguridad y supervisa las redes.

• Administrador de seguridad: Se trata de un puesto técnico/de fábrica y es responsable de la imple-mentación de medidas de seguridad.

ITN.UAR.CO.1 Segregación de funciones para los usuarios de negocios y usuarios técnicosUna matriz general de Segregación de Funciones es diseñada por el Dueño de la Información, el Dueño del Proceso de Negocio, el Dueño de la Aplicación o el Administrador del Sistema y aprobada por el Oficial de Seguridad de la Información. La matriz de segregación de funciones define permisos de acceso incompatibles para empleados o contratistas.

La matriz de segregación de funciones es revisada al menos anualmente o después de cada cambio significativo del negocio (por ejemplo, nuevos servicios o nuevos productos, fusiones y adquisiciones, etc). Esta matriz es aprobada por todos los jefes de departamento antes de su aplicación. Este control aplica para todos los usuarios (empleados y contratistas) y todas las aplicaciones de negocio incluyendo Adquisiciones, Ventas, Plataformas de red, Facturación, Finanzas, Recursos Humanos, Nómina, Servicios Financieros Móviles y otras aplicaciones relevantes.

41

ITN.UAR.CO.2 Aprobación de los permisos de accesoCreación, modificación o eliminación de permisos de acceso para aplicaciones (y la operación subyacente de los sistemas y bases de datos) y archivos de datos maestros son aprobados por el dueño de la aplicación (para creación o modificación) o por el Gerente de Línea (para eliminación).

Todos los cambios de permisos de acceso referentes a administración de la seguridad o permisos de usuarios poderosos o superusuarios son aprobados por el Oficial de Seguridad de la Información. Las excepciones son documentadas y aprobadas con la implementación de controles compensatorios. Este control aplica para todos los usuarios (empleados y contratistas) y todas las aplicaciones de negocio, incluyendo Adquisiciones, Ventas, Plataformas de red, Facturación, Finanzas, Recursos Humanos/nómina, Servicios Financieros Móviles y otras aplicaciones relevantes.

Designación de responsabilidades recomendada: • RR. HH.: Iniciar la solicitud puntual para la creación o la eliminación de la cuenta de usuario me-

diante el aviso de cambios en el personal (contratación, transferencia o abandono). RR. HH. no es responsable de aprobar accesos o mantener la segregación de deberes.

• Titular de proceso comercial, Titular de información o Titular de aplicación: Responsables de iden-tificar funciones/actividades incompatibles en el proceso y de la definición y aplicación de la ma-triz de segregación de deberes (tras la aprobación de los permisos de acceso).

• Responsable directo: Notificar a RR. HH. la contratación de nuevos empleados o contratistas, transferencias y abandonos. Seleccionar los perfiles concretos para la creación/modificación de cuentas de usuario siguiendo la descripción del puesto y las matrices de segregación de deberes.

• Responsable de seguridad de la información: Supervisa que los perfiles nuevos/modificados cum-plan con las políticas de seguridad y la matriz de segregación de deberes, especialmente durante la revisión de permisos. Garantiza que la creación/modificación/eliminación se realicen respetando los plazos correctos.

• Administrador de seguridad TI: Ejecuta la creación/eliminación una vez recibe la aprobación adecuada.

ITN.UAR.CO.3 Creación oportuna, modificación o eliminación de accesos Existe un proceso para creación, modificación o eliminación de accesos de usuario (aplicaciones, sistema ope-rativo y bases de datos) de manera oportuna en el momento de la contratación, cambios de rol o terminación. Todos los cambios son autorizados por los Gerentes de Línea y se aplican para empleados y contratistas. Los niveles de servicio son definidos para creación, modificación y eliminación. La eliminación de accesos se hace de manera oportuna como se describe en el Estándar de Seguridad de la Información.

42

ITN.UAR.CO.4 Revisión regular de los permisos de acceso individuales a los sistemas y aplicaciones Los permisos de acceso individuales a los sistemas operativos, bases de datos y aplicaciones son regulados y formalmente revisados por el dueño de la aplicación y aprobados por el dueño de la información para asegu-rar que los permisos otorgados están alineados con las funciones y responsabilidades de cada usuario (relacio-nados en la descripción de funciones) y no tiene conflictos con la matriz de segregación de funciones definida.

Se da un enfoque específico a la inactividad, las transferencias y tras el fin de la terminación de accesos (para empleados y contratistas), sobre las cuentas con un límite de tiempo (contratistas), y sobre las cuentas crea-das para terceros (por ejemplo, proveedores de servicios).

Se hace una revisión trimestral para identificar cambios que no siguen el proceso, incluyendo concesión de permisos tardíos o eliminación de accesos y aprobaciones erróneas. La revisión es hecha por el Oficial de Seguridad de la Información. Las revisiones también se hacen después de cada modificación significativa de la matriz para asegurar que no existan conflictos. El resultado de la revisión es debidamente aprobada por el Oficial de Seguridad de la Información.

ITN.UAR.CO.5 Identificador Único de UsuarioIdentificadores únicos de usuario son necesarios para acceder a información confidencial y activos de cual-quier sistema de información (aplicable a todos los computadores de escritorio, portátiles, servidores, dispo-sitivos móviles (teléfonos y tabletas), equipos de red y plataformas, aplicaciones y sistemas de información) para garantizar la identificación única de los usuarios.

Definición de ID de usuario requiere:

• El nombre convenido es definido y estrictamente aplicado

• Todos los ID de usuario están vinculados a una única persona física

• El Grupo y los usuarios compartidos son evitados en la medida de lo posible, autorizado sólo cuando sean necesarios por razones operativas o de negocios, y son aprobadas y documentadas.

Las excepciones son debidamente aprobadas y monitoreadas, los controles compensatorios son implementados

ITN.UAR.CO.6 Política de Password Una política es definida y aprobada por el ISO (Responsable de Seguridad de la Información Local), y aplicada a todos los activos de información, incluyendo sistemas operativos, aplicaciones, bases de datos, equipos de red y plataformas, y algún otro activo relevante. Esta política tiene como objetivo asegurar la autenticación y la contabilidad de los usuarios de acuerdo a las acciones que ellos realizan usando los sistemas de información. Esta política específica como mínimo:

43

• Que las contraseñas son personales, no se debe compartir contraseñas y los dueños de las contra-señas son responsables de sus acciones

• La divulgación y almacenamiento inseguro de datos confidenciales está prohibido, y compromete la responsabilidad de los usuarios que realizan la acción

• La longitud mínima

• La complejidad requerida incluyendo minúsculas y mayúsculas, números y caracteres especiales

• Período de tiempo para cambio de contraseña

• La imposibilidad de usar valores históricos

• Envío de contraseña separado del login

• La contraseña inicial debe ser cambiada en el primer uso

• El bloqueo de cuenta después de intentos fallidos

• El desbloqueo manual después de intentos fallidos

• El cierre de sesión automático por inactividad.

Para aplicaciones sensibles (por ejemplo generación de PIN y E-PIN) un proceso de autenticación de dos factores, incluidos los datos biométricos o tarjetas inteligentes, debe ser configurado para asegurar acceso altamente seguro y restringido. Las excepciones debido a limitantes técnicas (especialmente aplicaciones y sistemas de tercerizados) son documentados en detalle con la implementación de controles compensatorios.

ITN.UAR.CO.7 Monitoreo de cuentas administrativas y cuentas poderosas Súper usuarios (incluidas cuentas de administrador y cuentas de superusuarios), proporcionadas por terceros o auto configuradas, son monitoreadas. Cuando sea posible y aplicable, las cuentas administrativas o podero-sas son otorgadas por un tiempo limitado.

Las cuentas administrativas suministradas por los proveedores (incluyendo sistemas operativos, aplicaciones y bases de datos) son deshabilitadas, o al menos las contraseñas por defecto son cambiadas. Las cuentas ad-ministrativas adaptadas a las necesidades del negocio son preferidas para cuentas administrativas por defecto para proveedores.

Las cuentas de súper usuario sin uso son eliminadas o desactivadas. De otro lado las contraseñas por defecto son cambiadas siguiendo las políticas de contraseñas. Las excepciones debido a limitaciones técnicas son documentadas y se implementan controles compensatorios. De acuerdo con los controles (ITN.UAR.CO.3) y (ITN.UAR.CO.4), las cuentas de superusuarios son revisadas trimestralmente. Las diferencias son corregidas, las excepciones son documentadas y debidamente aprobadas y se implementan controles compensatorios.

44

ITN.UAR.CO.8 Segregación de funciones relacionadas con desarrolladoresLos desarrolladores no tienen acceso a los ambientes de producción. Este es para personal autorizado única-mente y se revisa regularmente. Los chequeos son realizados para asegurar que las acciones están alineadas con las justificaciones documentadas en ticket.

En caso de solo emergencias, se permiten acceso específico y temporales. Es necesario las aprobaciones de acuerdo a la matriz de autorización antes de otorgar accesos por tiempo limitado, y los permisos son revo-cados tan pronto el cambio de emergencia sea realizado. Si no se puede restringir el acceso, el Gerente debe monitorear las actividades de los desarrolladores en ambientes de producción. Todas las acciones realizadas en ambiente de producción, incluyendo lectura, copia, extracción, creación, modificación y borrado, son re-gistradas y luego archivadas en un ambiente seguro.

Además, la modificación en la configuración de las aplicaciones y sistemas operativos son monitoreadas y revisadas por el gerente, Gerente de TI/Redes o el CTIO local y aprobada por el BPO o dueño de la aplicación. Las excepciones serán documentadas con aceptación del riesgo.

ITN.UAR.CO.9 Segregación de funciones relacionadas con permisos de súper usuariosLos permisos de superusuario no son otorgados a los usuarios de negocios, únicamente a los usuarios de redes o TI. Si se requiere usuarios administradores específicos, o poderosos o superusuarios son definidos para una lista restringida de usuarios de negocio, siguiendo un listado de tareas autorizadas.

9.3 Soluciones de Terceros y Licenciamiento

ITN.LIC.CO.1 Aplicaciones autorizadasSolo se instalan aplicaciones autorizadas en servidores o computadores. Una lista de aplicaciones autorizadas es publicada y regularmente actualizada siguiendo los requerimientos técnicos o de negocio y adquisición de la solución, y también incluye una lista de software libre autorizado y aplicaciones gratuitas. Esta lista es revi-sada anualmente por el ISO y aprobada por el CTIO (Responsable de Tecnología)

Dos veces al año es revisado el software instalado por el administrador del sistema, preferiblemente de ma-nera automática para identificar alguna diferencia con la lista de autorizados. Las excepciones son aprobadas por el ISO, y el resultado de la revisión es aprobado por el CTIO (Responsable de Tecnología). El software no autorizado es removido oportunamente.

ITN.LIC.CO.2 Monitoreo de licencias Debe mantenerse un inventario de las licencias adquiridas de TI y redes y las fechas de expiración son atenta-mente monitoreadas para asegurar que la compañía y su personal está utilizando solo licencias válidas.

45

Los usuarios tienen que hacer un requerimiento cuando necesitan adquirir una nueva aplicación para instalar en su máquina. Este requerimiento es aprobado por soporte TI, de acuerdo a las licencias disponibles (donde aplique).

Una revisión es realizada trimestralmente por el Administrador del Sistema para asegurar que el número de instancias instaladas para cada aplicación cumple con el número de licencias adquiridas, y es aprobada por el CTIO (Responsable de Tecnología). Cualquier diferencia es corregida inmediatamente.

9.4 Gestión de Datos Maestros

ITN.MDM.CO.1 Aprobación de cambios a los archivos de datos maestrosCada adición, modificación o eliminación de archivos de datos maestros (Recursos Humanos y nómina, Clien-tes, Precios de productos y servicios y precios relativos, Proveedores/Vendedores y contratistas, Inventarios y otros) es adecuadamente autorizado y soportado por la documentación apropiada, especialmente el usuario, fecha y hora, valor viejo y nuevo. Los procedimientos están definidos y regularmente actualizados para des-cribir cómo realizar un cambio a los archivos de datos maestros, de un requerimiento de cambio para realizar el cambio. Esto incluye información requerida y/o documentos necesarios para crear un nuevo dato maestro o modificar uno existente, y los procesos definidos y reglas de negocio usadas para eliminar un dato maestro.

ITN.MDM.CO.2 Seguimiento a los cambios en los archivos de datos maestros Un reporte automático o un requerimiento manual (que puede ser aplicado a la base de datos del sistema) es ejecutado regularmente para mostrar los cambios a datos sensibles en los archivos de datos maestros. (Recur-sos Humanos y Nóminas, Clientes, Servicio/Producto y Precio correspondiente, Contratista y Vendedor/Pro-veedor, Inventario y otros que correspondan). Los cambios son periódicamente revisados bajo autorización de alguien independiente del proceso de entrada de datos.

9.5 Seguridad Lógica y Física

ITN.LPS.CO.1 Clasificación y manipulación de la información Un inventario de los datos de activos de información es clasificado de acuerdo a la clasificación de activos definida en el ISS. (Estándares de seguridad de la información del Grupo).

Los datos de clasificación y soporte de aplicaciones son revisados para la adecuada gestión de seguridad. To-dos los requerimientos contractuales y regulatorios externos e internos con aplicaciones para seguridad de la Información son identificados, con el fin de asegurar que todos los requerimientos regulatorios locales sean considerados cuando manipulen y procesen datos.

46

ITN.LPS.CO.2 Revisión de los registros de actividad de seguridadRegistros de seguridad de actividad son implementados para monitorear intentos de acceso a los datos. Estos registros son almacenados y analizados usando alarmas predefinidas con reglas apropiadas y efectivas para evitar alertas por falsos positivos. Estas alarmas son revisadas por el personal definido en la operación (ase-gurando la segregación de funciones). Las reglas son actualizadas regularmente. Enfocándose en los intentos fallidos. Una revisión es realizada regularmente. Acciones preventivas y correctivas son ejecutadas y seguidas.

ITN.LPS.CO.3 Software antivirus y antispam Software antivirus y antispam es instalado en computadores, dispositivos móviles y servidores, componentes de red y son regularmente actualizados (incluyendo teléfonos y tablets). Una herramienta de gestión de dis-positivos, aprobada por el GISEC (Comité de Seguridad de la Información del Grupo) y alineada con el grupo ISS, es implementada para gestionar dispositivos móviles y tabletas.

Listas negras y listas blancas son gestionadas y regularmente revisadas para asegurar que los correos regulares son recibidos y los spam rechazados.

ITN.LPS.CO.4 Gestión de parches Todos los sistemas operativos y software deben contar con soporte por parte de un proveedor aprobado o tiene un apropiado y activo parche actualizado y configuraciones actualizadas disponibles especialmente para solventar las fallas de seguridad.

Todos los parches y configuraciones aprobados son evaluados, planeados en coordinación con el BPO y aplicado por el Administrador del sistema o el Ingeniero dentro del período de tiempo especificado (cuando es técnica-mente factible). La gestión de parches es implementada para todos los productos, servicios, aplicaciones, aplica-ciones móviles, y contenido asociado (incluyendo software comercial, software libre gratis, hardware/firmware etc.) y todos los componentes de infraestructura (incluyendo servidores, servidores virtuales, bases de datos, enrutadores y otros componentes de comunicaciones, componentes de seguridad, estaciones de trabajo, etc.).

Los parches son priorizados y aplicados según la criticidad de la plataforma. Cuando el parcheo impacta un gran perímetro o podría afectar la disponibilidad del sistema, un proyecto específico es definido y priorizado con el fin de minimizar el impacto en el negocio. Los respaldos apropiados son realizados antes de aplicar un parche mayor.

Cualquier excepción, donde un producto, un servicio, un software o una infraestructura no puede ser parcha-da (por ejemplo, debido a limitaciones técnicas o de costos) se documenta en un requerimiento de acepta-ción del riesgo, indicando la razón para la desviación y los riesgos relacionados por la no adherencia, y siguien-do el correspondiente proceso de aprobación.

47

ITN.LPS.CO.5 Protección de datos incluyendo software de encripción para datos sensi-bles y laptops Los datos sensibles, especialmente confidenciales y datos de autenticación confidenciales, son fuertemente protegidos tanto en reposo (bases de datos, archivos de servidores, etc.) como en movimiento (flujos de red, emails, etc.), asegurando restricción de acceso y encripción:

• El software de encripción es instalado en todos los dispositivos móviles (incluyendo teléfonos y tabletas) siguiendo las políticas del grupo y los requerimientos relacionados. Un análisis de riesgo es realizado para asegurar que los dispositivos móviles sean encriptados. Cualquier excepción es documentada en un requerimiento de aceptación del riesgo, indicando la razón para la desviación y no adherencia, y siguiendo el correspondiente proceso de aprobación.

• Una conexión por VPN es configurada para permitir conexión remota segura al sistema de infor-mación

• HTTPS es usado para asegurar conexión segura a sitios web

• SFTP y SSH son usados para transferencia de datos desde o hacia servidores

• Conexiones seguras por escritorio remoto

ITN.LPS.CO.6 Gestión de seguridad de los activos de información Un inventario de los activos de información, incluyendo identificación y dueño de las aplicaciones de negocio críticas, versiones de software, arquitectura de red (incluyendo segmentación virtual) es preparado y periódi-camente revisado para la adecuada gestión de seguridad.

