Informe del estado del Sistema de Control Interno del segundo semestre de 2023
El Departamento de Control Interno presenta el Informe del estado del Sistema de Control Interno del Banco de la República correspondiente al periodo comprendido entre el 1 de julio y el 31 de diciembre de 2023, atendiendo lo dispuesto en el artículo 156 del Decreto 2106 de 2019 del Departamento Administrativo de la Función Pública, así como las instrucciones y lineamientos impartidos por esa entidad.
Estado del sistema de Control Interno de la entidad: 100%
Conclusión general sobre la evaluación del sistema de control interno
- ¿Están todos los componentes operando juntos y de manera integrada? (Si / en proceso / No) (Justifique su respuesta):
Sí. De acuerdo con la evaluación independiente realizada sobre el diseño y operación de los controles relevantes relacionados con los principios o lineamientos establecidos para cada uno de los cinco componentes del Modelo Estándar de Control Interno "Ambiente de Control", "Evaluación de riesgos", "Actividades de control", "Información y Comunicación", y " Actividades de Monitoreo", de acuerdo con el formato e instrucciones dispuestos por el Departamento Administrativo de la Función Pública para la evaluación del sistema de control interno, en atención a lo dispuesto en su Circular Externa 100-006 del 2019 y el Artículo 156 del Decreto Ley 2106 de 2019, se evidenció que los mencionados componentes del modelo existen, se encuentran operando juntos y de manera integrada.
Así mismo, se observó que estos componentes operan transversalmente en el Banco de la República, y que en conjunto con el modelo de tres líneas implementado por el Banco permiten el control a los riesgos a los que este se encuentra expuesto para el logro de sus objetivos.
- ¿Es efectivo el sistema de control interno para los objetivos evaluados? (Si / en proceso / No) (Justifique su respuesta):
Sí. El sistema de control interno del Banco de la República es efectivo, en razón a que cada uno de los componentes del Modelo Estándar de Control Interno y principios o lineamientos relacionados a cada componente se encuentran presentes y en funcionamiento. Lo anterior, de acuerdo con la evaluación independiente realizada atendiendo el formato e instrucciones dispuestos por el Departamento Administrativo de la Función Pública para la evaluación del sistema de control interno, y a lo dispuesto en su Circular Externa 100-006 del 2019 así como el Artículo 156 del Decreto 2106 de 2019. No se identificaron fallas de control que pudieran tener algún impacto en el sistema de control interno del Banco.
- La entidad cuenta dentro de su Sistema de Control Interno, con una institucionalidad (líneas de defensa) que le permita la toma de decisiones frente al control (Si / en proceso / No) (Justifique su respuesta):
Sí. El marco de gobierno, la arquitectura de control y administración de riesgos del Banco de la República se soportan en el Modelo de Tres Líneas, en el cual tiene participación i) una línea estratégica conformada por la Junta Directiva, el Consejo de Administración, el Comité de Auditoría, el Comité de Riesgos, el Comité Institucional de Coordinación de Control Interno y la Alta Gerencia, ii) la primera línea conformada por todas las unidades de negocio y líderes de proceso; su rol principal es la toma de riesgos y el autocontrol, siendo los responsables principales de la mitigación de los riesgos y de la efectividad de los controles operativos; iii) la segunda línea conformada por la Subgerencia de Riesgos y el Departamento Jurídico, siendo su rol principal la administración y mejoramiento del sistema integral de riesgos del Banco, y monitorear la gestión de riesgos de manera independiente a la primera línea y, iv) la tercera línea conformada por el Departamento de Control Interno; su rol principal es planear, dirigir y organizar la verificación y evaluación independiente del sistema de control interno del Banco.
Adicionalmente, el Banco cuenta con una "cuarta línea" conformada por la Auditoria General que ejerce su función de manera independiente, una auditoría externa financiera, y los diferentes organismos de control, supervisión y vigilancia.
Las diferentes líneas funcionan de manera coordinada con líneas de comunicación y reporte claros para la toma de decisiones frente a los riesgos y el control, y cada una contribuye desde su rol en el mantenimiento y fortalecimiento del sistema de control interno del Banco.
