POLITICA DE SISTEMA DE CONTROL INTERNO

Transcripción

1 POLITICA DE SISTEMA DE CONTROL INTERNO

2 POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro de sus objetivos estratégicos, operacionales, en el reporte de la información y en el cumplimiento normativo, mediante la gestión oportuna de sus riesgos y la efectividad de sus controles. SURA Asset Management está comprometida con establecer y mantener un sistema de control interno, basado en una cultura de autocontrol, autogestión y autorregulación, alineado a la estrategia y a los procesos, y en el cual todos los colaboradores son responsables de asegurar la gestión de los riesgos, la efectividad de los controles a su cargo, el reporte de los incidentes y las deficiencias encontradas, así como de velar por el mejoramiento continuo de sus procesos. SURA Asset Management ha establecido una estructura organizacional que soporta el sistema de control interno y ha asignado responsabilidades específicas para su definición, implementación, monitoreo y mejora, siendo los máximos responsables la Junta Directiva, el Comité de Auditoría y el Presidente de la sociedad. SURA Asset Management y sus filiales y subsidiarias deberán contar con un Sistema de Control Interno (SCI) integrado por principios, políticas, normas y procedimientos encaminados a proporcionar transparencia y seguridad a los diferentes Grupos de Interés de cada compañía. La adopción del Sistema de Control Interno, conlleva la necesidad de que todas las personas e instancias de la organización, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestión, considerándolo como un conjunto de actividades integradas a los procesos operativos de las empresas. La presente Política de Sistema de Control Interno ha tomado en consideración los lineamientos definidos por Grupo SURA, matriz de Sura Asset Management, en el documento establecido para el efecto respecto a las compañías que conforman el grupo empresarial SURA. Se entiende por Sistema de Control Interno el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la Junta Directiva, la Alta Dirección y demás áreas involucradas en la organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos: 1. Mejorar la efectividad y eficiencia de las operaciones. Para el efecto, se entiende por efectividad la capacidad de alcanzar las metas y/o resultados propuestos; y por

3 eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. 2. Prevenir y mitigar la ocurrencia de fraudes, tanto internos como externos. 3. Realizar una gestión adecuada de los riesgos. 4. Aumentar la confiabilidad y oportunidad en la información generada por la organización. 5. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la organización. Alcance y marco de aplicación La presente Política aplica a todas las personas que hacen parte de SURA Asset Management, sus filiales y subsidiarias. Los miembros de Junta Directiva, Comités, Colaboradores y Proveedores, entre otros, son responsables por el adecuado funcionamiento del Sistema de Control Interno. Particularmente, deberán ser considerados los siguientes Roles Claves: - Junta Directiva: Es la responsable de la asignación de la autoridad para vigilancia del funcionamiento del Sistema de Control Interno y de marcar el tono de la organización frente al Sistema de Control Interno. - Comité de Auditoria: Tiene a su cargo la vigilancia de la efectividad de la gestión del Sistema de Control Interno para la toma de decisiones en relación con el control y el mejoramiento de la actividad de la sociedad y sus administradores. - CEO, Vicepresidentes y Gerentes: Deben responder por la adecuada implementación y monitoreo del cumplimiento de los Controles definidos. - Colaboradores: Deben cumplir con la ejecución de los Procesos y controles. - Auditores Internos: Se encargan de la evaluación independiente de la efectividad del Sistema de Control Interno. El marco conceptual del control interno para las empresas de SURA Asset Management, adopta los componentes del modelo del Committee Of Sponsoring Organizations of the Treadway Commission (COSO) e ISO Para procesos de tecnología el modelo de control interno adoptado es COBIT.

4 Lineamientos La adopción y cumplimiento del Sistema de Control Interno por parte de las empresas de SURA Asset Management, deberá desarrollarse siguiendo los principios de autocontrol, autorregulación y autogestión, en los términos que se definen a continuación: Autocontrol: Entendido como la capacidad de todos los colaboradores para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades. Así mismo, se refiere al deber de los colaboradores de procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los límites por ella establecidos. Autorregulación: Entendido como la capacidad de la empresa para aplicar métodos, normas políticas y procedimientos que permitan el desarrollo, implementación y mejoramiento del Sistema de Control Interno, dentro del marco de las disposiciones legales que le son aplicables. Autogestión: Es la capacidad de la empresa para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento. Componentes Del Sistema De Control Interno SURA Asset Management, sus filiales y subsidiarias deberán contar con un SCI que tenga como mínimo los siguientes elementos, los cuales se aplicarán de acuerdo con las características propias de cada empresa: Ambiente de Control: Demostrando un compromiso con la integridad y los valores éticos, establece el tono de una organización, establece las normas de conducta y evalúa la adherencia a ellas y trata sus desviaciones, influenciando la conciencia de control de su personal. Incluye factores como: compromiso con la competencia; filosofía gerencial y estilo operativo; métodos gerenciales para asignar autoridad, responsabilidad, organizar y desarrollar a su personal; atención y dirección proporcionada por la Junta Directiva y Comité de Auditoria. A continuación se incluye el esquema de Administración correspondiente a SURA Asset Management S.A. Las compañías filiales y subsidiarias de esta, deberán establecer su propio esquema de Administración, atendiendo sus particularidades y regulaciones vigentes, pero siempre teniendo en consideración lo mencionado en la presente Política.