ITN.LPS.CO.7 Acceso restringido a los centros de datos y/o cuartos exclusivos de TI/Redes El acceso a los centros de datos y/o cuartos y equipos de TI/Redes es restringido a personal relevante y debi-damente autorizado por medio del uso de una llave, tarjeta, lector de huella o con personal autorizado para entrar al cuarto.

El acceso a los centros de datos y cuartos de TI/Redes se otorga de acuerdo al requerimiento de cambio apro-bado y ordenes de trabajo relacionados (como se define en el proceso de gestión del cambio), son trazados y regularmente revisados por el ISO y el oficial de seguridad corporativa (una persona responsable de la segu-ridad física), para identificar anomalías, accesos no autorizados, puertas que han permanecido abiertas por mucho tiempo, etc.

48

ITN.LPS.CO.8 Segregación de red La arquitectura de red claramente separa:

• Red pública o de invitados, especialmente en la red Wi-Fi

• Las redes y sistemas internos, incluidos equipos de empleados, impresoras e intranet

• Los servicios de cara al exterior, incluyendo sitios web dentro y fuera de la red, dentro de la zona desmilitarizada (DMZ)

• El ambiente de desarrollo y evaluación del ambiente de producción (incluyendo ambientes de continuidad del negocio).

La red IP es adecuadamente segregada, usando segregación física o lógica, para asegurar acceso privado y restringido a las áreas protegidas, servicios, sistemas y datos.

ITN.LPS.CO.9 Limitación y monitoreo de conexiones remotasTodas las conexiones remotas (por ejemplo usando VPN) a la red interna y los ambientes de producción están limitadas a solo usuarios relevantes, y debidamente aprobados por el Gerente de Línea, el ISO, de acuerdo con la delegación local de autoridad del CTIO.

Se da enfoque específico a terceros (contratistas y proveedores de servicios) usando VPN. Una cláusula de auditoria es insertada en el contrato de servicio para permitir monitorear y revisar las conexiones (por ejem-plo, investigación por compartir las credenciales o acciones realizadas fuera de lo definido por el proceso). Las conexiones son revisadas regularmente, con enfoque especial en los intentos fallidos. Las acciones correctivas (por ejemplo, listas negras o direccionamiento IP) se toman para mitigar el riesgo de accesos no autorizados. Los permisos de conexiones remotas son también revisados regularmente. Los usuarios inactivos son desac-tivados automáticamente.

ITN.LPS.CO.10 Garantía de seguridad de TI para vulnerabilidades técnicas Toda la infraestructura, productos, servicios, aplicaciones, aplicaciones móviles, y contenido asociado, pro-porcionado por terceros, debe:

• Someterse a una evaluación de vulnerabilidades de aplicaciones periódicas (AVA) o la evaluación de la vulnerabilidad de la infraestructura (IVA)

• Tiene alguna vulnerabilidad remediados dentro de los plazos establecidos en el proceso de AVA o IVA, para nuevas aplicaciones y servicios, al menos sobre una base anual o cuando se introducen cambios importantes en las aplicaciones existentes y servicios.

La corrección de cualquier vulnerabilidad encontrada en una evaluación de vulnerabilidad debe realizarse tan pronto como sea posible y priorizados según el factor de riesgo asignado. Cualquier vulnerabilidad conocida que no se solucionará está documentada con un formulario de aceptación de riesgos con las mitigaciones adecuadas. La aceptación del riesgo ha de ser aprobado por el ISO o por el Gerente de seguridad de TI.

49

ITN.LPS.CO.11 Información confidencial en un sistema de información en no producciónLa información personal identificable (PII) confidencial o los datos de autenticación no serán sometidos a un sistema de información de no producción, incluso para una empresa o un objeto de prueba, a menos que este dato haya sido documentado oficialmente, la copia de este dato ha sido aprobado tanto por el ISO y el propietario de la información, los datos han sido cifrados o redactado de forma irreversible y el sistema de información de no producción cumple con los mismos controles que el sistema de producción. En este caso se deben tomar acciones complementarias para restringir y asegurar el acceso a los datos.

ITN.LPS.CO.12 Respuesta a incidentes Un equipo de respuesta a incidentes de seguridad (SIRT) es conformado, el cual está compuesto por un grupo de miembros responsables de la toma de decisiones durante los incidentes. Posibles escenarios de incidentes son definidos y documentados para sistemas críticos. Una respuesta a incidentes en procesos y en la organi-zación están definidos, documentados e implementados para identificar, contener y escalar incidentes en la seguridad de la información. Los incidentes son registrados e investigados. Acciones correctivas y preventivas adoptadas y seguidas.

9.6 Resiliencia, Operaciones y Recuperación

ITN.ROR.CO.1 Equipos en el centro de datos o en cuartos exclusivos de TI o redes Aplicaciones de negocio y otros equipos técnicos bajo la responsabilidad de TI y redes son ubicadas en centro de datos o cuartos equipados con dispositivos de seguridad que incluyen como mínimo:

• Múltiples y redundantes centros de datos y cuartos de TI/Redes, geográficamente distribuidos (más de 20 millas entre dos sitios), fuera de áreas de riesgo y rutas aéreas.

• Cuartos apropiados y racks organizados, cableado en colores y documentación

• Fuentes de potencia redundantes suministradas por proveedor nacional, UPS, rectificadores, ba-terías, fuentes de potencia alternas o de emergencia (generador diésel y tanques de combustible), siguiendo las especificaciones técnicas

• Sistemas de gestión del aire acondicionado de acuerdo a los requerimientos de temperatura

• Detección de fuego, extintores y supresores de fuego (usando gas, no agua)

• Detección de agua e inundación

• Luces de advertencia de aviones, sistema de iluminación y sistema de seguridad.

50

ITN.ROR.CO.2 Mantenimiento de los equipos de seguridad físicaTodo el equipo de seguridad, incluyendo fuentes de potencia, enfriamiento, detección de fuego, detección de agua, y otro equipamiento relevante, es monitoreado y mantenido en buen estado de acuerdo con las especi-ficaciones de acuerdo con las especificaciones del equipo o requerimientos regulatorios.

El mantenimiento y reparación de equipos es apropiadamente documentado, incluyendo identificación del equipo y desempeño.

ITN.ROR.CO.3 Respaldo de los datos y restablecimiento de los servicios de TI y RedesEl respaldo de datos es realizado por el equipo de operaciones de TI y Redes en los servidores de respaldo:

• Define la estrategia/política de respaldo y requerimientos técnicos relacionados

• Define los requerimientos regulatorios y del negocio, Punto de recuperación objetivo y tiempo de recuperación objetivo, basado en el inventario de activos (sistemas, aplicaciones y datos, configu-ración y archivos de registro) incluyendo frecuencia de respaldo (diario o más frecuentemente), modo respaldo (completo o incremental) y soporte (replicación en tiempo real, captura en los cambios de datos, cintas, etc.). Los activos que no están sujetos a respaldo son documentados y aprobados por el Gerente.

• Los RTO’s y RPO’s están al menos definidos en el estándar de Gestión de Crisis y Continuidad del Negocio, en la sección de análisis de impacto al negocio

• La planeación del respaldo está definida y aplicada de acuerdo con las estrategias de respaldo y los requerimientos del negocio y regulatorios. Una revisión se hace diariamente para asegurar que los respaldos fueron ejecutados

• Las cintas de respaldo son gestionadas y almacenadas en un sitio seguro externo

• Las pruebas de restauración de copias de seguridad se realizan regularmente

ITN.ROR.CO.4 Plan de recuperación de desastresUn Plan de Recuperación de Desastres está escrito para cada aplicación crítica o servicio (TI y Redes) de acuerdo al RPO y RTO, incluyendo redundancia y medidas de recuperación a tomar teniendo en cuenta el Análisis de Impacto al Negocio y evaluación del riesgo. El DRP cumple con los requisitos del negocio y permite la pronta recuperación de sistemas y datos.

DRPs son monitoreados y actualizados cada año (o siguiendo cambios significativos en los sistemas, equipos y plataformas, o nuevos objetivos de recuperación).

51

ITN.ROR.CO.5 Operación y mantenimiento de TI y Redes La calidad del servicio de TI y redes es monitoreado en conformidad con los requisitos de la empresa incluyen-do monitoreo las 24 horas del día para plataformas de red, para asegurar que los posibles fallos y alarmas son administrados en forma oportuna. Y las operaciones y el mantenimiento de red incluyen:

• La detección oportuna de los incidentes y cortes de electricidad (por ejemplo, plataformas de vigi-lancia, el rendimiento, el servicio de atención al cliente desde la disminución de rendimiento hasta completar la interrupción de un servicio) mediante la vigilancia integral en una base ininterrumpi-da, incluida la correlación de eventos/Alarmas y causas análisis de las alarmas.

• Documentar el incidente y el progreso de la resolución a través de un sistema de ticket incluyendo una categorización de indisponibilidad

• Realizar el mantenimiento correctivo utilizando el primer, segundo y tercer niveles de soporte y servicio técnico de terceros cuando sea necesario, respetando el tiempo de reacción acordado y tiempo de solución, y siguiendo los escalamientos apropiados

• Realizar mantenimiento preventivo frecuente siguiendo un plan predefinido, a fin de minimizar la interrupción

ITN.ROR.CO.6 Gestión de incidentes y problemas Todos los incidentes (aplicaciones, bases de datos o fallos del sistema, el ancho de banda o disminución del rendimiento, no copias de seguridad y restauraciones, alimentación o incoherencias de refrigeración, etc.) se registran y son administrados a fin de supervisar los casos abiertos, la gravedad y el impacto en los servicios, la duración de la incidencia, y el tiempo de resolución.

Las causas se identifican y se definen planes de acción para resolver los problemas. Los incidentes son revisados a fin de identificar las interrupciones que siguen sin resolver y los problemas (causas) relacionados con los inciden-tes recurrentes. Se define plan de acción y seguimiento con el fin de prevenir la ocurrencia de estos problemas.

ITN.ROR.CO.7 Gestión del nivel de servicio Los acuerdos de nivel de servicio son definidos y acordados con el BPO. SLAs cubren servicios internos y ser-vicios gestionados (tercerizados) y se enfocan especialmente en:

• Disponibilidad de tiempo de inactividad por ejemplo excluyendo el mantenimiento planificado, el promedio de tiempo entre la ocurrencia de un incidente y su resolución, el suministro de energía y la temperatura de las salas…

• Y desempeño, por ejemplo tiempo de respuesta, latencia.

SLAs describen el alcance de los servicios (nivel de soporte, tiempos de detección y solución, lista de sistemas, apli-caciones o servicios a gestionar), requerimientos asociados (e.g. número de usuarios concurrentes, horas de servicio de expertos, disponibilidad o desempeño) y KPIs a medir, y son aprobados por el BPO y Gerente de IT/Redes.

52

Los niveles de servicio son monitoreados y gestionados con el fin de verificar que los requerimientos técnicos y de negocio se cumplen de acuerdo con el SLA. Cuando los SLAs no cumplen, se definen planes de acción para corregir fallas y prevenir nuevas ocurrencias.

ITN.ROR.CO.8 Gestión y Planeación de capacidad Capacidad de las facilidades técnicas de TI y Redes, incluyendo espacio en centro de datos, almacenamiento (disco duro, cintas de respaldo, archivos en servidores), recursos en hardware (Procesamiento y memoria), ancho de banda de transmisión (Wireless, cable, líneas dedicadas y satélite cuando aplica), equipos y plata-formas de red (crecimiento del tráfico vs capacidad) and fuerza de trabajo (especialmente para Operaciones) son monitoreados regularmente con el fin de prevenir insuficiencia de recursos que puedan implicar caída del servicio, y asegurar el desempeño y la calidad de los servicios de acuerdo con los SLAs definidos. Se configuran alarmas automáticas para cuando se excedan los umbrales. Los sistemas, equipos y plataformas son manteni-dos sobre una base preventiva para prevenir impacto en los niveles de servicio.

Las proyecciones futuras de uso son actualizadas trimestralmente o antes de cada cambio significativo en el negocio (incluyendo nuevas ofertas o nuevos productos, fusiones y adquisiciones) y validada por el CTIO.

9.7 Gestión del Cambio

ITN.CMG.CO.1 Políticas y procedimientos para Gestión del Cambio Existen procedimientos de Gestión del Cambio. Los requerimientos de cambio son documentados, revisados y aprobados de acuerdo con los procedimientos locales e incluye como mínimo:

• Definición de que constituye un cambio: menor, mayor, crítico, emergencia, parámetros, restable-cimiento del respaldo de seguridad

• Descripción de los cambios incluyendo pero no limitado a: requerimientos de negocio (nuevos re-querimientos, nuevas ofertas, cambio de tarifas, etc.), gestión de recursos (canales, troncales, enlaces, etc.), administración del roaming, rutas de interconexión, numeración (incluyendo reciclaje) y admi-nistración IP, administración de plataformas de red, configuración de alarmas y enrutamiento.

• Documentación del impacto de los cambios sobre los niveles de servicio

• Funciones y responsabilidades de los interesados.

• Planeación de acuerdo a los períodos de tiempo requeridos.

• Implementación y validación (plan de pruebas incluyendo aceptación de usuarios, uso de ejecu-ción paralela…) usando un ambiente de pruebas, y aprobado por el BPO.

• Procesos de despliegue (incluyendo planes de roll-out y roll-back)

• Matriz de aprobaciones y criterios de rechazo.

53

Los cambios son realizados siguiendo las órdenes de trabajo planeadas con las prioridades respectivas, inclu-yendo sitios, sistemas, equipos o plataformas para ser accesadas, planificación de la intervención y el impacto sobre el nivel de servicio predefinido.

ITN.CMG.CO.2 Procedimiento para cambios de emergenciaExiste un procedimiento para cambios de emergencia que requieren resolución inmediata y explica qué es lo que constituye los cambios de emergencia, y en qué circunstancias están autorizadas, especialmente para evaluar la legitimidad y el cumplimiento de las políticas y procedimientos de Gestión del Cambio.

ITN.CMG.CO.3 Seguimiento de las consultas de datos definidos en el almacén de datosExisten procedimientos para regir la creación y modificación de las consultas de datos en el almacén de datos. Cubre la revisión de consultas nuevas o modificadas por una persona diferente al preparador (por ejemplo, aseguramiento del ingreso), almacenamiento seguro e inventario de todas las solicitudes. Los permisos de acceso al almacén de datos son estrictamente gestionados de acuerdo con ITN.UAR.CO.2.

ITN.CMG.CO.4 Evidencias de auditoria Una auditoria es configurada para cada transacción (incluyendo pero no limitada a ventas, inventario, bitáco-ra de entradas, etc.) enfocándose primeramente en transacciones críticas y sensibles. Esto incluye realización de acciones (incluyendo creación, modificación y eliminación de datos), usuario que realiza la acción y tiempo de la acción. La auditoría es archivada en un servidor seguro con acceso restringido (estrictamente limitado al OSI, los requerimientos de acceso deben ser precisamente definidos y aprobados por el Gerente Senior).

Las transacciones relacionadas con aplicaciones críticas (por ejemplo, contabilidad) que requieren una audito-ría son documentadas en una política. La política es aprobada por el ISO y el IO. Se documentan excepciones.

9.8 Gestión del Conocimiento

ITN.KMG.CO.1 Proceso de gestión del conocimientoExiste un proceso para identificar, crear, representar, distribuir y habilitar la adopción de aprendizajes y ex-periencias en personas clave, y para asegurar el respaldo y transferencia del conocimiento para identificar empleados que ocupan puestos clave, que tienen conocimientos específicos o certificaciones técnicas. Esta lista es revisada anualmente, y es aprobada por el CTIO. Existe un repositorio que almacena políticas, proce-dimientos, especificaciones funcionales y técnicas, planes de prueba, etc. y otros documentos relevantes e información que se requiere ser compartida a toda la organización.

54

10. Comercialización y mercadeo

10.1 Desarrollo de productos y planes promocionales

COM.PPD.CO.2 Aprobación del presupuesto para los subsidios El presupuesto general para subsidios de terminales, tarjetas de datos y equipos se aprueba en conformidad con la matriz de autorización local.

COM.PPD.CO.3 Control de los subsidios en los teléfonos o tarjetas de datos Los subsidios a los teléfonos, equipos y a las tarjetas de datos son monitoreados:

• Se define por adelantado la estrategia de subsidio y objetivos comerciales

• Se realiza monitoreo del desempeño contra estos objetivos.

• La eficacia de los subsidios se revisa a través de análisis del retorno de la inversión / TIR.

COM.PPD.CO.6 Aprobación y seguimiento de los programas de fidelidadLos programas de fidelización son aprobados de acuerdo con la matriz de autorizaciones. Ellos son monito-reados periódicamente para determinar la forma en que están afectando a las ventas.

10.2 Selección de los proveedores de contenido

COM.ECP.CO.1 Existe procedimiento para la celebración de contratos con proveedores de contenidoExiste un procedimiento formal para la celebración de contratos con proveedores de contenidos o provee-dores de servicios de contenido. Incluye las autorizaciones necesarias de acuerdo con la delegación local de la matriz de autorizaciones.