1. COMPONENTE: AMBIENTE DE CONTROL
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El Banco de la República mantiene su compromiso con la integridad y promueve el comportamiento ético de sus colaboradores a través de la divulgación y seguimiento periódico al cumplimiento del Código de Conducta; se han diseñado, implementado y divulgado procedimientos para la administración de posibles conflictos de interés. El Banco cuenta con procedimientos para que sus proveedores declaren la inexistencia de inhabilidades e incompatibilidades en los procesos de contratación. Así mismo, se ha diseñado e implementado la estrategia antifraude que incorpora una declaración sobre "cero tolerancia" ante actos ilícitos. El Banco formuló en concordancia con dicha estrategia, el Plan Anticorrupción y de Atención al Ciudadano (PAAC) y como se menciona en el componente de evaluación de riesgos, este contiene las actividades de monitoreo y revisión de la gestión de riesgos de corrupción, que para 2023 tuvo como objetivo potenciar la cultura de prevención, detección y respuesta ante actos ilícitos, promover acciones para la lucha contra la corrupción y mejorar la interacción entre el Banco y la ciudadanía, a través del mejoramiento de los mecanismos de atención, transparencia, y rendición de informes.
- Adicionalmente, el Banco diseñó e implementó el Sistema Informático de Atención al Ciudadano (SIAC), como herramienta tecnológica, para la gestión de peticiones, quejas, reclamos, sugerencias, denuncias y PQR. También ha implementado políticas, lineamientos y controles para la mitigación de los riesgos de ciberseguridad y la protección de los activos de información incluyendo información privilegiada, que incluyen el uso de herramientas tecnológicas y esquemas de monitoreo permanente. El Banco culminó la implementación del "nuevo sistema de atención al ciudadano", como se detalla en el componente "información y comunicación".
- El Banco mantiene su compromiso con la competencia del personal y ha diseñado e implementado políticas y procedimientos para la selección de personal, la evaluación de su desempeño, y los procesos de desvinculación. Así mismo, establece planes de capacitación anuales sobre los cuales realiza seguimiento a través del Comité de Capacitación. Los órganos de gobierno establecen los objetivos estratégicos, así como responsables, programación para su cumplimiento, e indicadores bajo metodología SMART a través de los cuales se realiza el seguimiento para el logro de dichos objetivos.
- Adicionalmente, adoptó un modelo de gestión basada en procesos, así como el Modelo de Tres Líneas en donde se establecen roles, responsabilidades y líneas de reporte y rendición de cuentas claros para la gestión de controles y riesgos. En el modelo operan: i) una línea estratégica conformada por la Junta Directiva, el Consejo de Administración, el Comité de Auditoría, el Comité de Riesgos, el Comité Institucional de Coordinación de Control Interno y la Alta Gerencia, ii) la primera línea conformada por todas las unidades de negocio y líderes de proceso; iii) la segunda línea conformada por la Subgerencia de Riesgos y el Departamento Jurídico, y, iv) la tercera línea conformada por el Departamento de Control Interno. Adicionalmente, el Banco cuenta con una "cuarta línea" conformada por la Auditoria General que ejerce su función de manera independiente, una auditoría externa financiera, y los diferentes organismos de control, supervisión y vigilancia. La evaluación y supervisión del Sistema de Control Interno es realizada por el Comité Institucional de Coordinación de Control Interno y Comité de Auditoría, a través de los cuales se hace seguimiento al mismo y se vela por su mejoramiento. El Comité de Riesgos aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y hace seguimiento a la gestión integral de riesgos a través de los informes periódicos de la segunda línea.
- El Banco ha definido políticas y procedimientos relacionados con el proceso de inducción, realizado a los nuevos ingresos de personal con el fin de fortalecer la integración a la cultura y propender por el desempeño de sus funcionarios.