5 Auditores Externos Junta de Accionistas Evaluación del SCI Junta Directiva Comité de Compensaciones Comité de Riesgo Comité de Gobierno Comité de Auditoria CEO VP de Auditoria Interna VP de Riesgo VP de Inversiones VP de Finanzas Gerencia de Comunicacione s VP de Negocios VP de IT y Operaciones VP de Legal y Cumplimiento VP Talento Humano Gestión de Riesgos: Es la identificación, análisis y administración de los riesgos relevantes que corre la empresa para el logro de sus objetivos. Modelo de Gestión de Riesgo: El marco de Gestión de Riesgos de SURA Asset Management se basa en un modelo de tres líneas de defensa, el cual proporciona una distribución clara de las responsabilidades en cuanto a la gestión de riesgos, a efectos de evitar vacíos en la gobernabilidad; a continuación se muestra el Sistema de Control Interno establecido para SURA Asset Management:

6 Funciones y Responsabilidades de las Tres Líneas de Defensa La primera línea de defensa del negocio será responsable de las siguientes actividades: - Identificar los riesgos en las operaciones diarias de las Unidades de Negocio; - Implementar las medidas necesarias para evitar, mitigar y auto-controlar los riesgos; - Asumir las consecuencias de las pérdidas económicas o daños a la reputación que se pudieran generar. La segunda línea de defensa del negocio será responsable de las actividades listadas a continuación: - Brindar herramientas de apoyo (metodologías) a los dueños de los procesos y/o activos tecnológicos, a efectos facilitar la identificación y evaluación de sus riesgos; - Asesorar a la primera línea de defensa en la gestión de sus riesgos operacionales y tecnológicos; - Monitorear el cumplimiento de las políticas de gestión de riesgo operacional y tecnológico emitidas por SURA Asset Management; - Reportar a la Administración y partes interesadas, el perfil de riesgo de cada unidad de negocio de SURA Asset Management; - Informar a la Administración sobre aquellos riesgos de nivel Crítico / Alto, identificados en los procesos y/o activos tecnológicos relacionados; - Apoyar en la interpretación de las políticas de riesgo operacional y tecnológico, emitidas por SURA Asset Management; así como establecer los lineamientos no cubiertos por las políticas (casos particulares). La tercera línea de defensa del negocio será responsable de las siguientes actividades:

7 - Proporcionar una evaluación independiente y objetiva sobre el diseño y la efectividad de los controles implementados para la mitigación de los riesgos identificados; - Emitir observaciones y recomendaciones asociadas al Sistema de Control Interno (SCI), a efectos de reducir y mitigar riesgos identificados. Marco de Trabajo para la Gestión del Riesgo El marco de trabajo y los lineamientos generales, aplicables para la gestión de los riesgos asociados a SURA Asset Management y sus filiales. Actividades de Control: Son las políticas y procedimientos que ayudan a asegurar que las directrices de la dirección sean cumplidas. Contribuyen a asegurar que se tomen acciones para minimizar los riesgos y así lograr los objetivos de la entidad en todos los niveles y en todas las funciones. Incluyen controles generales y de aplicación de tecnología. Información y Comunicación: Es lo que soporta la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades. La comunicación debe de fluir hacia abajo, hacia arriba y a través de la organización. Monitoreo: Es el proceso para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza a través de actividades de monitoreo continuo, es decir, actividades de dirección y supervisión. También a través de evaluaciones separadas para monitoreo de riesgos y eficacia de los procedimientos.

8 Áreas de apoyo al Sistema de Control Interno CEO: Responsable ante la Junta Directiva ante el funcionamiento y cumplimiento del Sistema de Control Interno. Vicepresidencia de Finanzas: Es el área que lidera el tema de SOX y responsable del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera y contable. Vicepresidencia de Talento Humano: Área responsable de la Gestión del Talento Humano, a través de las siguientes actividades de Control: - Gestionar el Ingreso - Administrar la inducción y el entrenamiento de los colaboradores - Administrar la Gestión del desempeño - Administrar el Sistema de compensaciones Vicepresidencia de Riesgos: Responsable de la Gestión integral de los riesgos Vicepresidencia de Legal y Cumplimiento: Responsable del cumplimiento de las leyes y regulaciones - Código de Buen Gobierno - Código de Conducta y ética - Política de Lavado de Activos Vicepresidencia de Tecnología y Operaciones: - Gestión de procesos - Seguridad de la información Auditoria Interna: Área responsable de realizar una evaluación objetiva e independiente de la efectividad del Sistema de Control Interno. Auditoria Externa: Es responsable de realizar un examen crítico, sistemático y detallado del Sistema de Control Interno, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente, sobre la razonabilidad de los Estados Financieros y sobre la forma en que opera el Sistema de Control Interno y formular sugerencias para su mejoramiento. Gobernabilidad: La presente Política, así como sus modificaciones y actualizaciones, será aprobada por el Comité de Auditoría y la Junta Directiva de la Sociedad, previa solicitud de la Unidad de Auditoría Corporativa y/o de la Vicepresidencia de Riesgos. Divulgación: Las áreas de Riesgos, Legal y Cumplimiento y Auditoría Corporativa velarán por la adecuada divulgación de la presente Política.