Los procedimientos están en línea con las políticas de adquisiciones locales y los controles de adquisición incluidos en la cuarta sección del manual de control interno.

COM.ECP.CO.2 Caso de negocio y el contrato con el proveedor de contenido El proceso de selección de los proveedores de contenidos incluye la preparación de un modelo de negocio que es revisado por los equipos comerciales y financieras.

Antes de comprometerse con un proveedor de contenidos, se requiere un contrato que incluye como míni-mo: la naturaleza de los servicios, mecanismo de precios, derechos y obligaciones, ingresos, etc.

Los términos del contrato son validados por el área legal.

55

COM.ECP.CO.4 Pago a los proveedores de contenidoLos acuerdos de proporción de ingresos entre Millicom y los proveedores de contenido son evaluados por una persona independiente del departamento Comercial (normalmente, por aseguramiento de ingresos).

Los acuerdos de proporción de ingresos y el tratamiento de reconocimiento de ingresos (brutos o netos) deberían respetar las políticas de contabilidad del Grupo y las NIIF. Los acuerdos de proporción de ingresos deberían ser revisados por el equipo de Contabilidad del Grupo.

10.3 Marketing

COM.MKT.CO.1 Procedimiento para nuevas campañas de marketingExiste un procedimiento formal para poner en marcha nuevas campañas de marketing. Incluye revisión por el departamento legal con el fin de asegurar que las palabras, frases, renuncias, etc. utilizado en el material de la campaña de marketing sean las adecuadas.

COM.MKT.CO.2 Seguimiento al plan anual de compra de mediosExiste un plan integral de compra de medios, que es preparado y revisado por lo menos anualmente. Se lleva a cabo el monitoreo de los medios de difusión, ya sea propio o subcontratado.

COM.MKT.CO.4 Uso de datos de clientes en campañas de mercadeoLas campañas promocionales de marketing y ventas que se basan en el uso de los datos personales de los clientes están sujetas a revisión y aprobación por el departamento legal. Esto es para asegurar que hay con-sentimiento del cliente para el uso de los datos y que su uso es de conformidad con las leyes y los reguladores locales y por lo tanto no violan las reglas de privacidad.

COM.MKT.CO.5 nuevo Riesgos de la marca en sitio webCada operación debe mantener un inventario de todas las páginas web de empresas y direcciones web con-troladas. Cada sitio web debe tener un nombre del propietario del negocio que tiene la responsabilidad de asegurar que la información en la página web está actualizada y se adhiere a las directrices de la marca. Sitios web y direcciones de Internet ya no son necesariamente cerradas o redirigidas.

56

10.4 segregación de Funciones

COM.SoD.CO.1 Existe segregación de funciones para desarrollo de nuevos productos/ servicios / promociónLas personas que: a) desarrolla un nuevo producto / servicio / promoción (equipos comerciales) b) la aprueba (en primer lugar, el equipo comercial, el aprobado por las finanzas y otros según sea el caso, de acuerdo con la matriz de autorizaciones local) c) la ejecuta (por ejemplo fábrica con revisión por el aseguramiento de ingresos).

Son independientes unos de otros.

11. Ventas y cuentas por CobrarLos principales objetivos del control interno sobre el proceso de ventas y cuentas por cobrar son los siguientes:

a. Asegurar la completa y exacta facturación del cliente.

b. Maximizar el flujo de caja y reducir al mínimo la pérdida de ingresos.

c. Asegurar que la fijación de precios y comisiones están en línea con la estrategia y la política de la empresa.

d. Maximizar la satisfacción del cliente.

Excepto cuando se especifique, todos los controles definidos a continuación son aplicables a cualquier cliente: de empresa a consumidor (B2C), empresa a empresa (B2B), prepago y pospago, móvil, telefonía fija, cable y otros.

Existen Controles separados para el negocio de servicios financieros móviles.

11.1 Aceptación, Activación y Desactivación de Clientes

STC.CAV.CO.1 Aceptación de Clientes Están definidos y documentados los procedimientos de aceptación del cliente y se realizan para todos los clientes prepago o pospago. Como mínimo, estos procedimientos:

• Definen los criterios de evaluación de riesgo del cliente necesarios para aceptar o rechazar un nuevo cliente.

• Definen los datos del cliente (identidad, dirección, datos bancarios, etc.) y documentos (prueba de identidad, comprobante de domicilio, etc.) necesarios antes de la aceptación del cliente y la activación.

• Identifican toda la documentación a ser colectada y mantenida para cumplir con las leyes y regu-laciones locales

57

• Siguen la política de riesgo de crédito para los clientes pospago, en línea con la política de los sus-criptores de crédito (STC.CRM.CO.1).

• Define el proceso de concesión y aprobación de descuentos, subsidios e incentivos similares.

Un informe diario se emite con todos los nuevos clientes (incluyendo las activaciones de terceros, en su caso) y se revisa en especial en relación con la integridad, la consistencia y exactitud de los datos de los clientes. Las anomalías son analizadas y corregidas. Un análisis de la causa raíz se lleva a cabo con el fin de evitar una mayor ocurrencia de estas anomalías. Es recomendado la automatización del proceso con gestión de alarmas. Reali-zando un informe de excepciones cuando se generan anomalías.

STC.CAV.CO.2 Aprovisionamiento y desaprovisionamiento de abonadosEl aprovisionamiento (es decir, la activación) y desaprovisionamiento (es decir, la desactivación) de los abo-nados es ejecutado por medio de una herramienta automatizada siempre que sea posible. Esto garantiza la exactitud e integridad de los productos y servicios activados y desactivados y los datos relacionados registra-dos en las plataformas técnicas y de facturación.

Dependiendo del tipo de cliente y las ofertas (fijo o móvil, prepago o pospago, con o sin datos, la oferta con-vergente, etc.) todos los servicios técnicos requeridos se aprovisionan en las plataformas relacionadas, desde la red central (HLR, MSC, SMSC, SGSN, plataformas VAS, EN, etc. facturación) para las plataformas (mediación, almacén de datos, contabilidad, etc.)

Cuando un cliente cancela un producto o servicio o cuando el contrato expira, todos los productos y servicios son de aprovisionados para asegurarse que la línea, los productos o el servicio se vuelven inutilizables y no facturables.

Un reporte diario que muestra el resultado de aprovisionamiento / de-aprovisionamiento (incluida la lista de servicios activados o desactivado) se emite de forma sistemática y anomalías entre los servicios acordados y los servicios proporcionados son analizados y corregidos. Un control específico está en su lugar para asegurar que las anomalías detectadas se corrigen en el momento oportuno. Un análisis de la causa raíz se ejecuta con el fin de evitar una mayor ocurrencia de estas anomalías.

Una conciliación diaria se ejecuta entre las plataformas técnicas (HLC, MSC, SMSC, SGSN, VAS, IN etc.) y pla-taformas de facturación en términos de suscriptores, perfiles y el estado (es decir, estado activo o inactivo), y se lleva a cabo a nivel de servicio (es decir, servicios otorgados con respecto a su plan de oferta). Las anomalías son analizadas y corregidas de manera oportuna (una comprobación específica está en su lugar para asegurar la corrección oportuna).

Un análisis de la causa raíz se lleva a cabo con el fin de evitar una mayor ocurrencia de estas anomalías. Una conci-liación diaria se lleva a cabo entre la técnica (HLC, MSC, SMSC, SGSN, plataforma de alarma para vehículos, etc.) y plataformas de facturación en términos de suscriptores, perfiles y el estado (es decir, estado activo o inactivo), y se ejecuta a nivel de servicio (es decir, servicios otorgados con respecto a su plan de oferta). Las anomalías son anali-zadas y corregidas de manera oportuna (una comprobación específica está en su lugar para asegurar la corrección oportuna). Un análisis de la causa raíz se lleva a cabo con el fin de evitar una mayor ocurrencia de estas anomalías.

58

STC.CAV.CO.3 Definición de clientesLa definición de cliente cumple con la directiva de grupo (es decir, “los Clientes y definiciones RGU (unidad generadora de revenue). Allí se describe lo que es un cliente y cómo se cuenta, tanto para fines de presenta-ción de informes comerciales como de informes regulatorios.

STC.CAV.CO.4 Desaprovisionamiento de Suscriptores y recuperación de equiposEn el desaprovisionamiento (desactivación) de los suscriptores, cualquier equipo que necesite ser recuperado se realiza en forma oportuna. Todos los contratos relevantes son terminados, si aplica. Y los servicios se desaprovi-sionan, como se describe en el ítem de aprovisionamiento y desaprovisionamiento de abonados (STC.CAV.CO.2).

Un informe de conciliación diaria se genera entre los servicios desactivados por el sistema de aprovisiona-miento, el sistema de facturación, equipos recuperados, los contratos de terceros (si procede) y el inventario. Las excepciones son investigadas.

STC.CAV.CO.5 Gestión de fraude de suscripción Los procedimientos están definidos, documentados y ejecutados para minimizar el fraude por suscripción. En los casos en que se subsidian equipos a los nuevos clientes, los controles adecuados están diseñados e imple-mentados para mitigar el riesgo de insolvencia.

Existen controles específicos para prevenir y detectar posibles fraudes de suscripción. El procedimiento des-cribe todas las comprobaciones que se realizan, entre ellos (reglas aplicadas) cómo y cuándo (frecuencia de los controles). Estos controles pueden ser automatizados en alarmas o informes diarios e incluyen:

• Los clientes de pospago que compran muchas conexiones son investigados para asegurar los ries-gos de fraude de suscripción; Se abordan incluyendo las siguientes comprobaciones:

› Llamadas de bienvenida / visitas - especialmente para los clientes de alto riesgo identificados.

• Análisis de nuevos clientes para identificar posibles fraudes de suscripción basado en disparadores de riesgos tales como:

› Los clientes que compren teléfonos de gama alta subsidiados.

› Terminales con subsidio sin uso / no pago por un período después de su activación.

› Empresas / clientes de origen extranjero que compren muchas conexiones

› El perfil de la empresa y otras informaciones disponibles de los clientes para identificar cual-quier riesgo potencial incluyendo chequeo en listas negras.

Un enfoque basado en el riesgo se adopta al activar los servicios de mayor riesgo, tales como servicios de roaming para nuevos suscriptores. Específicamente, evitar activar el servicio de roaming por defecto.

59

(STC.CAV.CO.6 Nuevo) Informe de excepciones sobre condiciones comerciales Se generan alertas o informes de excepciones cuando se facturan nuevos servicios y equipos con precios me-nores a los establecidos. Se aplican a las facturas manuales y a las automatizadas. Los informes y las alarmas se revisan para garantizar que estos descuentos estén justificados y han sido aprobados en conformidad con la matriz de autorización local.

(STC.CAV.CO.7 nuevo, división de STC.CCR.CO.2) Acuerdo contractual para todos los clientesExiste una relación contractual entre Millicom y todos sus clientes. Antes de la activación de los servicios, se firma un acuerdo entre el cliente y los representantes de Millicom, siguiendo la matriz de autorización.

El acuerdo firmado por el cliente se archiva electrónicamente para impedir su pérdida, proporcionar una re-ferencia en caso de disputa y respetar los requisitos normativos y legales. Las copias físicas se mantienen en la ubicación marcada por la normativa y las leyes locales.

Este acuerdo hace posible la revisión de las condiciones y de los precios por nuestra parte.

11.2 Gestión del cambio en productos y tarificación

STC.PRT.CO.1 Aprobación del cambio de productoEstá documentado el procedimiento para la aprobación de las modificaciones de las nuevas condiciones comercia-les. Se proporciona una definición clara de cada tipo de cambio (por ejemplo, la nueva oferta, nuevo producto, el cambio de tarifa, promoción, cambio de emergencia, etc.) y los criterios relacionados (incluyendo la importancia re-lativa, umbral, etc.) que se utiliza para aprobarlo. Los cambios que no están definidos se reducen al mínimo. Existen niveles de autorizadores definidos para gestionar la aprobación de las condiciones nuevas y cambios comerciales (precios específicos, planes, descuentos, comisiones, cuestiones de logística, cobertura geográfica, etc.).

STC.PRT.CO.2 Proceso de gestión del cambio de tarifas Todos los cambios de tarifas son documentados por un proceso de gestión de cambio, incluyendo los soportes de los pasos del proceso y la aprobación de los cambios de acuerdo con la matriz de autorización establecida.

• Un proceso gestión de cambio podría ser diferente dependiendo el tipo de cambio (Como está definido en la actividad STC.PRT.CO.1 “”Control a la Aprobación de corrección de servicios o nue-vos productos “”), es ejecutado para cualquier cambio que tiene que ser puesto en práctica. Se recomiendan la automatización del proceso de cambio.

• El proceso garantiza la participación de los interesados, incluidos los comerciales, técnicos, finan-cieros, legales y de equipos de aseguramiento de ingresos.

• El tiempo de implementación y el despliegue está previamente planificado y aprobado, evitando la aplicación durante la hora pico, a excepción de los cambios de emergencia.

60

STC.PRT.CO.3 Revisión contable de todas las nuevas tarifas y modificaciones de tarifasComo parte del proceso de gestión de cambio de tarifas (STC.PRT.CO.2) El área de contabilidad formalmente revisa y aprueba todas las ofertas nuevas o nuevos productos, nuevas tarifas y modificaciones de tarifas de acuerdo con la matriz de la autorización definida. La revisión incluye:

• Análisis del tratamiento contable (especialmente en relación con el reconocimiento de ingresos de acuerdo con la política contable del Grupo)

• Comprensión de la aplicación (núcleo / carpeta promocional, período de validez, etc.)

• Informe con la implicación de interfaz que se utiliza para registrar los ingresos en el período y los ingresos diferidos.

Las promociones que conducen a bajar el precio medio son incluidas en alcance de este análisis.

STC.PRT.CO.4 Validación de las tarifas aplicadosSe definen los procedimientos formalmente para que antes de salir a producción, se realicen pruebas y se valide la aplicación de tarifas (Aplica para todas las nuevas ofertas, productos y servicios, incluyendo productos de no voz). Estos incluyen un plan formal de prueba, la prueba de aceptación del usuario, y para el ejercicio de re-cali-ficación; ejemplo con un día de tráfico, el rendimiento de las llamadas de prueba, funcionando en paralelo, etc.

También están definidas y se llevan a cabo las pruebas mínimas requeridas para los cambios de emergencia. Cada resultado del plan de pruebas es documentado formalmente y aprobado por las partes interesadas.

STC.PRT.CO.5 Análisis del margen para nuevos productos y serviciosUn análisis de los márgenes (incluyendo diferencia entre el precio de venta al por mayor y el costo de un elemento) se lleva a cabo para todas las nuevas ofertas, productos o servicios, contenido o interconexión asociadas y del plan de servicio.

La validez de los supuestos (por ejemplo, la cuota de mercado, competidores, el número de clientes, precios de venta, periodo de recuperación, etc.) que se utiliza para definir el modelo de negocio es aprobado y son desafiados. El análisis de los márgenes y la implementación de los cambios en el entorno de producción están aprobados de acuerdo con la matriz de autorización antes de hacerla efectiva. Una revisión posterior a la eje-cución de los productos / cambios claves se lleva a cabo y se compara con el caso de negocio inicial.

STC.PRT.CO.6 nuevo Las Normas de conductas y Catálogo de Productos El departamento comercial tiene una lista de reglas de negocio actuales y un catálogo de productos y ser-vicios. El catálogo de productos proporciona en cualquier momento los detalles de todos los productos y servicios válidos, con reglas de negocio correspondiente. El catálogo de productos se actualiza con todos los cambios en productos, servicios y condiciones.

Aseguramiento de Ingresos cerciora trimestralmente que los productos, los servicios y las reglas activas en las plataformas están en línea con el catálogo de productos y reglas de negocio.

61

STC.PRT.CO.7 nuevoProceso de gestión del cambio para los sistemas y las migracionesTodos los cambios en la red y los sistemas de TI que afectan el ciclo de ingresos son revisados formalmente por Aseguramiento de Ingresos para identificar su efecto sobre el ciclo de vida de ingresos. Cualquier cambio en los controles y las alarmas está documentado.

11.3 Relación contractual con la fuerza de Ventas.

Las ventas indirectas se realizan a través de una mezcla de canales en función de cada operativa.

• Distribuidor: Puntos de venta multimarca.

• Vendedor: Cadenas de venta multiubicación. Tigo gestiona de forma directa las relaciones comer-ciales (grandes establecimientos, cadenas, grandes almacenes).

• Mayorista: Punto de venta multimarca que de forma habitual venden a pequeños vendedores, agentes freelance, etc.

• Franquiciado: Ubicaciones independientes y gestionadas de forma exclusiva, utilizando la marca de Tigo y funcionando de acuerdo con las prácticas de venta y las normas de conducta de Tigo. Son gestionadas por terceros independientes.

STC.ISF.CO.1 (Anteriormente STC.CCR.CO.1) La selección de socios de ventas indirectasExiste un procedimiento que explica cómo se organizan los canales de venta indirecta. Proporciona los crite-rios de selección (comercial, financiera, otros,) que se utiliza para seleccionar nuevos distribuidores, distribui-dores minoristas o franquicias. Las decisiones de selección se realizan de acuerdo con los criterios definidos y se formalizan correctamente. Las aprobaciones se realizan de acuerdo con la matriz de autorización local.