- Durante el segundo semestre de 2023 el Banco ha dado continuidad a la aplicación de los controles relacionados con el componente de Ambiente de control.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco de la República mantiene su compromiso con la integridad y promueve el comportamiento ético de sus colaboradores a través de la divulgación y seguimiento periódico al cumplimiento del Código de Conducta. Se han diseñado, implementado y divulgado procedimientos para la administración de posibles conflictos de interés. El Banco cuenta con procedimientos para que sus proveedores declaren la inexistencia de inhabilidades e incompatibilidades en los procesos de contratación. Así mismo, ha diseñado e implementado la estrategia antifraude que incorpora una declaración sobre "cero tolerancia" ante actos ilícitos. El Banco formuló también en concordancia con dicha estrategia el Plan Anticorrupción y de Atención al Ciudadano (PAAC) y como se menciona en el componente de evaluación de riesgos, este contiene las actividades de monitoreo y revisión de la gestión de riesgos de corrupción, que para 2023 tuvo como objetivo potenciar la cultura de prevención, detección y respuesta ante actos ilícitos, promover acciones para la lucha contra la corrupción y mejorar la interacción entre el Banco y la ciudadanía, a través del mejoramiento de los mecanismos de atención, transparencia, y rendición de informes.. Adicionalmente, el Banco diseñó e implementó el Sistema Informático de Atención al Ciudadano (SIAC), como herramienta tecnológica, para la gestión de peticiones, quejas, reclamos, sugerencias, denuncias y PQR. También el Banco ha implementado políticas, lineamientos y controles para la mitigación de los riesgos de ciberseguridad y la protección de los activos de información incluyendo información privilegiada, que incluyen el uso de herramientas tecnológicas y esquemas de monitoreo permanente. El Banco culminó la implementación del "nuevo sistema de atención al ciudadano", como se detalla en el componente "información y comunicación".
- El Banco muestra compromiso con la competencia del personal y ha diseñado e implementado políticas y procedimientos para la selección de personal, la evaluación de su desempeño, y los procesos de desvinculación. Así mismo establece planes de capacitación anuales sobre los cuales realiza seguimiento a través del Comité de Capacitación. Los órganos de gobierno establecen los objetivos estratégicos, así como responsables, programación para su cumplimiento, e indicadores bajo metodología SMART a través de los cuales se realiza el seguimiento para el logro de dichos objetivos.
- Adicionalmente, adoptó un modelo de gestión basada en procesos, así como el Modelo de Tres Líneas en donde se establecen roles, responsabilidades y líneas de reporte y rendición de cuentas claros para la gestión de controles y riesgos. En el modelo operan: i) una línea estratégica conformada por la Junta Directiva, el Consejo de Administración, el Comité de Auditoría, el Comité de Riesgos, el Comité Institucional de Coordinación de Control Interno y la Alta Gerencia, ii) la primera línea conformada por todas las unidades de negocio y líderes de proceso; iii) la segunda línea conformada por la Subgerencia de Riesgos y el Departamento Jurídico, y, iv) la tercera línea conformada por el Departamento de Control Interno. Adicionalmente, el Banco cuenta con una "cuarta línea" conformada por la Auditoria General que ejerce su función de manera independiente, una auditoría externa financiera, y los diferentes organismos de control, supervisión y vigilancia. La evaluación y supervisión del Sistema de Control Interno es realizada por el Comité Institucional de Coordinación de Control Interno y Comité de Auditoría, a través de los cuales se hace seguimiento al mismo y se vela por su mejoramiento. El Comité de Riesgos aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y hace seguimiento a la gestión integral de riesgos a través de los informes periódicos de la segunda línea.
- El Banco ha definido políticas y procedimientos relacionados con el proceso de inducción, realizado a los nuevos ingresos de personal con el fin de fortalecer la integración a la cultura y propender por el desempeño de sus funcionarios.