STC.ISF.CO.2 (Anteriormente STC.CCR.CO.2) Un acuerdo formal para todos los canales de venta indirecta.Se emite un acuerdo de manera formal, sistemática y oportuna para todos los comerciantes, distribuidores, minoristas y franquiciados, antes de iniciar.

En él se establecen, en particular:

• Plan de pago de comisión (back y front comisiones )

• Cálculo detallado, los volúmenes de aplicación y el umbral.

• Obligaciones exclusivos para los distribuidores

• Para el distribuidor las condición de distribuidor de publicidad

• Para el comerciante (antigüedad, situación financiera y competitiva), las restricciones geográficas o de productos

• Toda la información relevante.

62

Este acuerdo está debidamente firmado según la matriz de autorización definida. Permite la revisión a los precios y demás condiciones, especialmente en relación con el esquema de comisión y el objetivo mensual utilizado para calcular el bono.

STC.ISF.CO.3 (Anteriormente STC.CCR.CO.4) Comisiones de ventas indirectas Esta formalmente documentada la política de comisiones y de los incentivos de ventas para los distribuidores, los distribuidores minoristas y franquiciados. La política cubre las cantidades dadas por adelantado (descuen-tos, rebajas) y las cantidades pagadas con base en otros criterios de rendimiento y las ventas reportadas.

La política cubre los criterios de la Comisión, registros, la frecuencia y los medios de pago, los valores recupera-dos y otras normas relacionadas. La estructura de la comisión considera sanciones por la falta de información necesaria para la CRM o con fines de regulación.

La política es comunicada formalmente.

(STC.ISF.CO.4 nuevos) (STC.ISF.CO.3) (Anteriormente STC.CCR.CO.4) El cálculo, la revi-sión y aprobación de los pagos de incentivos de ventas y comisiones indirectasDe acuerdo con la política, el pagos de incentivos de ventas y comisiones para los distribuidores, los distribui-dores minoristas y franquiciados se calculan utilizando datos de origen adecuados. El cálculo de la comisión de ventas es revisado por alguien independiente de quien lo prepara (por ejemplo Aseguramiento de Ingre-sos) y los controles se llevan a cabo para validar la integridad y exactitud de los datos de origen, tales como activaciones de clientes y los ingresos.

Las excepciones son investigadas y resueltas antes de su aprobación. Los cálculos de comisiones de ventas son aprobados antes del pago, de acuerdo con las normas de la autoridad delegadas locales.

(STC.ISF.CO.5) (Anteriormente STC.CCR.CO.7) Cumplimiento de vendedores o distri-buidores con las normativas locales, incluyendo la edad mínima de empleo.Se exige que los vendedores o distribuidores cumplan con las leyes y normativas locales como, por ejemplo, en temas de seguridad laboral o seguridad social.

Los vendedores o distribuidores reciben información sobre los estándares de Millicom en cuanto a la edad mínima de los trabajadores. Se firman acuerdos con ellos que son explícitos y claros en cuanto a la necesidad de cumplir con dicha norma.

63

11.4 Gestión de la relación contractual con la fuerza de venta directa

Las ventas directas se realizan a través de una mezcla de canales que varía en función de la operativa:

• Tiendas propias: Una tienda propiedad de Millicom y gestionada por la empresa.

• FreeLancer/contratistas: Un FreeLancer o contratista es un trabajador independiente (puede tra-bajar a través de su propia empresa unipersonal) que trabaja en un puesto de venta directa para Millicom.

• Empleados: Los empleados de Tigo realizan ventas directas, por ejemplo, en el apartado B2B.

STC.DSF.CO.1 (Anteriormente STC.SFR.CO.1) Los procedimientos de selección de con-tratistas y profesionales independientes Existe un procedimiento que explica cómo se organiza la fuerza de ventas directa, lo que es un profesional independiente y los criterios de selección utilizados para contratarlos. Estos procedimientos contienen niveles de autoridad para aprobar las condiciones comerciales (precios, comisiones específicas, problemas de logísti-ca) y los procedimientos utilizados para la verificación de antecedentes (por ejemplo, los contratos anteriores con Millicom, quejas, antecedentes penales, etc.).

También cumple con las leyes y reglamentos locales de seguridad (por ejemplo, el trabajo, la seguridad social o los demás requisitos legales pertinentes) y con las normas relativas a la edad mínima para contratar.

El procedimiento describen los criterios utilizados para seleccionar la empresa tercerizada, para la gestión de los trabajadores independientes cuando se subcontrata con un tercero.

STC.DSF.CO.2 (Anteriormente STC.SFR.CO.2) Las ventas de trabajadores independien-tes y contratistas en efectivo o créditoLas ventas de los trabajadores independientes y contratistas son preferiblemente en efectivo. En el caso de las ventas a crédito, existe una política de crédito que describe los límites de crédito y todas las garantías pre-ventivas pertinentes, junto con los requisitos para liquidar todas las existencias mensualmente. Los límites de crédito se siguen de cerca, y se toman acciones correctivas.

Si la gestión de los trabajadores independientes o contratistas se subcontrata por un tercero, el acuerdo firma-do describe con qué base se gestionan las ventas (en efectivo o crédito) y los límites y garantías necesarias con el fin de mitigar los riesgos de crédito.

STC.DSF.CO. (anteriormente STC.SFR.CO.3) acuerdo estándar con los trabajadores in-dependientes y contratistas Un acuerdo formal y estándar (los términos generales de ventas o un contrato legal) es publicado para todos los trabajadores independientes o contratistas antes de comenzar el trabajo. Se cumple con las leyes y regula-

64

ciones locales (por ejemplo, seguridad en el trabajo, la seguridad social o los demás requisitos legales pertinen-tes). Los acuerdos con los trabajadores independientes o contratistas incluyen, en particular:

• Actividades asignadas y responsabilidades respectivos

• Derechos y obligaciones

• Relación contractual con distribuidores (donde los trabajadores independientes o contratistas tra-bajen a través de distribuidores, en su caso)

• Cláusulas clara de terminación (tanto desde el profesional independiente o Millicom)

Si la gestión de los trabajadores independientes y contratistas se subcontrata con un tercero, en el acuerdo firmado se describen todos los requisitos (actividades delegadas y responsabilidades, derechos y obligaciones, verificación de antecedentes necesaria antes del empleo, bono o programa de comisiones) y las cláusulas relacionadas (especial-mente relacionados con terminación) que se incluirán en los contratos de los trabajadores independientes.

STC.DSF.CO.4 (anteriormente STC.SFR.CO.4) comisiones de los agentes de ventas directasLa política de comisiones e incentivos de ventas para los empleados de la fuerza de venta directa, los inde-pendientes y contratistas, se documenta formalmente e incluyen el porcentaje de la comisión, el cálculo, la frecuencia y los medios de pago, los valores recuperados y otras normas relacionadas.

La estructura de la comisión considera sanciones por la falta de información necesaria para la CRM o con fines de regulación.

La política es comunicada formalmente a los empleados de la fuerza de ventas directa, independientes y contratistas.

STC.DSF.CO.5 nuevo El cálculo, la revisión y aprobación del agente de ventas directas de incentivos y comisiones pagos. De acuerdo con la política, los incentivos de ventas y pagos de comisiones para la fuerza de ventas directa (trabajadores independientes, contratistas y empleados) se calculan utilizando datos de origen adecuadas. El cálculo de la comisión de ventas es revisado por alguien independiente del preparador (por ejemplo Asegura-miento de Ingresos) y los controles se llevan a cabo para validar la integridad y exactitud de los datos de fuen-tes como las activaciones de los clientes, los ingresos, los ingresos en efectivo. Las excepciones son investigadas y resueltas antes de su aprobación.

Los cálculos de comisiones de ventas son aprobados, de acuerdo con las normas de la autoridad delegadas locales, antes del pago.

STC.DSF.CO.6 (Anteriormente STC.SFR.CO.5) Capacitación del contratista o IndependienteEl plan de formación se publica y se actualiza semestralmente. Formación para los trabajadores indepen-dientes y contratistas se planea sobre una base trimestral, para actualizarlos sobre los planes de la compañía, proporcionándoles información sobre nuevas ofertas o productos (incluyendo la especificación técnica y co-mercial) o para mejorar sus capacidades de venta.

65

11.5 La segregación de funciones

STC.SoD.CO.1 Existe segregación de funciones para la creación e-pin Entre personas que: A) Es responsable de la generación del e-pin. B) Revisa y aprueba el informe sobre e-pin o pines generados. C) Tiene acceso de escritura al sistema de facturación. D) Concilia los pines generados con el informe de ventas del distribuidor y la facturación / contabilidad del sistema. E) concilia los saldos de la plata-forma prepago en el sistema in a GL (tarjetas de prepago y los ingresos diferidos) son independientes entre sí.

STC.SoD.CO.2 Existe segregación de funciones entre creación de Pines electrónicos, facturación y contabilidad

• Son responsables de la creación de pines o pines electrónicos.

• Cuentan con permisos de modificación o eliminación en el sistema de facturación.

• Tienen permisos de escritura en el sistema de contabilidad principal.

• Cuentan con permisos de modificación o eliminación en el sistema de facturación del proveedor.

Es independiente el uno del otro.

STC.SoD.CO.3 Existe segregación de para ajustes manuales de crédito Persona que: a) es responsable de la gestión de cuentas de ventas / cliente b) es quien puede modificar los saldos de abonado c) prepara y revisa el informe sobre los ajustes de crédito manuales (tanto para clientes de prepago y pospago) d) aprueba los ajustes.

Son independientes uno de otro.

STC.SoD.CO.4 Existe segregación de funciones para el aprovisionamiento de nuevos usuariosPersona que:

a. El responsable de la provisión de nuevos usuarios en las plataformas técnicas y de facturación b) El que prepara el informe y revisa la conciliación de suscriptores activos entre plataformas técnicas y de facturación.

Es independiente el uno del otro.

66

12. Ventas y cuentas por cobrar – ContabilidadLos principales objetivos de control sobre el proceso de ventas y cuentas por cobrar - Contabilidad son los siguientes:

a. Gestionar el riesgo de crédito.

b. Maximizar la colección de efectivo y reducir al mínimo la pérdida de ingresos.

c. Asegurar la integridad, exactitud y el reconocimiento oportuno de los ingresos.

d. Asegurar la integridad, exactitud y actualización oportuna del libro mayor.

12.1 Análisis de los clientes y la gestión del riesgo de crédito para los clientes de pospago

STC.CRM.CO.1 Política de crédito a suscriptores Existe una política de crédito formal para todos los clientes de POSPAGO (móvil, telefonía fija, cable, B2B, etc.) y se define la estrategia de crédito y reglas para:

• Evaluar la solvencia de un abonado (incluyendo cuando se utiliza una central de riesgo indepen-diente para la comprobación de antecedentes de crédito)

• Establecer los límites de crédito para cada nuevo tipo de abonado o revisar los límites existentes - tanto en términos de límites de crédito (cantidades) y el número de días de crédito concedido

• Definir la práctica para la solicitud de los depósitos de clientes en cada caso

• La política se aplica a todos los nuevos suscriptores y para todas las solicitudes de cambios en los límites de crédito.

La prestación de servicios de consumo ilimitado y abierto a clientes de POSPAGO sin un historial de crédito se evita. Cualquier desviación es aprobada por el administrador apropiado. Los límites de crédito se siguen de cerca, especialmente para los planes de apertura / ilimitadas.

STC.CRM.CO.2 Procedimiento para los ciclos de facturación, funciones de bloqueo y desconexiónExiste un procedimiento formal donde se define, documentada y se registra lo relacionado con la programa-ción de los ciclos de facturación, las acciones de restricción de crédito, y las reglas de desconexión.

El procedimiento proporciona una línea de tiempo para el ciclo de servicio mensual: expedición de las facturas; recordatorios SMS; restricciones de uso (de una vía o de dos vías de apoyo) hasta la desactivación final de los servicios. El procedimiento se adapta según el producto / servicio y también por la segmentación de clientes.

67

12.2 Interconexión y roaming

(STC.ICF.CO.1) (anteriormente STC.CRM.CO.5) Acuerdos de interconexión con opera-dores distintos de los grupos internacionales bien conocidos Se han celebrado acuerdos de interconexión con diferentes entidades (internacionales y nacionales). Existe una política que describe cómo Millicom gestiona la relación comercial y los riesgos financieros asociados con la interconexión, especialmente en lo relacionado con la exposición de la cartera.

Se presta especial atención a los operadores locales más pequeños, donde el riesgo de insolvencia es mayor. El co-mercio con dichos operadores locales está, siempre que sea posible, desarrollado sobre el esquema de prepago.

Los acuerdos/contratos con los transportistas describen todos los requisitos específicos, objetivos y compro-misos respectivos.

(STC.ICE.CO2) (Anteriormente STC.ARM.CO.6 Seguimiento del riesgo de crédito con la interconexión y los socios de roaming.Se supervisa el riesgo de crédito con socios de interconexión y roaming al menos una vez al mes, para así con-trolar el riesgo de mala deuda.

Se prepara un informe mensual de cuentas por pagar y cuentas por cobrar en función de su antigüedad. Dicho informe está sujeto a revisión independiente.

Para los acuerdos firmados con condiciones de prepago, se realiza una supervisión detallada para garantizar el cumplimiento de los términos de prepago.

(STC.CR.CO.3) (Anteriormente STC.BRC.CO.4 Interconexión de las rutas de tráfico de la críticaExiste un procedimiento que detalla el proceso para el cálculo de las rutas de tráfico de interconexión, para el tráfico normal y cambios de emergencia. (Por ejemplo, rutas bloqueadas o rutas saturadas). Las rutas del tráfico de interconexión son revisadas semanalmente, basadas en beneficios óptimos para la compañía y la calidad de los servicios existentes en cada ruta. Por lo tanto una ruta podría dividirse entre varios operadores de tráfico (carriers). Cualquier cambio realizado en el switch y / o en el sistema de facturación de interconexión (es decir, destinos y rutas) son revisados y aprobados por el administrador de facturación antes de su aplicación.

Los datos de referencia (es decir, enlace de rutas y troncales) se concilian entre el swich y el sistema de factura-ción de interconexión por operador, por ejemplo, validando que la troncal y las rutas de tránsito de enlace están relacionados con el operador correcto por el sistema de facturación de interconexión. La conciliación incluye la mediación en caso de reglas de filtrado definidas, basadas en grupos de troncales en el dispositivo de mediación.

Cuando el cálculo se hace por medio de una herramienta automatizada, se ejecuta una revisión mensual para identificar y analizar variaciones significativas en el enrutamiento.

68

(STC.ICR.CO.4) (anteriormente STC.ARM.CO.8) Conciliación de los ingresos y los gastos de interconexión Los ingresos de interconexión y costes con los operadores nacionales e internacionales se concilian men-sualmente con la contraparte. Las declaraciones de ingreso y la factura están de acuerdo con los registros generados internamente (por ejemplo, cambio de datos). Un procedimiento existe para validar la integridad y exactitud de los datos de origen (EDR, tarifas, etc.). Umbrales de disputa y de tolerancia (porcentaje y can-tidad) se definen formalmente.

Las diferencias son investigadas y resueltas. Las conciliaciones están sujetas a una revisión independiente.

(ST.CR.CO.5 nuevo Gestión y solución de Conflictos Se tiene un archivo o registro con las diferencias entre ingresos de interconexión y los costos. El registro trimes-tral de las diferencias es revisado y firmado por la administración.

Se realiza el análisis de causa raíz para identificar el motivo de la disputa y que se tomen medidas correctivas en forma oportuna. La solución de la diferencia de interconexión fuera de los umbrales de tolerancia definidos está sujeta a la revisión y aprobación del director financiero o de su delegado.

(STC.CR.CO.6 nuevo) Conciliación de los ingresos por roaming, costos y cuentas por cobrarMensualmente se concilian de los ingresos de roaming, los costos, los asentamientos de cobro / pago, con un informe de datos de intercambio. Las conciliaciones están sujetas a una revisión independiente. Las diferencias de exactitud o integridad en los datos son revisados, las acciones se toman y se realiza un seguimiento para corregirlos, y evitar que vuelvan a presentarse estos casos.

STC.ICRCO.7 (anteriormente MFS.SCE.CO.9) Conciliación entre la billetera del tiempo al aire (Airtime) de la plataforma MFS y Prepago. Para la compra /Venta de tiempo al aire realizado a través de MFS:

• Se realiza conciliación diaria entre la billetera del tiempo al aire (Airtime) de la plataforma MFS y la plataforma Prepago / E-pin, para asegurar que todas las transacciones en la plataforma MFS re-flejan transacciones sobre la plataforma de prepago/ E-pin IN. Cualquier diferencia es investigada y aclarada. Si las diferencias existen desde hace más de 30 días, se escalan a RA Millicom / Finanzas / Equipos de MFS Equipos y son cerradas.

• Reutilización de saldo de tiempo al aire en billeteras, para otras actividades de MFS, tales como: pago de comisiones, pago de salarios, el pago de gastos de viaje, deben ser aprobado desacuerdo con la matriz local de autorizaciones de MFS.

• Existe una política que define la mínima frecuencia o valor del tope máximo. Define también que el di-nero electrónico debe ser eliminado de la billetera de compra de tiempo aire y otras billeteras similares donde se acumula el dinero electrónico. La Frecuencia recomendada es al menos una vez por semana.

69

• A una frecuencia definida se elimina el saldo de la billetera de tiempo en el aire y el efectivo co-rrespondiente se transfiere de la cuenta de fideicomiso MFS a la cuenta bancaria Tigo Móvil. Esta transferencia debe ser aprobada por el CFO de acuerdo con la matriz de autorización.

12.3 Facturación, ingresos y procesamiento de notas de crédito

STC.BRC.CO.1 proceso de facturación Se han establecido procedimientos para garantizar que, en cada ciclo de facturación, las facturas se envían a los clientes en la fecha acordada. Se asegura de que todos los movimientos de ingresos en el ciclo de factura-ción son capturados y que las tarifas pendientes de cada suscripción (por ejemplo, los servicios de cuota fija y paquetes) más las recargas (mensuales o puntuales) están incluidos en la liquidación de la factura. También se asegura de que todo POSPAGO (Factura fija) con mezcla de suscriptores se incluya en al menos uno de los ciclos de facturación mensual.

Existe una revisión tanto para las facturas emitidas impresas y electrónicas.

Se prepara y revisa una lista de clientes no facturados. Las facturas que se emiten de forma manual se concilian diaria-mente, adjuntando la aceptación de los clientes y cualquier otra documentación de respaldo antes de la grabación.

STC.BRC.CO.2 Conciliación de Principio a Fin El diseño de cada punto de control dentro del proceso de ingreso se verifica de manera rotativa (cada flujo de ingresos clave para ser revisado por lo menos una vez al año) por aseguramiento de ingresos y facturación para garantizar la coherencia de extremo a extremo y mitigación de riesgos. Esta opinión está documentada. Si se identifican nuevos riesgos, se introducen controles específicos. Si los riesgos son inexistentes o si los con-troles existentes no sirven a un propósito comercial, se retiran, modifican o son reemplazados.

(STC.BRC.CO.3 interfaz entre el sistema automatizado de facturación y contabilidadExiste una interfaz (preferentemente automatizado) entre la facturación y el sistema de contabilidad para garantizar la integridad y exactitud de los datos de los ingresos registrados en el libro mayor. La conciliación se realiza mensualmente entre plataformas de facturación y la contabilidad general. La conciliación está sujeta a una revisión independiente y las discrepancias se resuelven de manera oportuna.

STC.BRC.CO.5 Procedimiento para devoluciones y / o reclamaciones de los clientesExiste un procedimiento formal documentado que se realiza para asegurar la rentabilidad y / o reclamaciones relacionadas con los teléfonos y equipos (que nunca funcionaron, que dejaron de funcionar tras la compra, con garantía, sin garantía, etc.) son manejados de manera adecuada y en el momento oportuno. Se incluyen en el procedimiento el flujo de aprobación, el flujo de procesamiento, el proceso de reclamación con el pro-veedor / fabricante, la grabación de las entradas de inventario y libro mayor.

70

STC.BRC.CO.6 Proceso de aprobación para la emisión de notas de crédito, dado de baja y castigosLas notas crédito son aprobados adecuadamente de conformidad con la matriz de autorización local antes de la emisión. Las notas crédito están respaldados por la documentación apropiada y hacen referencia a una factura o un conjunto de facturas.

STC.BRC.CO.7 La numeración de las facturas y notas de créditoTodas las facturas y notas de crédito tienen un número único, generado por el sistema. Las reglas de negocio y técnicas (por ejemplo, numeración únicas o separada, la cancelación de las facturas o notas de crédito) y los criterios utilizados para la numeración se documentan formalmente.

Se lleva a cabo una revisión después de cada ciclo de facturación para detectar deficiencias en la secuenciación. Se identifican las causas de raíz y se toman acciones correctivas se realiza un seguimiento para evitar nuevas lagunas.

STC.BRC.CO. 8 informe de seguimiento de notas de créditoComo una forma de control se prepara un informe mensual detallado de notas de crédito. El informe se analiza para identificar las causas fundamentales de la emisión de notas de crédito e incluye un análisis de tendencia de causa, además del plan de mejora (en su caso).

(STC.BRC.CO.9 nuevo) Los saldos de suscriptores de prepago Todos los saldos de abonado son revisados en cuanto a su exactitud, especialmente en relación con:

• Validación y aprobación de todos los ajustes y cambios manuales en saldos de abonado prepago (por ejemplo, con respecto a las tarjetas defectuosas) antes de la aplicación.

• Revisión para todos los suscriptores con saldo negativo.

Cualquier inconsistencia se revisa, se explica y se documenta en detalle. Se toman acciones y se realiza un seguimiento para corregir y evitar que se vuelvan a presentar más casos.

STC.BRC.CO.10 nuevo Conciliación de la generación de tráficoExisten unos procedimientos para asegurar la exactitud y consistencia de la generación y reporte de tráfico (incluyendo servicios móviles, líneas fijas y cable, y MFS). En particular:

• Se ejecuta la conciliación de principio a fin del tráfico, desde el swich al libro mayor (incluyendo MSC, SMSC, MMSC, SGSN, plataformas VAS, prepago, facturación, mediación, etc.) para asegurar la integridad del tráfico.

• La conciliación se ejecuta por flujo de ingresos (de voz, SMS, datos, VAS, nacionales y de roaming, y especialmente las transacciones MFS) y en términos de volúmenes y registros (conteo EDR, incluidos los registros que faltan en relación con el número de secuencia, registros duplicados, EDR´s rechazados, archivos TAP-in y TAP-out), por minutos, bytes o transacciones.

71

• La conciliación sigue los lineamientos del framework provisto por el equipo de aseguramiento de ingresos Global.

El procedimiento garantiza la supervisión del tráfico libre (voz, datos, paquetes, etc.)

STC.BRC.CO.11 nuevo Tarificación de TráficoExisten procedimientos para garantizar la exactitud de la calificación para todos los tipos de tráfico (incluyen-do móviles, de voz y datos, telefonía fija y de cable), especialmente en relación:

• Informe oficial sobre todo el tráfico libre, cero tráfico de puntuación, clasificar el tráfico por de-fecto.

• Muestra de re-calificación del tráfico.

• Revisar los abonados con tráfico no facturables (es decir, el tráfico de los abonados que no necesi-tan pagar por ciertos o todos los servicios, incluido el personal y las líneas de prueba) y/o garanti-zar que se clasifican correctamente como tráfico no facturable, lo no facturable se excluye de los ingresos reconocidos.

• Proporcionar un informe de excepción / alarma en los cambios de tarifas para todas las platafor-mas de facturación

• Validar facturas generadas para los suscriptores pegado en el sistema de facturación de prepago para asegurarse de que la recarga (top-up) a principios del mes coincida con las facturas generadas en el final del mes

• Informes diarios para revisar de alta de uso de Roaming. Cualquier acción tomada sobre la base de este informe se comunica y ejecutada por el departamento de facturación

• Conciliación (de abonados itinerantes salientes) de tomas de entrada y de salida del grifo (abona-dos itinerantes entrantes) vs. Sistema de facturación.

Cualquier diferencia se revisa adecuadamente, se explica y se documenta en detalle. A Las acciones correctivas que se toman se les realiza un seguimiento para evitar que vuelvan a presentarse casos.

STC.BRC.CO.12 nuevo Exactitud de las ventas prepago Existen procedimientos para garantizar la exactitud de las ventas de prepago, especialmente en lo relacionado con:

• La conciliación de la salida del sistema e-Pin contra la entrada de la plataforma de prepago. La con-ciliación debe incluir la cantidad total de recargas a nivel de cada cuenta por suscriptor.

• Una conciliación a nivel de cuenta se ejecuta de acuerdo a lo siguiente: Saldo de Apertura - con-sumos + Recargas +/- Ajustes (si aplica) = Saldo de Cierre. Aseguramiento de Ingresos revisa y asegura que las acciones correctivas han sido tomadas.

• El uso de PINes o tarjetas prepago duplicados son reportados y revisados mensualmente.

72

• Conciliación entre el valor de las tarjetas prepago recibidas en inventario contra el Valor de E-PIN generado por la plataforma de prepago o por el generador de Pines. Además, esto se compara contra la so aprobada de Pines o HRN (Hidden record number) . El Gerente de Bodega, ejecuta este control, mientras que el responsable del área financiera debe revisar y aprobar esta conciliación. Esto se realiza cada vez que nuevas tarjetas prepago son recibidas.

• Una revisión automática para conciliar las tarjetas prepago cargadas por suscriptor Vs las tarjetas prepago registradas en el sistema de inventarios.

Cualquier diferencia se revisa adecuadamente, se explica y se documentan en detalle. Se toman las acciones de corrección y se realiza un seguimiento para evitar que vuelvan a presentarse casos.

STC.BRC.CO.13 nueva Agrupación de servicios Productos y funciones dadas a los suscriptores como parte de un paquetes son conciliados con lo contrato (derecho del clientes). Esto se lleva a cabo a través de alarmas automatizadas con excepciones identificadas. Se realizó un análisis de causa raíz para identificar las acciones correctivas.

STC.BRC.CO.14 nuevo Conciliación contable vs Plataforma (IN)Todos los saldos en el sistema de facturación de prepago (IN / CBS) se concilian mensualmente en el libro ma-yor (ingresos diferidos y las tarjetas de prepago). Se presta especial atención a los ajustes manuales publicados de los ingresos diferidos. Como mínimo, la conciliación contiene los datos que se especifican en el formato estándar del equipo de aseguramiento de ingresos del Grupo.

Todas las diferencias son investigadas y resueltas de manera oportuna. La conciliación está sujeta a una revi-sión independiente.

STC.BRC.CO.15 nuevo El seguimiento de los ingresos diferidos de carteras no core Revisión analítica a nivel de abonado se lleva a cabo mensualmente sobre el movimiento saldo del cierre, la expiración de carteras no core (es decir, los que se utilizan para las promociones, bonos, paquetes, etc.) movi-mientos inusuales, saldos y caducidad se analizan para determinar posibles ajustes.

12.4 Cuentas de gestión de cobros, la recogida y la morosidad

STC.ARM.CO.1 Conciliación diaria entre el informe de ventas, cobros y la Contabilidad GeneralSe lleva a cabo una conciliación diaria entre el informe de ventas desde el sistema de facturación / sistema de punto de ventas, tiempo en el aire acreditado en la plataforma, la colección de dinero en efectivo del banco y ventas / colección registrado en el libro mayor. Cualquier diferencia se explica correctamente y documentado en detalle.

Cada ajuste registrado en el libro mayor se documenta en detalle, incluyendo el cálculo completo, las fuentes de datos utilizados existentes y las nuevas cantidades.

73

STC.ARM.CO.2 conciliación diaria entre el informe de ventas, cobros y la Contabilidad GeneralTodos los saldos de las cuentas por cobrar (incluidos los de pospago, B2B, se prestan-Me productos, ventas directas e indirectas, roaming y de interconexión) son revisados mensualmente para los propósitos precisión y consistencia. La revisión incluye una revisión específica de la antigüedad de los saldos.

Las diferencias más importantes o movimientos inusuales se explican y documentan en detalle.

STC.ARM.CO.3 La conciliación de cuentas por cobrar de sistema de contabilidad y el sistema de facturación Los saldos de las cuentas por cobrar en el libro mayor se concilian mensualmente contra los saldos en el otro sistema de sistema de facturación / tercero para identificar las diferencias y garantizar que se tomen medidas correctivas. Todas las diferencias son investigadas y resueltas. Todas las conciliaciones están sujetas a revisión

Esto cubre todos los tipos de saldos, como POSPAGO, B2B, productos en préstamo (lend -me), ventas direc-tas e indirectas, roaming y de interconexión.

STC.ARM.CO.4 Aprobación de la cuenta por cobrar la provisión y castigo Todas las deudas malas y de dudoso recaudo están previstas en línea con la política de contabilidad Millicom. Los castigos relacionados con la morosidad se procesan a tiempo, son justificados y aprobados de acuerdo con la matriz de la autorización definida.

Se notifican todos los casos excepcionales y son revisados con el equipo de contabilidad.

STC.ARM.CO.5 El análisis de las cuentas de ventas Cuentas de ventas (las tendencias de ingresos, productos y servicios de análisis, el ARPU etc) se analizan men-sualmente para la verificar la exactitud, integridad y consistencia de los datos (por ejemplo, análisis de los márgenes, el seguimiento del presupuesto, etc.).

Las diferencias más importantes en artículos inusuales son investigadas y documentadas. Las diferencias de los datos son revisados para lograr exactitud o integridad, a las acciones correctivas que se toman se realiza seguimiento para evitar nuevas ocurrencias.

STC.ARM.CO.7 La conciliación de cuentas por cobrar de clientes de POSPAGO con la recaudación de efectivo Las cuentas por cobrar a los clientes de pospago (móvil, telefonía fija y de cable, etc.) se concilian mensual-mente con los cobros en efectivo para garantizar la asignación precisa y oportuna del dinero recogido.

La antigüedad de los saldos de efectivo no asignados se revisa mensualmente para garantizar la asignación oportuna de los ingresos en efectivo.

74

STC.ARM.CO9 El seguimiento de los clientes de depósitoSi los clientes están obligados por la política de crédito (STC.CRM.CO.1) exige que proporcionen un depósito de garantía, entonces estos depósitos en el sistema de facturación se concilian mensualmente con la contabi-lidad general y tesorería. Las discrepancias son investigadas y corregidas.

STC.ARMCO.11 nuevo La conciliación de ComisionesComisión de ventas y los informes de pago de incentivos (como se define en STC.ISF.CO.4.1 y STC.DSF.CO.4) se concilian mensualmente contra el libro mayor y los centros de costos. Esta reconciliación abarca todo tipo de comisiones y pago de incentivos (distribuidores, autónomos, empleados, etc.). Esta reconciliación cubre las comisiones pagadas a todos los canales (nómina, MFS, etc.). Los pagos realizados se reconcilian en el libro mayor mensualmente.

Todas las diferencias son investigadas y resueltas. Todas las conciliaciones están sujetas a revisión.

12.5 Aseguramiento de Ingresos y Fraude.

STC.RAF.CO.1 (Anteriormente STC.ARAMCO.10) El seguimiento de los flujos de ingre-sos y el tráfico Todas las cadenas de ingresos (voz, SMS, datos, EVA, etc. MFS tanto para móviles y fijas) y el tráfico (on-net, x-red, itinerancia) se determinan con tableros de instrumentos y alarmas. Las tendencias inusuales se investi-gan y se emprenden acciones de mejora.

STC.RAF.CO.2 nuevo marco de aseguramiento de datos El aseguramiento de los datos se lleva a cabo para detectar y prevenir las fugas de los flujos de ingresos de datos.

STC.RAF.CO.3 (Anteriormente STC.ARAMCO.11) Fraude en las redes móviles El equipo de aseguramiento de ingresos se asegura de que todos los controles definidos en los marcos de aseguramiento de ingresos en la detección y prevención del fraude en las redes móviles se aplican y controlan de manera efectiva para minimizar participación internacional en los ingresos Fraude (IRSF), el fraude SMS, el bypass internacional o los datos correctamente.

STC.RAF.CO.4 (anteriormente STC.ARMS.CO.12) Notificación de sucesos de Asegura-miento de IngresosTodos los incidentes de fraude o pérdida de más de USD 50 mil se comunicarán inmediatamente al área de ase-guramiento de ingresos y a los equipos de fraude dentro de los 5 días del incidente utilizando el formato definido.

75

13. Servicios financieros móviles Los principales objetivos de los controles internos de MFS son:

a. Exactitud e integridad de los ingresos y los costes directos MFS

b. Cumplimiento de las normas locales y las normas contra el lavado de dinero

c. Mitigar el fraude

13.1 Aprobación regulatoria

MFS.REG.CO.1 Lista de chequeo de la regulación de los SFMExiste una lista de chequeo local que contiene todos los requerimientos y obligaciones regulatorias clave, tales como licencias y fechas de expiración, reportes regulatorios, conservación de grabaciones, procedimientos para Conocimiento de sus Clientes y Conocimiento de sus Agentes, requerimientos AML/CFT y algunas otras regulaciones externas de obligatorio cumplimiento.

Esta lista de chequeo debe ser revisada y actualizada al menos dos veces al año y aprobada por el principal encargado local de los SFM y el Jefe de Finanzas Principal (CFO).

MFS.REG.CO.3 Delegación de la matriz de autoridad de los SFMUna delegación local de la matriz de autoridad de los SFM es documentada con asignación de niveles de autoridad claros para todas las transacciones y actividades de los SFM. La Matriz de autoridad de SFM debe estar alineada con la otra matriz de autoridad para la operación local. Debe ser actualizada periódicamente y aprobada por el cuerpo de Directores de SFM (donde SFM es una entidad legal separada) o por el Gerente General nacional.