- Durante el segundo semestre de 2023 el Banco dio continuidad a la aplicación de los controles relacionados con el componente de Ambiente de control.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
2. COMPONENTE: EVALUACIÓN DE RIESGOS
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o fortalezas:
- Fortalezas: El Banco ha implementado el Sistema de Gestión Integral de Riesgo (SGIR), a través de política aprobada por el Comité de Riesgos y divulgada a todos los empleados, definiendo los lineamientos que componen el Sistema de Gestión, entendido como el conjunto de políticas, límites, metodologías y esquemas de monitoreo y control establecidos por el Banco para gestionar los riesgos de la organización y apoyar la toma de decisiones. Se considera como un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas del Banco y se apoya en el Modelo de tres líneas. Los subsistemas de riesgo del modelo desarrollan políticas para cada uno de ellos: riesgo financiero, operativo, de la información y ciberriesgo, de lavado de activos y financiación del terrorismo, de conducta, de cumplimiento, ambiental y de terceras partes. El alcance del SIGR es transversal a todos los procesos misionales y corporativos, las áreas, las sucursales y las agencias. El SIGR asigna los roles y responsabilidades bajo el modelo de Tres Líneas y define las siguientes etapas para la administración de riesgos: i) Identificación; ii) Medición o valoración; iii) Control y tratamiento de los riesgos; iv) Monitoreo a través de informes y reportes.
- El Comité de Riesgos de manera periódica hace seguimiento a través de reportes realizados por la segunda línea, al avance y estado del Sistema de Gestión Integral de Riesgos y de manera consolidada, a través de los Informes de Riesgos financieros y no financieros. Se toman acciones sobre informes relacionados con materialización de riesgos estableciendo planes de mejoramiento sujetos a seguimiento. La tercera línea realiza evaluaciones independientes sobre la gestión de riesgos por parte de la primera y segunda línea, estableciendo planes de mejoramiento que son sujetos de monitoreo por el Comité de Auditoría. Las metodologías para la gestión de riesgos operativos consideran la construcción de matrices que son periódicamente revisadas para considerar cambios en los procesos por factores internos o externos, así como en los controles.
- La Gestión Basada en Procesos permite de manera clara la identificación de los procesos misionales y corporativos junto con sus objetivos. El proceso de planeación estratégica considera la relación de los objetivos estratégicos con los objetivos a nivel de procesos misionales y de apoyo, así como objetivos de proyectos para la adecuada evaluación de sus riesgos y la definición de actividades de control. Los objetivos estratégicos son objeto de seguimiento por la Alta Dirección a través de indicadores, para asegurar su cumplimiento. El Banco continúa fortaleciendo su gobierno de riesgos, de donde el Departamento de Riesgos Financieros opera como segunda línea transversal para la gestión del monitoreo del riesgo financiero y consolidado del Banco, con la definición de una política para la gestión del riesgo financiero y con planes de trabajo definidos para la implementación del modelo de riesgo. Se revisó y definió el rol de la primera y segunda línea en relación con el riesgo de Ciberseguridad y la Seguridad de la Información.
- El Banco realiza seguimiento y monitoreo periódico sobre la Ciberseguridad que incluye el análisis de su postura de seguridad reportando al Comité de Riesgos, como una de sus prioridades en materia de riesgo. En el segundo semestre de 2023 se realizaron mejoras de acuerdo con los resultados de una evaluación externa experta en materia de Postura de Ciberseguridad para fortalecer el marco de control del proceso. El Banco realizó ajustes en su SGIR y al Sistema de Administración de Riesgo Operacional con el fin de alinearse con las disposiciones de la SFC - Circular Externa 018 de 2021 - Sistema de Administración de Riesgos de Entidades Exceptuadas (SARE), así mismo fortaleció la gestión de riesgos a través de la introducción de mejoras en el gobierno de gestión de eventos de riesgo operacional - EROs, su monitoreo y reporte. Al mismo tiempo se revisaron, actualizaron y aprobaron las políticas de continuidad del negocio del Banco, así como las funciones de órganos y roles que participan en el proceso, por parte del Comité de Riesgos.