13.2 Gestión de ventas

MFS.SAL.CO.1 Política comercial de los SFMExiste una política comercial local de SFM que incluye como mínimo: detalles de los productos y servicios SFM (catálogo de productos), reglas de negocio de los productos SFM, estructura de comisiones para los agentes, estructura de tarifas para los clientes, KPIs para monitorear clientes y agentes, etc.

Esta política debe cumplir con la Política AML/CFT de Millicom y debe ser revisada al menos anualmente por el Gerente General nacional y el principal encargado de SFM.

El departamento de aseguramiento del ingreso debe hacer una revisión al menos una vez al año para asegurar que los parámetros del sistema y las reglas están de acuerdo con los productos y servicios SFM (catálogo de

76

productos) y las reglas del negocio. Cualquier inconsistencia debe investigarse y cualquier regla de negocio inusual en el sistema debe removerse.

MFS.SAL.CO.2 Contratación de agentes de SFMExiste y está documentado un proceso de contratación de agentes SFM en todas las categorías incluyendo Súper Agentes, Agentes de Retail, Comerciantes, Cajas, Freelancers, Promotores y Entrenadores y debe incluir como mínimo:

• Un contrato entre el Agente y TigoUne aprobado por la delegación SFM local de la Matriz de autoridad.

• La información de Conocer tu Agente está definida y recopilada en un formato estándar (que in-cluye el origen de los fondos del Agente).

• El contrato del Agente y la información recopilada de Conocer tu Agente debe cumplir mínimo con el estándar definido en la política AML/CFT y las regulaciones locales.

Los Agentes solamente pueden ser creados y activados en plataforma después de cumplir los tres pasos ante-riores y con la aprobación del Jefe local AML.

MFS.SAL.CO.3 Verificación de Agentes en la plataforma SFM y KYA Los nuevos Agentes activados en la plataforma SFM se revisan al menos semanalmente con la documentación definida en el proceso de contratación.

Todos los perfiles de los Agentes activos en la plataforma son revisados al menos anualmente para asegurar que se cuenta con la información KYA y la documentación de soporte requerida en el proceso de contratación:

• Se debe generar un reporte como evidencia de la verificación hecha, excepciones identificadas, causas principales y maneras de prevenir futuros incidentes similares.

• Cualquier información o documentación faltante debe ser conseguida en 30 días calendario (o antes si las regulaciones locales lo requieren) de lo contrario la cuenta del Agente será bloqueada.

MFS.SAL.CO.4 Incorporación de clientes SFM El proceso de incorporación de clientes está documentado para cualquier tipo de cliente SFM (clientes indivi-duales, clientes socios de producto, clientes corporativos, etc.) e incluye como mínimo:

• La información KYC está definida y cumple con la política estándar AML/CFT de Millicom y las regulaciones locales.

• La información KYC está recopilada en un formato estandarizado.

• Para el auto registro digital, debe estar recopilada y almacenada la información requerida.

• Si los procedimientos por niveles KYC son permitidos por la regulación local, la información re-querida para cada nivel debe estar documentada, recopilada y almacenada.

77

Los Clientes solamente pueden ser creados y activados en plataforma después de cumplir los pasos anteriores y con la aprobación del Jefe local AML.

MFS.SAL.CO.5 Verificación de Clientes en la plataforma SFM y KYC Todos los clientes nuevos activados en la plataforma de MFS se comprueban al menos una vez a la semana para compararlos con los requisitos de información de clientes y con la documentación de respaldo estable-cida por el proceso de incorporación de clientes.

Todos los perfiles de los Clientes activos en la plataforma son revisados al menos anualmente para asegurar que se cuenta con la información KYC y la documentación de soporte requerida en el proceso de incorporación:

• Se debe generar un reporte como evidencia de la verificación hecha, excepciones identificadas, causas principales y maneras de prevenir futuros incidentes similares.

• Cualquier información o documentación faltante debe ser conseguida en 90 días calendario (o antes si las regulaciones locales lo requieren) de lo contrario la cuenta del Cliente será bloqueada.

MFS.SAL.CO.6 Cambio de tarifas y comisiones en la plataforma SFMEl análisis de ingresos y costos (análisis del margen) es realizado antes de la implementación de algún cambio en la estructura de tarifas y comisiones para los SFM en la plataforma SFM para confirmar el criterio de reco-nocimiento contable y prevenir fuga de ingresos.

Se debe hacer chequeos específicos en los potenciales huecos en la estructura de comisiones que podrían dar lugar a fraudes y fugas tales como desviación de transacciones, depósitos directos, activaciones falsas, etc.

Este análisis debe ser revisado y aprobado de acuerdo a la matriz de autoridad antes de la implementación en la plataforma SFM.

MFS.SAL.CO.7 Protección de cuentas de Clientes/Agentes Encripción de todos los pines de usuario SFM en la plataforma SFM. Un control automático previene los accesos de los usuarios a sus billeteras SFM antes del cambio de su PIN por defecto. Un control automático previene los accesos de los usuarios a sus billeteras SFM cuando un PIN del cliente no se ha cambiado después de que una acción ha sido realizada por personal Tigo usando el PIN del usuario.

MFS.SAL.CO.8 Creación de dinero electrónico El dinero en efectivo debe ser depositado en una cuenta de fideicomiso SFM antes de la creación de algún dinero electrónico.

Cuando la creación de dinero electrónico se hace manualmente debe estar evidenciado por un depósito de caja de banco antes de que el requerimiento de creación del dinero electrónico esté aprobado. Cuando la crea-ción de dinero electrónico es un proceso automático, el sistema está configurado para asegurar el depósito de dinero efectivo antes de la creación del dinero electrónico.

78

MFS.SAL.CO.9 Segregación de funciones para creación y asignación de dinero electrónicoExiste un sistema basado en flujo de trabajo y segregación de funciones y está documentado para la creación y asignación de dinero electrónico.

Creación manual de dinero electrónico: Cuando la creación y asignación de dinero electrónico es un proceso manual:

• La creación y asignación de dinero electrónico debe ser iniciada por el equipo SFM.

• La creación y asignación de dinero electrónico debe ser verificada y aprobada por el equipo de Finanzas.

Creación automatizada de dinero electrónico: Cuando la creación de dinero electrónico es un proceso auto-mático, el acceso al banco y a la plataforma de integración SFM debe estar restringido con estricta segregación de funciones implementada para asegurar que no se tengan conflictos con los permisos de accesos para crea-ción y asignación de dinero electrónico. El sistema de permisos de accesos y segregación de funciones se debe revisar al menos cada cuatro meses.

El proceso de conciliación entre SFM y GL debe ser realizado por el personal que no sea iniciador y responsable de aprobación de creación y asignación de dinero electrónico. Alguna excepción a esta segregación de funcio-nes debe ser escalada y aprobada por el CFO.

MFS.SAL.CO.10 Asignación de dinero electrónico Cuando la asignación de dinero electrónico es un proceso separado de la creación, entonces la evidencia del depósito debe ser suministrado por el requirente/usuario (Agentes, socios de pagos de facturas, Tigo Mobile, Empleados Tigo, etc.) antes de aprobar la colocación del dinero electrónico en la cuenta del usuario.

MFS.SAL.CO.13 Sistema basado en requerimientos y aprobaciones de retiro de dinero electrónicoEstá implementado un sistema basado en flujo de trabajo y está documentado el proceso de segregación de funciones para todos los requerimientos de retiro de dinero electrónico. El retiro debe estar causado por un criterio predefinido tal como un requerimiento de retiro por parte de un agente, transferencia de fondos a socios de contrato de pagos, transferencia de fondos de venta de tiempo al aire mediante SFM, etc.

Todos los requerimientos de retiro de dinero electrónico deben ser aprobados por el Jefe principal de SFM de acuerdo con la matriz de autoridad SFM. Los retiros de dinero de la tercera parte de la cuenta de fideicomiso SFM debe ser aprobada por el CFO de acuerdo con la matriz de autoridad.

MFS.SAL.CO.14 Conciliación diaria del dinero electrónico creado, asignado y balance de cuenta bancaria de fideicomiso Realizar conciliación diaria entre:

• Dinero electrónico creado en la billetera electrónica y el dinero depositado en la cuenta de fidei-comiso SFM.

79

• Dinero electrónico asignado desde la billetera electrónica y la correspondiente evidencia de soli-citud del usuario.

• Dinero electrónico borrado de la billetera electrónica (evidenciado por el requerimiento de retiro aprobado) y el dinero retirado de la cuenta de fideicomiso SFM.

Cualquier saldo no conciliado de dinero electrónico creado o borrado en la billetera electrónica debe ser claramente documentado, investigado, y aprobado con el equipo de SFM local, Finanzas, y el equipo de ase-guramiento del ingreso dentro de 5 días hábiles.

Cualquier saldo no conciliado por más de 30 días debe ser escalado al CFO local y aclarado en menos de 60 días.

Esta conciliación debe ser realizada por alguien diferente al encargado de la creación del dinero electrónico, de la asignación, del borrado y del proceso de aprobación y de quien asienta en el libro mayor. La conciliación debe estar sujeta a revisión.

MFS.SAL.CO.16 Transacción SFM de anulación y ajuste manual de dinero electrónicoEl proceso de anulación de transacciones SFM se encuentra documentado y disponible para manejo de reque-rimientos de clientes/Agentes y para manejo de anulación de transacciones de socios de productos.

Como mínimo, el proceso debe definir: máximo número de días para iniciar la anulación de la transacción a cerrarse, tipos de transacciones no anulables y las tarifas/comisiones/impuestos que no serán anulados, tran-sacciones anulables automáticamente (por ejemplo ATM sin dinero), etc.

Todos los ajustes manuales de dinero electrónico como: corrección de transacciones, transacciones anuladas, etc. debe estar aprobado por el CFO de acuerdo con la delegación local SFM y la matriz de autorizados.

MFS.SAL.CO.17 Reconciliación de ajuste manual de dinero electrónicoRealizar la conciliación entre todos los ajustes manuales de dinero electrónico por ejemplo débitos y créditos no estándar (incluyendo ajustes en la billeteras de socios de producto) y la documentación de soporte aprobada.

Esta conciliación debe ser revisada y aprobada por una persona independiente como se define en la matriz de autorizados SFM local.

MFS.SAL.CO.18 KPIs del negocio SFM Los KPIs están definidos y usados para el monitoreo del desempeño del negocio SFM. Estos KPIs deben incluir pero no limitarse a:

• KPIs de Agentes y clientes (agentes/clientes activados por día/semana/mes, cantidad de transaccio-nes por agente/cliente por día, valor de las transacciones por agente/cliente por día)

• Saldo de efectivo y de dinero electrónico de los agentes.

• KPIs de servicio de los clientes (tiempo de reseteo de PIN, tiempo de anulación de transacciones, etc.)

80

• KPIs técnicos (TPS -Sistema de Procesamiento de Transacciones- en horas pico, tiempo de caídas por semana, fallas en entrega de SMS, etc.)

Estos KPIs son supervisados preferiblemente a través de alertas automáticas (por ejemplo, sistema distribuido de gestión).

MFS.SAL.CO.19 Política de cuenta inactiva de Agente/Cliente SFM Está documentado el proceso de cuentas sin uso o inactivas de clientes y agentes. El proceso define:

• Que es un Agente/Cliente activo o sin movimientos/inactivo.

• Un proceso de revisión periódica para identificar cuentas sin uso de agentes/clientes (las mejores prácticas recomiendan que sea mensual).

• Acciones clave para manejar las cuentas de agentes/clientes identificadas como sin uso tales como reciclado de número móvil, cuarentena de la cuenta y el balance, procedimientos de reclamo de parientes cercanos, etc.

• Anulación de transacciones de cuentas sin uso.

Este proceso debe estar alineado con las regulaciones locales, política AML/CFT de Millicom, política de reci-clado de números móviles Tigo y las definiciones de negocio SFM de Millicom.

MFS.SAL.CO.22 Conciliación diaria entre el balance de dinero en la cuenta de fideicomi-so SFM, el dinero electrónico en la plataforma SFM, y el libro mayor. Realizar una conciliación diaria entre todos los balances de efectivo de las cuentas de fideicomiso SFM, cuen-tas de banco/pasivos del libro mayor y todo el dinero electrónico pendiente en la plataforma SFM. Esta conci-liación debe ser realizada usando los formatos estándar de aseguramiento del ingreso.

Cuando el banco es responsable del efectivo y creación del dinero electrónico, la conciliación debe ser hecha entre el balance de cuenta de fideicomiso, el dinero electrónico y cuentas de orden fuera de balance.

Cualquier diferencia identificada debe ser investigada y aclarada en colaboración con el equipo de asegura-miento del ingreso local en 5 días hábiles, y escalada al CFO local de acuerdo con la matriz de autorizados si la diferencia continúa por 30 días. La conciliación debe ser realizada por alguien independiente del proceso de transacciones de cuentas de banco y de la creación de dinero electrónico, asignación, borrado y del proceso de aprobación. La conciliación debe estar sujeta a revisión.

MFS.SAL.CO.23 Límite de la cuenta SFM El límite de las transacciones está definido tanto por número como por monto para cada cuenta SFM (esto con un único ID de referencia tal como MSISDN) activada en la plataforma SFM para un período de tiempo definido, por ejemplo: diario, semanal, mensual.

81

Los límites de las transacciones deben estar configurados de acuerdo a los límites aprobados por regulación o definidos en una política local por referencia al perfil de los usuarios donde no hay límites regulatorios.

El monitoreo está definido para identificar alguna desviación de los límites definidos.

MFS.SAL.CO.24 Cambio de información de Agentes/Clientes en la plataforma SFMEl sistema de alarmas existe para detectar y tener trazabilidad de cambios críticos para la información de Agente/Cliente (datos maestros) en la plataforma SFM por ejemplo límite de cuenta SFM, información perso-nal, cambios en el perfil de impuestos y el IVA, etc.

Alguna anomalía o cambio injustificado es investigado por la operación back office en colaboración con el área de aseguramiento del ingreso y la oficina local contra el lavado de dinero y corregida.

MFS.SAL.CO.25 Reclutamiento y entrenamiento de los empleados SFMTodos los empleados Tigo SFM (cualquier individuo que proporciona servicios SFM en alguna proporción de acuerdo a la política AML/CFT de MIC) están sujetos a un control de reclutamiento y entrenamiento adicio-nal el cual incluye lo siguiente:

• Todos los nuevos empleados SFM son analizados (verificación de referencias con los empleadores anteriores, antecedentes criminales, etc.) antes de la aprobación final de reclutamiento.

• Todos los empleados SFM deben recibir entrenamiento inicial en AML después de la contratación y actualizar su entrenamiento en AML al menos anualmente. Este entrenamiento debe completar-se cumplirse con la política AML/CFT de Millicom.

• Los empleados Tigo SFM que manipulan dinero electrónico tales como, cajeros/cliente personal de servicio/ventas en tiendas Tigo debe ser evaluado también (verificación de referencias con em-pleadores anteriores, antecedentes penales, etc.) antes de la contratación o de que le sea asignado dinero electrónico bajo su responsabilidad. Ellos deben también recibir entrenamiento AML de acuerdo con la política AML de Millicom.

MFS.SAL.CO.26 Cambio de SIM SFM Existe un proceso de cambio de SIM SFM (cuando la SIM card está perdida, es robada, etc), incluyendo segre-gación de funciones de personas y sistemas está disponible y documentado.

Como mínimo el proceso debe incluir:

• El paso a paso de las actividades para realizar cambio de SIM remotamente y en tiendas Tigo.

• Configuración de preguntas de seguridad para identificar clientes durante el proceso de cambio de SIM en línea o remoto.

• Control automático para limitar cambio de SIM remoto. Por ejemplo bloqueo de SIM card que están activas o al aire, limitación automática para prevenir reset de PIN sobre algún número que

82

ha sido cambiado para un período definido de tiempo (las mejores prácticas recomiendan los últimos 3 días), configuración del umbral para saldo de dinero electrónico sobre el cual la SIM card no puede ser cambiada remotamente por ejemplo alguna SIM card con saldo de $5 de dinero electrónico no puede ser cambiada en línea.

• Los clientes deben visitar la tienda Tigo para la identificación física.

• Bloqueo del acceso a la cuenta SFM por un periodo definido de tiempo después del cambio de SIM (las mejores prácticas recomiendan 4 horas).

• Restricciones para cambio de SIM de agentes remotamente.

• Formación de agentes de servicio al cliente sobre los riesgos de cambio de SIM en línea.

• Apropiarse de las alarmas de aseguramiento del ingreso con los cambios de SIM.

El proceso de cambio de SIM SFM debe estar sincronizado con el proceso de cambio de SIM móvil antes de una aprobación.

MFS.SAL.CO.27 Reseteo de PIN SFMExiste un proceso de reset de PIN SFM (incluyendo segregación de funciones de personas y sistemas) y está documentado.

Como mínimo el proceso debe incluir:

• Conjunto de preguntas de seguridad para identificar a los clientes durante el proceso de reset de PIN en línea.

• Proceso de reset de PIN para cuentas de agentes.

• Entrenamiento para los agentes de servicio al cliente sobre los riesgos en el proceso de reset de PIN.

• Apropiarse de las alarmas de aseguramiento del ingreso con el reset de PIN.