- Se cuenta con el Plan Anticorrupción y de Atención al Ciudadano (PAAC), elaborado por la Subgerencia de Riesgos, el cual contiene las actividades de monitoreo y revisión de la gestión de riesgos de corrupción, que para 2023 tuvo como objetivo potenciar la cultura de prevención, detección y respuesta ante actos ilícitos, promover acciones para la lucha contra la corrupción y mejorar la interacción entre el Banco y la ciudadanía, a través del mejoramiento de los mecanismos de atención, transparencia, y rendición de informes. Contempla los planes de actividades para el fortalecimiento de los mecanismos internos directos para la prevención, detección y respuesta ante actos de corrupción, la socialización del mapa de riesgos de corrupción del Banco; el fortalecimiento de Sistema de Atención al Ciudadano del Banco, la gestión de PQR´s al servicio de la ciudadanía y el fomento de la transparencia en su gestión. El PAAC es sujeto de seguimiento periódico por la tercera línea.
- Durante el segundo semestre de 2023, el Comité de Riesgos aprobó: i) la metodología para el Análisis de Impacto de Negocio BIA (Business Impact Analysis) la cual valora el impacto de una interrupción de los procesos y los articula con las estrategias de continuidad, sobre los procesos y aplicativos de criticidad muy alta para el Banco, así mismo aprobó las políticas para la administración de procesos críticos; ii) La modificación en la política de escalamiento de Eventos de Riesgo Operacional considerando el riesgo reputacional, el impacto económico y la duración del evento en los procesos críticos. iii) La creación del Subsistema de Administración de Riesgo Reputacional (SARR) con el fin de fortalecer el modelo de manejo integral de riesgos, considerando su alcance, la estructura de gobierno y las políticas para su gestión. iv) El proceso detallado de compliance trasversal para el Banco el cual se basa en las mejores prácticas acogidas por algunos Bancos Centrales, con el fin de robustecer la estructura de gobierno con respecto al compliance del Banco.
- Debilidades: No se identificaron debilidades.
- Nivel de cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco ha implementado el Sistema de Gestión Integral de Riesgo (SGIR), a través de política aprobada por el Comité de Riesgos y divulgada a todos los empleados, definiendo los lineamientos que componen el Sistema de Gestión, entendido como el conjunto de políticas, límites, metodologías y esquemas de monitoreo y control establecidos por el Banco para gestionar los riesgos de la organización y apoyar la toma de decisiones. Se considera como un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas del Banco y se apoya en el Modelo de tres líneas. Los subsistemas de riesgo del modelo desarrollan políticas para cada uno de ellos: riesgo financiero, operativo, de la información y ciberriesgo, de lavado de activos y financiación del terrorismo, de conducta, de cumplimiento, ambiental y de terceras partes. El Alcance del SIGR es transversal a todos los procesos misionales y corporativos, las áreas, las sucursales y las agencias culturales. El SIGR asigna los roles y responsabilidades bajo el modelo de Tres Líneas y define las siguientes etapas para la administración de riesgos: i) Identificación; ii) Medición o valoración; iii) Control y tratamiento de los riesgos; iv) Monitoreo a través de informes y reportes.
- El Comité de Riesgos, de manera periódica hace seguimiento a través de reportes realizados por la segunda línea al avance y estado del Sistema de Gestión Integral de Riesgos y de manera consolidada, a través de los Informes de Riesgos financieros y no financieros. Se toman acciones sobre informes relacionados con materialización de riesgos estableciendo planes de mejoramiento sujetos a seguimiento. La tercera línea realiza evaluaciones independientes sobre la gestión de riesgos por parte de la primera y segunda línea, estableciendo planes de mejoramiento que son sujetos de monitoreo por el Comité de Auditoría. Las metodologías para la gestión de riesgos operativos consideran la construcción de matrices que son periódicamente revisadas para considerar cambios en los procesos por factores internos o externos, así como en los controles.
- La Gestión Basada en Procesos permite de manera clara la identificación de los procesos misionales y corporativos junto con sus objetivos. El proceso de planeación estratégica considera la relación de los objetivos estratégicos con los objetivos a nivel de procesos misionales y de apoyo, así como objetivos de proyectos para la adecuada evaluación de sus riesgos y la definición de actividades de control. Los objetivos estratégicos son objeto de seguimiento por la Alta Dirección a través de indicadores, para asegurar su cumplimiento. El Banco continúa fortaleciendo su gobierno de riesgos, consolidó el Departamento de Riesgo Financiero para que este opere como segunda línea transversal para la gestión del monitoreo del riesgo financiero y consolidado del Banco, con la definición de una política para la gestión del riesgo financiero y con planes de trabajo definidos para la implementación del modelo de riesgo. Se revisó y definió el rol de la primera y segunda línea en relación con el riesgo de Ciberseguridad y la Seguridad de la Información. El Banco realiza seguimiento y monitoreo periódico sobre la Ciberseguridad que incluye el análisis de su postura de seguridad reportando al Comité de Riesgos, como una de sus prioridades en materia de riesgo. En el primer semestre de 2023 se ha realizado mejoras de acuerdo con los resultados de una evaluación externa experta en materia de Postura de Ciberseguridad para fortalecer el marco de control del proceso. El Banco realizó ajustes en su SGIR y al Sistema de Administración de Riesgo Operacional con el fin de alinearse a las nuevas disposiciones de la SFC - Circular Externa 018 de 2021 - Sistema de Administración de Riesgos de Entidades Exceptuadas (SARE), así mismo fortaleció la gestión de riesgos a través de la introducción de mejoras en el gobierno de gestión de eventos de riesgo operacional (ERO), su monitoreo y reporte. Al mismo tiempo se revisaron, actualizaron y aprobaron las políticas de continuidad del negocio del Banco, así como las funciones de órganos y roles que participan en el proceso, por parte del Comité de Riesgos.
- Se cuenta con la elaboración anual del Plan Anticorrupción y de Atención al Ciudadano (PAAC) por parte de la Subgerencia de Riesgos, el cual contiene las actividades de monitoreo y revisión de la gestión de riesgos de corrupción, que para 2023 tuvo como objetivo potenciar la cultura de prevención, detección y respuesta ante actos ilícitos, promover acciones para la lucha contra la corrupción y mejorar la interacción entre el Banco y la ciudadanía, a través del mejoramiento de los mecanismos de atención, transparencia, y rendición de informes. Contempla los planes de actividades para el fortalecimiento de los mecanismos internos directos para la prevención, detección y respuesta ante actos de corrupción, la socialización del mapa de riesgos de corrupción del Banco; el fortalecimiento de Sistema de Atención al Ciudadano del Banco, la gestión de PQR´s al servicio de la ciudadanía y el fomento de la transparencia en su gestión. El PAAC es sujeto de seguimiento periódico por la tercera línea.
- En el primer semestre de 2023, el Comité de Riesgos aprobó las metodologías para el reporte de riesgos financieros individuales, riesgo estructural y de Estrés de Balance del Banco. Así mismo aprobó el sistema de administración de Riesgos de Terceros, que incluye las políticas, los roles y responsabilidades, y la metodología de definición de terceros críticos. Así mismo se estableció y aprobó el plan de capacitación sobre la Gestión Integral de Riesgos para la vigencia 2023, y el gobierno para la gestión del riesgo ambiental.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
3. COMPONENTE: ACTIVIDADES DE CONTROL
- ¿El componente está presente y funcionando?: Sí
- Nivel de cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o fortalezas:
- Fortalezas: El Banco ha establecido lineamientos a través del Modelo de Gestión Basado en Procesos y del Modelo de Gestión Integral de Riesgos para realizar el diseño de controles manuales y automáticos bajo criterios de adecuada segregación de funciones, mitigación adecuada de los riesgos relacionados, considerando las condiciones propias de cada proceso, los cambios en el mismo y la regulación aplicable. A través de políticas y procedimientos, documentadas por medio de circulares que son divulgadas a todos los empleados, se establecen roles, responsabilidades y el detalle de las actividades de control que deben ser ejecutadas a nivel de procesos. Así mismo, las dependencias actualizan permanentemente las políticas, estándares y procedimientos, revisando y redefiniendo controles para que se mitiguen los riesgos identificados hasta niveles aceptables.