13.3 Gestión del servicio

MFS.SCE.CO.1 Monitoreo de parámetros de la plataforma SFMHay alertas automatizadas para monitorear la configuración de parámetros clave de la plataforma SFM tales como:

• Prevenir y detectar todas las cuentas SFM con balance negativo.

• Asegurar que las tasas de comisiones de los agentes estén alineadas con lo definido y aprobado y que sean hechas únicamente después de que la transacción ocurra.

• Detectar modificaciones a los parámetros de comisiones.

• Detectar modificaciones a los parámetros de tarificación y facturación.

• Asegurar que las transacciones no puedan ser ejecutadas si el saldo no es suficiente.

83

El departamento de Aseguramiento del Ingreso debe hacer una revisión anual para asegurar que los paráme-tros y reglas del sistema estén de acuerdo con las reglas de negocio y catálogos de producto documentadas. Cualquier inconsistencia debe investigarse y cualquier regla de negocio inusual en el sistema debe removerse.

MFS.SCE.CO.2 Cálculo de comisiones SFM y pagos Para todas las comisiones y honorarios SFM definidos en la política comercial SFM:

• Cálculo automático de comisiones y honorarios en la plataforma SFM utiliza fuentes de datos apropiadas. Cuando la automatización completa no es posible, se asegura con controles compen-satorios para garantizar la exactitud de los cálculos de acuerdo con lo definido en la política de honorarios y comisiones.

• El cálculo de comisiones SFM es revisado por alguien diferente al preparador (por ejemplo asegu-ramiento del ingreso) y los chequeos son realizados para validar la completa exactitud de los datos fuente. Las excepciones son investigadas y resueltas antes de la aprobación.

• Todos los pagos de comisiones SFM son aprobados de acuerdo con la delegación local SFM de la matriz de autorizados antes de los desembolsos de la plataforma SFM.

MFS.SCE.CO.5 Monitoreo de transacciones sospechosas Revisión y monitoreo de transacciones sospechosas SFM (como está definido en la política AML/CFT de Mi-llicom y de acuerdo a las reglas locales AML) es hecha automáticamente usando alarmas y herramientas AML automáticas. Esto incluye como mínimo:

• Revisión del uso de valores altos, límite de la tarjeta SIM, cantidad de transacciones (cantidades pequeñas vs cantidades altas), frecuencia, e intervalos de tiempo entre el dinero que ingresa y el que sale.

• Revisión de movimientos inusuales e irregulares tales como transferencia de dinero electrónico de la compra de tiempo al aire desde la billetera electrónica (paquetes), Pagos de facturas desde la billetera electrónica, Cancelación de la billetera, Billeteras de los clientes y de los agentes o Dealers (cupos asignados y disponibles).

• Cualquier anomalía identificada durante la revisión es investigada y aclarada dentro de 5 días há-biles. Si tales diferencias continúan por más de 30 días, son escaladas al MFS Global AML Officer para cierre.

• Pueden tomarse otras acciones tales como contactar al suscriptor para alguna explicación o inclu-so bloquear al suscriptor.

84

MFS.SCE.CO.7 Conciliación diaria del balance total de dinero electrónico abierto y ce-rrado en la plataforma SFM Realizar conciliación diaria entre el total de dinero electrónico al cierre del saldo y el total de dinero electró-nico al abrir el saldo con la suma de todos los movimientos diarios de dinero electrónico en la plataforma SFM (El saldo al cierre debe ser igual al saldo inicial menos las transferencias salientes más las transferencias entrantes más/menos algún ajuste).

Esta conciliación debe hacerse usando el formato estándar de aseguramiento del ingreso. La conciliación debe hacerla alguien independiente de la creación de dinero electrónico, del proceso de asignación y borrado y estar sujeto a revisión.

Se debe prestar especial atención a todos los sistemas de billetera y cualquier transferencia no estándar entre sistemas de billetera debe ser investigada.

Cualquier cantidad desconciliada debe ser investigada en colaboración con el área de aseguramiento del in-greso local dentro de 5 días hábiles y escalada al CFO de acuerdo con la delegación de la matriz de autorizados si la diferencia persiste por 30 días para ser cerrada.

MFS.SCE.CO.8 Conciliación mensual de los balances de billeteras electrónicas y las co-rrespondientes cuentas del libro mayor Realizar conciliación mensual entre todos los saldos de las billeteras electrónicas en la plataforma SFM sus correspondientes cuentas de libro mayor.

Todas las transacciones del libro mayor son verificadas con las transacciones registradas en la plataforma SFM.

Todas las diferencias identificadas deben ser investigadas y aclaradas en 5 días hábiles después del cierre de fin de mes. Cualquier diferencia que persista por más de 30 días debe ser escalada al CFO. La conciliación debe ser preparada por alguien independiente de la creación de dinero electrónico, del proceso de asignación y borrado y estar sujeto a revisión.

MFS.SCE.CO.16 Integridad de los datos de pagos y recaudos masivos Para los diversos productos de pago tales como pagos de salarios, pagos de comisiones, recaudo de facturas Tigo pospago:

• El almacenador de datos (tal como número móvil del cliente, nombres, cantidad a pagar) está en-criptada para asegurar confidencialidad e integridad cuando los datos son transferidos del cliente a Tigo. Los datos encriptados deben ser restringidos para el personal aprobado como se define en la matriz de autorizados local SFM.

• Cuando SFM proporciona una herramienta de pagos varios para clientes que hacer transacciones ellos mismos, el acceso a las cuentas de clientes está garantizada que se concede por consentimien-to escrito del cliente o agregada en el contrato. El acceso de usuarios debe ser restringido y debe estar sujeto a revisiones periódicas.

Este control debe cubrir también los pagos de productos de las compañías Tigo (Tigo Mobile, B2B, Cable, Home etc.).

85

MFS.SCE.CO.17 Asignación y conciliación de los pagos y recaudos masivos de dinero electrónicoPara pagos de productos varios (incluyendo servicios de las unidades de negocio Tigo) tales como electrici-dad, agua, cable, pagos de salarios, pagos de comisiones, recaudos pospago Tigo y otros:

Cuando Tigo realiza el pago de dinero electrónico a nombre del cliente:

• La asignación del dinero electrónico debe ser soportada por un lista de pago (nombres, MSISDN, etc.) y aprobada por el cliente que ordena debe hacerse antes y después de los pagos varios por alguien independiente al proceso.

• Fondos sin pago debido a transacciones fallidas debe devolverse al cliente mensualmente (o de acuerdo al contrato) y debe estar aprobado por el CFO de acuerdo con la matriz de autorizados.

Cuando Tigo provee acceso a los clientes para hacer transacciones ellos mismos:

• El control de acceso de usuarios debe estar implementado y revisarse periódicamente (las mejores prácticas recomiendan que sea trimestralmente).

• Se define un proceso y se contrata con el cliente para confirmar que todos los movimientos de dinero electrónico mensual de las billeteras de socios están autorizados.

MFS.SCE.CO.20 Monitoreo de canales de transacciones en la plataforma integrada SFMPara los canales transaccionales que están integrados con la plataforma SFM como ATMs, Tigo Matic, integra-ción billetera a banco y banco a billetera, aplicaciones SFM y otras aplicaciones, integración de transferencias internacionales de dinero (Tigo a Tigo, Western Unión, Skrill, World Remit, etc.).

Las alarmas están definidas para detectar automáticamente transacciones que han fallado o se han devuelto. Estas transacciones deben ser investigadas y aclaradas en 5 días hábiles después del cierre de fin de mes y es-calada al CFO si persiste por más de 30 días.

Realizar conciliación diaria entre la plataforma SFM y reportes de sistemas de terceros tales como reportes proporcionados por ATM y otros canales similares a través de los cuales las transacciones SFM son habilitadas. Esto es para asegurar que todas las transacciones en la plataforma SFM reflejan transacciones de plataformas de terceros. Cualquier diferencia es investigada y aclarada dentro de 5 días hábiles. Si la diferencia existe por más de 30 días, debe escalarse al CFO (Responsable Financiero).

MFS.SCE.CO.21 Contrato con socios de producto SFMPara los productos y servicios SFM proporcionados a los socios de productos (incluyendo unidades de ne-gocio Tigo) tales como pagos varios de productos (por ejemplo electricidad, agua, cable, pagos de salarios, recaudos Tigo pospago y otros pagos asociados). Un contrato es acordado y firmado entre SFM y socios de producto el cual claramente define roles y responsabilidades. Tal contrato debe incluir como mínimo:

86

• Clausula que indica que los pagos pueden ser hechos solo para recipientes cuyos números móviles han sido suministrados.

• Estructura de comisiones y cuotas.

• Frecuencia definida para que el dinero sea reembolsado/retirado de la billetera del cliente (se re-comienda una vez por semana).

• El proceso de conciliación y liquidación a seguir con el socio de producto. Este debe incluir la re-ferencia de quien es responsable por la conciliación (normalmente esperamos que los socios de producto asuman esta responsabilidad), frecuencia de conciliación, como manejar los elementos desconciliados, y el límite de tiempo para que los socios de productos hagan reclamaciones.

• Propiedad de la información, confidencialidad de datos y protección de datos.

• Principios para comunicaciones con los clientes.

• Publicidad y marcación de productos.

Tales contratos deben ser revisados y aprobados de acuerdo con la delegación local de la matriz de autoridad SFM y el contrato es firmado después de realizar los procedimientos de Conozca a su Cliente.

Las revisiones deben realizarse anualmente para asegurar que los parámetros del sistema SFM estén alineados con el contrato.

Este control también aplica para los pagos/cobros de los diversos productos de las compañías Tigo (Tigo Mobile, B2B, Cable, Home etc.). Por favor referirse al proceso SFM de tesorería para más adelante controlar las relaciones bancarias.

MFS.SCE.CO.22 Conciliación de productos SFM, facturación y liquidaciónExiste un proceso de liquidación y está documentado para todos los productos y servicios SFM con todos los socios de productos (incluyendo las unidades de negocio Tigo) y agentes que aseguran:

• Conciliación mensual hecha entre todas las actividades/transacciones en las billeteras con los del socio (a menos que la conciliación este definida contractualmente para ser realizada por el socio de producto - ver control MFS.SCE.CO.21, Contrato con socios de producto SFM).

• Las facturas son enviadas y recibidas al menos mensualmente de conformidad con los acuerdos de transacción con los socios de productos o de acuerdo con las leyes fiscales. El proceso de genera-ción de facturas está automatizado para asegurar la liberación oportuna y precisa de la factura. Si no es posible emitir facturas de forma automática, se levantan las facturas manuales.

• Después de la conciliación de liquidación de los pagos/cobros deben ser revisados y aprobados de acuerdo con la delegación SFM local de la matriz de autoridad.

• La aprobación para liquidación o transferencia de fondos de la cuenta de fideicomiso debe darla el CFO o de acuerdo con la delegación SFM local de la matriz de autoridad.

87

Todos los productos de la billetera deben ser clareados mensualmente (borrado de dinero electrónico de las billeteras de producto/socios) o de acuerdo con el contrato o cuando se alcanza un umbral predefinido. La segregación de funciones de personas y sistemas es implementado de acuerdo a la delegación SFM de la ma-triz de autoridad.

MFS.SCE.CO.23 Alarmas del sistema SFM Implementar todas las alarmas SFM clave definidas por el Grupo de Aseguramiento de Ingresos (detalles en el apéndice del MCI):

• Cada alarma debe signarse a un responsable, quien es el encargado de investigar y cerrar el inci-dente.

• Cualquier investigación de alarma que no sea cerrada en 30 días debe reportarse vía e-mail al equi-po de aseguramiento del ingreso corporativo.

• El grupo de aseguramiento del ingreso local es el responsable de asegurar que las alarmas estén implementadas y tenga definido un responsable.

14. Seguridad Corporativa Los principales objetivos de los controles internos para Seguridad Corporativa son:

a. Asegurar la seguridad física, de activos y la seguridad de las personas

b. Que existe un proceso para gestionar la continuidad del negocio y de atención de crisis a los ries-gos de acuerdo con las Políticas de Millicom

14.1 Salud y Seguridad en el trabajo

CSS.HSS.CO.1 anteriormente HSE.HSS.CO.2 Existe Control de los contratados/servicios gestionadosExisten Controles disponibles para demostrar la debida y efectiva diligencia a la hora de seleccionar los servi-cios contratados o gestionados. Se implementan Controles de gestión eficaces de acuerdo con los requisitos del Manual de HSE y HSE 002 (Seguridad, Salud y Medio Ambiente) de control WI008 (Control de Contratis-tas). Las operaciones deberán proporcionar al área de seguridad, informes trimestrales sobre la selección y observaciones de los 20 principales riesgos, identificados en los proveedores de servicios

88

CSS.HSS.CO.2 anteriormente HSE.HSS.CO.3 Las evaluaciones de salud y de evaluación de riesgos de seguridad Existen evaluaciones de salud y de los riesgos de seguridad, incluida la gestión de los servicios contratados, que se han implementado y están disponibles. Las evaluaciones de riesgo, incluyen medidas de control que se implementan, se comunican y se revisan anualmente.

Las actividades que se consideran para la evaluación del riesgo en salud y en seguridad incluyen: seguridad de personas, seguridad en viajes, seguridad para conductores, trabajo en alturas, trabajo eléctrico, trabajo en zonas violentas y/o áreas peligrosas, incendios, etc. Existen actividades de respuesta ante una emergencia. En el caso de evacuación de edificios, este deberá ser probado como mínimo 2 veces al año.

CSS.HSS.CO.3 anteriormente HSE.HSS.CO.4 La notificación de accidentes e incidentes Todos los accidentes e incidentes, como se definen en el Manual de instrucciones de HSE 002 y de Trabajo, se informa a Seguridad Corporativa y a gestión de la Seguridad de Campo. Son grabados en el Sistema de Ges-tión de Incidentes Enablon (IMS). Los informes que muestran los costos asociados de forma significativa, son plenamente investigados y relacionados en el negocio como pérdidas.

La Seguridad de cada País debe proporcionar actualizaciones de calificaciones cada trimestre al administrador de Seguridad Corporativa.

CSS.HSS.CO.4 anteriormente HSE.HSS.CO.5 programa de salud y entrenamiento de seguridadExiste un programa de educación, formación y sensibilización que se lleva a cabo de acuerdo con los requisitos mínimos de HSE WI 004 matriz de entrenamiento. Todo el personal de los departamentos y personal operativo completa la formación. Existe evidencia de la formación realizada con número de horas. Se presentará en la eva-luación periódica (cada trimestre). Se realiza actualización del Entrenamiento de forma completa cada tres años.

14.2 Seguridad Física (nuevo)

CSS.PS.CO.1 nuevo Protección perimetral y de Seguridad Todas las instalaciones, con exclusión de los Centros de experiencia, tienen una suficiente protección de pe-rímetro para detener la intrusión física y visual. Esto incluye las cercas, puertas y cerraduras, iluminación de protección, circuito cerrado de televisión, casetas y control tanto de la entrada de peatones y vehículos.

CSS.PS.CO.2 nuevo El uso de sistemas de circuito cerrado de televisiónTodas las instalaciones cuentan con circuito cerrado de televisión para cubrir áreas operativas específicas y ase-gurar una cobertura visual necesaria. El exterior de los edificios y la línea cerco perimetral se ilumina lo suficiente como para asegurarse que el circuito cerrado de televisión puede capturar toda la actividad alrededor del sitio.

89

CSS.PS.CO.3 nuevo Sistemas de alarmaTodas las instalaciones tienen alarmas de detección de intrusos como parte del plan general de protección de la instalación. Este sistema debe estar integrado con control de acceso y el circuito cerrado de televisión. Este sistema es monitoreado forma local y de forma remota en un centro de monitoreo que asegura una respuesta inmediata ante cualquier activación.

CSS.PS.CO.4 nuevo Seguridad de Edificios y controles de acceso Todas las instalaciones (Almacenes, centros técnicos, tiendas) tienen reglas de seguridad y controles de acceso apropiados para todos los puntos de ingreso dentro de los edificios. Las áreas asignadas para el público en general, visitantes y algunos miembros del personal han sido diseñados y están adecuadamente controladas. El acceso a los activos de la empresa se limita adecuadamente para evitar el robo. Todas las instalaciones tienen un sistema de control de acceso con el fin de evitar la intrusión no autorizada.

CSS.PS.CO.5 nuevo Los guardias de seguridad: Dotación y TareasLos guardias de seguridad están provistos de suficientes uniformes, accesorios, equipos y apoyo técnico para desempeñar sus funciones. Los guardias tienen una formación completa y han sido debidamente autorizados antes de su despliegue en el contrato. Existen procedimientos e instrucciones adecuadas y formalizadas para la ejecución de las funciones generales y específicas.

CSS.PS.CO.6 nuevo Denuncia de las infracciones de seguridad física Todos los incidentes de seguridad, emergencias, problemas de mantenimiento, lesiones o algo fuera de lo co-mún son reportados al CCSM (Gerente de Seguridad Corporativa) en el momento oportuno, dentro de las 24 horas siguientes al incidente. Se mantiene un registro de todos los incidentes reportados.