- Se han diseñado controles generales relevantes sobre la Tecnología de Información y controles para los riesgos de Ciberseguridad. Se han establecido lineamientos para administración de roles y perfiles en aplicaciones corporativas, con las pautas generales para la gestión de usuarios estableciendo entre otros aspectos la elaboración de matrices de roles y perfiles por aplicación. Las matrices son administradas por las áreas dueñas de las aplicaciones corporativas y elaboradas en conjunto con el Departamento de Seguridad Informática.
- Otros sistemas de gestión se han incorporado a la estructura de control del Banco como son los sistemas de gestión de calidad aplicables en varios procesos misionales. La Gestión Basada en Procesos y el Modelo de Gestión Integral de Riesgos y sus subsistemas de riesgo (financieros, operativos, de la información y ciberriesgo, de lavado de activos y financiación del terrorismo, de cumplimiento, ambiental y de terceras partes), así como el Sistema de Gestión de Continuidad, permiten el establecimiento de actividades de control que son monitoreadas por la segunda línea.
- Durante el segundo semestre de 2023 el Banco ha dado continuidad a la aplicación de los controles relacionados con el componente de Actividades de Control.
- El Departamento de Control Interno realiza evaluaciones independientes sobre el diseño y operación de los controles de acuerdo con el plan anual de actividades aprobado por el Comité de Auditoría. Así mismo, la Auditoría General del Banco realiza evaluación sobre el diseño y efectividad de las actividades de control.
- Durante el segundo semestre de 2023, y como resultado de las diferentes actividades de auditoría realizadas tanto por el Departamento de Control Interno como por la Auditoría General del Banco, las diferentes áreas y procesos core y corporativos introdujeron mejoras a través de la implementación de actividades de control que permiten la mitigación de los riesgos, las cuales se establecen por medio de planes de mejoramiento.
- Debilidades: No se identificaron debilidades.
- Nivel de cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco ha establecido lineamientos a través del Modelo de Gestión Basada en Procesos y del Modelo de Gestión Integral de Riesgos para realizar el diseño de controles manuales y automáticos bajo criterios de adecuada segregación de funciones, mitigación adecuada de los riesgos relacionados, considerando las condiciones propias de cada proceso, los cambios en el mismo y la regulación aplicable. A través de políticas y procedimientos, documentadas por medio de circulares que son divulgadas a todos los empleados, se establecen roles, responsabilidades y el detalle de las actividades de control que deben ser ejecutadas a nivel de procesos. Así mismo, las dependencias actualizan permanentemente las políticas, estándares y procedimientos, revisando y redefiniendo controles para que se mitiguen los riesgos identificados hasta niveles aceptables.
- Se han diseñado controles generales relevantes sobre la Tecnología de Información y controles para los riesgos de Ciberseguridad. Se han establecido lineamientos para administración de roles y perfiles en aplicaciones corporativas, con las pautas generales para la gestión de usuarios estableciendo entre otros aspectos la elaboración de matrices de roles y perfiles por aplicación. Las matrices son administradas por las áreas dueñas de las aplicaciones corporativas y son elaborados en conjunto con el Departamento de Seguridad Informática.
- Otros sistemas de gestión se han incorporado a la estructura de control del Banco como los son los sistemas de gestión de calidad aplicables en varios procesos misionales. La Gestión Basada en Procesos y el Modelo de Gestión Integral de Riesgos y sus subsistemas de riesgo (financieros, operativos, de la información y ciberriesgo, de lavado de activos y financiación del terrorismo, de cumplimiento, ambiental y de terceras partes), así como el Sistema de Gestión de Continuidad, permiten el establecimiento de actividades de control que son monitoreadas por la segunda línea.