14.3 Continuidad del Negocio y Gestión de Crisis

(CSS.BCM.CO.1 nuevo) Planes de acción para los procesos críticos y la Continuidad del Negocio - no de fábricaTodos los procesos críticos que no son de fábrica disponen de un plan formal de continuidad de negocio apro-bado por los dueños del proceso y por el Gerente de Continuidad del Negocio. Cada equipo de continuidad de negocio tiene entrenamiento formal en relación con el plan.

CSS.BCM.CO.2 nuevo Planes de acción para los procesos críticos y la Continuidad del Negocio - De fábricaTodos los procesos críticos de fabricación tienen en marcha un plan formal de continuidad de negocio apro-bado por el Jefe de Operaciones y Gerente de Continuidad de Negocio. Cada equipo de continuidad de nego-cio tiene entrenamiento formal en relación con el plan.

90

CSS.BCM.CO.3 nuevoAnálisis de Impacto para procesos Corporativos ( no de fábrica)Existe un análisis de Impacto para el Negocio (BIA) para los procesos que no son de fábrica; es actualizado por lo menos anualmente y existe una lista clara de los procesos críticos, con su respectivo objetivo de tiempo de recuperación (RTO).

CSS.BCM.CO.4 nuevo Evaluación de Servicios BIA ( IT & OT ) Existe un Análisis de Impacto para el Negocio (BIA) para operaciones de la fábrica; es actualizado por lo menos anualmente. Existe una lista clara de los procesos críticos, con su respectivo objetivo de tiempo de recuperación (RTO).

CSS.BCM.CO.5 nuevo Evaluación para los edificios críticos BIA Existe un análisis del impacto de negocios (BIA) para los edificios críticos. Cubre el 75% de todos los edificios que soportan el total del negocio en el país

CSS.BCM.CO.6 nuevo Plan de Gestión de Crisis Existe un plan formal de gestión de crisis, aprobado por el director general. Una clara estructura de respuesta a la crisis está en su lugar para hacer frente a los diferentes niveles de impacto de acuerdo con la matriz de categorización Crisis Group (consulte la Continuidad del Negocio Global Standard y gestión de crisis).

CSS.BCM.CO.7 nuevo Planes de Recuperación de Desastres (DRP) para servicios críticosExiste un plan de recuperación de desastres (DR) aprobado por el director general, específicamente para el NOC, Servicios críticos y edificios críticos. Cada equipo de recuperación de desastres ha sido entrenado for-malmente en el Plan de DR. IT DR está cubierta en un control separado en ITN.ROR.CO.4.

CSS.BCM.CO.8 nuevo Política de Continuidad del Negocio Existe una Política de Continuidad de Negocio (BC) aprobada formalmente por el Director General y las par-tes pertinentes se distribuyen a los empleados.

CSS.BCM.CO.9 nuevo Evaluación del riesgo al riesgo de Continuidad Existe un informe formal de riesgos que incluye la evaluación de las amenazas de continuidad de negocio y una matriz de riesgos de acuerdo con el Global Business Continuity y Manejo de Crisis (BCCM) Estandarizado y está preparado por lo menos anualmente y se mantiene documentado. El informe considera todos los acti-vos críticos, como se define en el Análisis de Impacto al Negocio (BIA).

91

CSS.BCM.CO.10 nuevo Se implementan controles a los riesgos de continuidad de negocioExisten controles para mitigar los riesgos, que son monitoreados en forma regular (al menos anualmente) para verificar que: · La continuidad del negocio está en su lugar y es eficaz · Que los supuestos de riesgo siguen siendo válidas · Los resultados de la evaluación de riesgos están en línea con las expectativas y · que el riesgo residual es aceptable a nivel.

CSS.BCM.CO.11 nuevo Está definida una estrategia para el tratamiento de riesgos Existe un tratamiento formal para todos los riesgos y se define un plan de acción que está en su lugar. El regis-tro de riesgos está documentado. Para los riesgos aceptados ( retener estrategia ) existe un plan de contingen-cia , con miras a la posible reducción del impacto

CSS.BCM.CO.12 nuevo La continuidad de Negocios es evaluada Existe una evaluación al plan de continuidad del negocio anual. Está definido y documentado. Comprende: · Al menos una prueba general · una prueba individual o colectiva para todos los procesos críticos · 5 Tecnología de la Información (IT) · 5 Tecnología Operacional (OT) las pruebas de recuperación de desastres (DR).

CSS.BCM.CO.13 nueva Resultados de la evaluación de la Continuidad del Negocio Los resultados de las evaluaciones de la continuidad del Negocio(BC ) se documentan formalmente en un informe , donde todas las acciones de mejora se identifican claramente , la titularidad de las acciones se ha establecido y hay un calendario claro para cada una de las acciones

15. Controles a Nivel de la EntidadLas actividades de control del nivel de la entidad se ocupan del ambiente de control cuyo objetivo es estable-cer y promover una actitud colectiva hacia el logro de un control interno efectivo. Factores del entorno de control incluyen la integridad, los valores éticos y la competencia de las personas; formas de asignar autoridad y responsabilidad; y el riesgo y la gestión del fraude.

15.1 Integridad y valores éticos

ELC.ETH.CO.1 Código de Conducta MillicomExiste un código de conducta y una política de las buenas prácticas en el negocio, lineamientos para el conflicto de intereses, y los estándares esperados de comportamiento ético y moral. Estos documentos se mantienen actualizados, debidamente comunicados y disponibles para todo el personal. El Código de con-ducta es socializado a todos los empleados como parte de su inducción al unirse al grupo Millicom. Se revisa periódicamente y todos los empleados deben completar una formación anual sobre el Código de conducta.

92

ELC.ETH.CO.2 Lineamientos de la Alta Dirección El Presidente y el Vicepresidente financiero han establecido una voz ética, dando una orientación explícita sobre lo que es correcto e incorrecto. Este tono se comunica a través de la comunicación oral y escrita (por ejemplo, anuncios por correo electrónico, mensajes en las carteleras, en el Comité Ejecutivo, en las reuniones de personal, fortaleciendo el apoyo a la formación en el comportamiento de la integridad, carteles en las salas comunes y con anuncios en línea sobre el código de Ética), es practicado por los ejecutivos y de gestión en toda la organización.

Toda los directivos y de gestión demuestran continuamente, a través de palabras y acciones, un compromiso con altos estándares éticos. Ellos personalmente cumplen con el Código de Conducta del grupo Millicom y otros requisitos éticos como la verificación de antecedentes y declaración de conflicto de intereses.

ELC.ETH.CO.3 Notificación de irregularidades Se establecen canales de comunicación, por ejemplo, la línea ética de Millicom o un número de denunciantes, los gerentes de línea de confianza, los canales de comunicación a través de recursos humanos, donde la gente informe (de forma anónima cuando sea apropiado) las sospechas de las irregularidades, las desviaciones a las políticas y procedimientos aprobados o las violaciones del código de conducta. La dirección promueve estos canales y anima a los empleados a utilizarlos cuando sea necesario.

ELC.ETH.CO.4 Canales para informar de un comportamiento poco ético para externosLa línea de Ética y todos los canales para informar de un comportamiento poco ético o de desviación de polí-ticas y buenas prácticas, son accesibles a terceros, proveedores y consultores.

ELC.ETH.CO.5 Las investigaciones sobre situaciones reportados Las situaciones reportadas (sospechas y / o confirmados) vinculados a la mala conducta incluyendo el fraude se investigan de manera oportuna y se toman las medidas disciplinarias cuando sea necesario.

ELC.ETH.CO.6 Los premios de compensación en línea con los valores éticos Las bonificaciones individuales están en línea con los valores éticos de la empresa, y fomentan un tono ético apropiado. Es decir, el cálculo de las primas y otros premios de compensación para todos los empleados, incluyendo la alta dirección, deben tener en cuenta los valores éticos descritos en el Código de Conducta de Millicom. EL tratamiento a las personas, en cualquiera de los casos, debe darse de manera respetuosa e iguali-taria, en el cumplimiento de la ley, actuando a manera de caja fuerte. Deben existir informes en caso de distor-sión de la información financiera (libros y registros) y otros esquemas de sospecha de fraude que hayan sido probados y que revelen conflictos de intereses. Se denuncia y se rechazan los intentos de las partes internas y externas que actúen para ofrecer y/o recibir sobornos. Las situaciones en las que se intenta ejercer presión, no existen o son controlados adecuadamente.

93

15.2 Compromiso con la Competencia

ELC.CTC.CO.2 La gestión por competencias El personal cuenta con la competencia y la formación necesaria para sus funciones asignadas. El área de Forma-ción y Entrenamiento apoya cuando sea necesario para mantener el nivel de competencias de los empleados

ELC.CTC.CO.3 Planificación de la planta de Empleados La planificación del personal se lleva a cabo durante el ejercicio de planeación del presupuesto anual, allí se iden-tifican las necesidades laborales futuras con respecto a la evolución del negocio y los cambios organizacionales.

15.3 Estructura organizacional

ELC.ORG.CO.1 Flujo efectivo de la informaciónExiste una estructura organizacional eficaz con organigramas claros, lo que facilita la gestión de la empresa y acla-ra las relaciones, roles, responsabilidades, niveles de autoridad y supervisión, o las líneas de responsabilidad. Se identifican en la organización canales de comunicación claros, con informes periódicos y reuniones particulares de este asunto, que permiten dar a conocer a los empleados esta información de manera oportuna y efectiva.

ELC.ORG.CO.3 Delegación de autoridad Existe una matriz de autorización formal, en la que se definen los límites de autoridad, incluidas: autorizacio-nes estratégicas, estructurales, financieras, de relaciones laborales y de sistemas de información. Allí se delimi-ta cuando la información deba comunicarse o ser aprobada por el siguiente nivel. El propósito general detrás de la creación de la Matriz de autorizaciones es reconocer y limitar los riesgos potenciales, los riesgos de las disposiciones contractuales y las diversas transacciones financieras y propuestas a través de la entidad Milli-com. Los roles, las responsabilidades y la delegación de autoridad en la matriz de autorizaciones se encuentra debidamente formalizadas y actualizadas de forma oportuna.

ELC.ORG.CO.4 Los planes de negocios y presupuestosLa dirección establece los planes de negocio y los presupuestos con objetivos realistas. Se establece un proceso para revisar y actualizar periódicamente los planes estratégicos y los objetivos globales de la entidad.

94

15.4 gestión de riesgos

ELC.RMT.CO.1 Identificación y mitigación de riesgos La Alta Dirección tiene mecanismos para identificar y analizar los riesgos relacionados con los objetivos esta-blecidos, los riesgos de negocio, riesgos de cumplimiento, los riesgos de información financiera, los riesgos de reputación y los riesgos de fraude. Los riesgos identificados se documentan en un registro de riesgos, se evalúan y se desarrolla un plan de gestión de riesgos que detalla los controles de seguridad aplicable y eficaz para la gestión del riesgo. Cada control de seguridad se etiqueta a una persona (s) responsable de las acciones de control.

ELC.RMT.CO.2 La criticidad de los riesgos Los riesgos son revisados por lo menos anualmente con las diversas áreas responsables para asegurar la exac-titud e integridad de los planes de mejora y la gestión del riesgo.

15.5 Comunicación, la disponibilidad de información

ELC.COM.CO.1 Comunicación Externa de las normas éticas de la entidad Se publican externamente las normas Éticas de la entidad. Como mínimo, el Código de Conducta Millicom y el Código de conducta para proveedores, que estará disponible en el idioma local, publicado en el sitio web de la organización

ELC.COM.CO.3Clasificación de la información externa relevante y el impacto en la entidadLa administración monitorea la dinámica del sector y la información externa relevante, considerando el im-pacto en la entidad. Esto incluye, pero no se limita a: el seguimiento de los cambios en las leyes y regulaciones que afectan significativamente el negocio, y pone en práctica los cambios necesarios en las políticas de la empresa o las prácticas de negocio de una manera oportuna.

15.6 Fraude

ELC.FRA.CO.1 Política de fraudeExiste una Política de Fraude que ha sido comunicada por el Presidente y el CFO y puesta a disposición de todos los empleados. Se definen los responsables de las iniciativas de prevención ante el riesgo de fraude (Ej.: Evaluación de riesgos, formación contra el fraude, etc). Responsables de Reporte de fraude y Responsables del trabajo de investigación. Cada empresa del grupo realiza un monitoreo para evaluar su alineación con la Política de Fraude en términos de prevención, denuncia e investigación.

95

ELC.FRA.CO.2 La investigación de los casos de fraudeTodos los casos de fraude interno deben ser investigados. Cada operación tiene una persona especialmente designada responsable de las investigaciones que lidera la implementación de la Norma del Grupo para Investigaciones.

ELC.FRA.CO.3 Evaluación de los riesgos de fraude y la respuesta Cada operación realiza una evaluación de los riesgos de fraude de acuerdo con la Política de Fraude del grupo como mínimo una vez al año. Esta evaluación está documentada (Documento de referencia y herramientas de Gestión del Riesgo de Fraude establecido por los controles grupo empresarial).Para cada riesgo residual de fraude identificado, se ha diseñado, implementado y supervisado una respuesta a los riesgos de fraude. Específicamente, en la respuesta a los riesgos de fraude pueden estar una, o la combinación de los siguientes:

1. Aplicación de controles adicionales,

2. Diseño de técnicas de auditoría proactivas, y/o

3. Reducir el riesgo excluyendo la actividad.

ELC.FRA.CO.5 nuevoLa presentación de informes Todos los incidentes de fraude interno u otro delito de más de $ 10.000 deben ser reportados inmediatamente al Director de Investigaciones Global y el director global de los controles comerciales. Todos los incidentes de fraude externo, el robo o el crimen por encima de $ 50.000 u otros incidentes significativos deben ser repor-tados inmediatamente al Investigaciones Director Global, al director internacional de controles de negocio y al Director Global de Aseguramiento de Ingresos (si el fraude impactó el ciclo de ingresos). Se utilizan las plantillas de informes proporcionados en el kit de herramientas de Gestión de Riesgos de Fraude, establecidas por los controles grupo empresarial.

15.7 Medio ambiente y gestión de residuos

ELC.ENV.CO.1Plan de acción para desechos electrónicos Un plan de gestión de aparatos eléctricos y electrónicos (e-waste) está en su lugar y alineado con el plan de grupo emitido por el Administrador Global HSE. El plan describe los procedimientos para la recogida de equi-pos de redes obsoletas, de desechos electrónicos de los sitios, la separación de los desechos electrónicos de la chatarra, y contempla llevar a cabo un proceso de venta de los desechos electrónicos en forma conjunta con el equipo de logística inversa. La operación sólo vende los desechos electrónicos a proveedores autorizados y responsable de residuos, registra el peso y el valor monetario de las ventas.

96

ELC.ENV.CO.2 anteriormente HSE.ENV.CO.2Reducción del consumo de energíaUn plan para reducir el uso de energía está definido, con recuperación de la energía que consumen las áreas de negocio y/o sitios identificados, se consideran fuentes de energía alternativa, las iniciativas de reducción tiene objetivos claros.

ELC.ENV.CO.3 anteriormente HSE.ENV.CO.3 Evaluación del riesgo de contaminación Se realiza una completa evaluación del riesgo medioambiental. Es examinado y revisado en forma anual para todas las actividades del negocio, incluyendo la respuesta de emergencia y de continuidad de negocio (BCM). Se establecen medidas de control de la contaminación sobre la base de la evaluación del riesgo para las activi-dades del negocio que son relevantes. Como mínimo, la operación tiene un plan de respuesta de emergencia en el lugar para derrames de aceite, combustible, suelo y la contaminación del agua.

ELC.ENV.CO.4 anteriormente HSE.ENV.CO.4 La notificación de accidentes e incidentes relacionados con el Medio Ambiente.Son notificados todos los accidentes e incidentes relacionados con el medio ambiente, tal como se define en el Manual de HSE 002. Se informa a Salud y Seguridad en el trabajo y queda asentado en el Sistema de Gestión de Incidencias Enablon (IMS) con informes significativos que se investigan exhaustivamente y se asocian los costos identificados en el negocio, como pérdidas.

ELC.ENV.CO.5 anteriormente HSE.ENV.CO.5 Formación concerniente al medio ambienteSe lleva a cabo una educación, formación y sensibilización de acuerdo con los requisitos mínimos de HSE WI 004 matriz de entrenamiento. Los registros de capacitación deben ser conservados y compartidos con recursos humanos (Área de formación y Dirección de Talento) con regularidad. Los registros, como mínimo, deben incluir los títulos de la formación llevada a cabo, los nombres de las personas que asistan y las horas de entrenamiento cada uno reciben.

(ELC.ENV.CO.6 nuevo) Gestión de otros residuos Existe un proceso para gestionar los residuos en lo que respecta a reducir, reutilizar, reciclar y eliminar. Esto incluye papel, cartón, madera, plásticos, metales, aceites y minerales, sustancias y materiales peligrosos.

Se registra la Cantidad de residuos reciclados.

Manual de Control Internotigo-une.com/.../2017/02/ManualControlInterno_Español.pdf1 Introducción...

Documents

Transcript of Manual de Control Internotigo-une.com/.../2017/02/ManualControlInterno_Español.pdf1 Introducción...