- El Departamento de Control Interno realiza evaluaciones independientes sobre el diseño y operación de los controles de acuerdo con el plan anual de actividades aprobado por el Comité de Auditoría. Así mismo, la Auditoría General del Banco realiza evaluación sobre el diseño y efectividad de las actividades de control.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
4. COMPONENTE: INFORMACIÓN Y COMUNICACIÓN
- ¿El componente está presente y funcionando?: Sí
- Nivel de cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o fortalezas:
- Fortalezas: El Banco de la República cuenta con políticas de comunicación interna, que establecen su marco de gobierno, así mismo define los roles, responsabilidades y procedimientos relacionados con las solicitudes para la realización de campañas de comunicación. El Banco cuenta con distintos mecanismos a través de los cuales desarrolla el principio de participación ciudadana y facilita que los ciudadanos puedan ejercer control social y evaluación. En este sentido, ha establecido el Sistema de Atención a la Ciudadanía (SAC), mediante el cual se definen las políticas de interacción con la ciudadanía, los canales de atención, las actividades, los responsables y las herramientas tecnológicas que permiten la racionalización de trámites y la colaboración institucional para la gestión de derechos de petición presentados por los ciudadanos, denominados PQR (peticiones, solicitudes de información, consultas, quejas/reclamos y denuncias).
- El Banco culminó la implementación el "nuevo sistema de atención al ciudadano", para la atención y relación con la ciudadanía, apoyado en una solución tecnológica en la nube e integral bajo una herramienta tipo CRM (Customer Relationship Manager) que facilite y mejore la gestión de peticiones, solicitudes de información, quejas y reclamos, sugerencias (PQR), felicitaciones y denuncias, de acuerdo con los requerimientos identificados con las áreas, la normatividad vigente, y mejores prácticas, así como para el control y seguimiento de la gestión de PQR y denuncias en términos y trazabilidad. Lo anterior llevó a la actualización de procedimientos y lineamientos internos en relación con este tema.
- El Banco ha diseñado políticas y procedimientos relacionados con Instrumentos de gestión de información pública que desarrolla entre otros, los roles y responsabilidades en la publicación y divulgación de la información pública en el sitio web del Banco y en los sistemas de información del Estado, los lineamientos para la publicación de información en el sitio web del Banco, y el procedimiento para la actualización de los Instrumentos de Gestión de Información, todo ello, en concordancia con la Ley de Transparencia y las disposiciones de Mintic. Clasifica esta información como información pública disponible o información pública reservada o clasificada. Dentro de los Instrumentos de Gestión cuenta con un Programa de Gestión Documental (PGD), el Índice de Información Clasificada y Reservada (IICR), Registro de Activos de Información (RAI), y el Esquema de Publicación de Información (EPI).
- Se cuenta con el inventario de Información pública mínima requerida por normas de transparencia. El Banco ha establecido políticas y procedimientos relacionados con roles y responsabilidades para el cumplimiento de sus obligaciones sobre la recolección, almacenamiento, uso, circulación y supresión de los datos personales contenidos en bases de datos, así como las medidas de seguridad aplicables al tratamiento de Bases de Datos que contienen datos personales en particular con el manejo de incidentes de Seguridad de la información para proteger la información reservada y clasificada. El Código de Conducta establece pautas sobre la protección de la información sensible del Banco por parte de los funcionarios. El Banco cuenta también con políticas y procedimientos definidos sobre seguridad de la Información y Ciberseguridad, cuyo objetivo es la protección de los activos estratégicos del Banco que dependen o usan las tecnologías de la información y las comunicaciones. Se ejecutan actividades de control sobre la integridad, confidencialidad y disponibilidad de los datos e información definidos como relevantes.
- El Banco desarrolla e implementa controles técnicos que facilitan la gestión de la información y la comunicación interna y externa de manera segura, apoyado en herramientas tecnológicas. Los trabajadores responsables por la generación y publicación de comunicaciones internas y externas deben velar por el cumplimiento de las políticas de: i) Comunicación Interna y ii) Editorial de Portales y Medios de Divulgación; que incluyen un marco de gobierno y iii) los criterios establecidos en el Manual de Estándares de Usabilidad y Accesibilidad del Portal Corporativo; tales como: Clasificación o reserva, cumplimiento de obligaciones y derechos de terceros, período de silencio, uso restringido, derechos de autor, atributos del texto de las publicaciones y lenguaje inclusivo. Existen lineamientos sobre los responsables de autorizar la publicación de contenidos en redes sociales y otros medios de divulgación, por parte de las áreas del Banco. También cuenta con lineamientos sobre los espacios de comunicación con el público para divulgar los mensajes de la institución utilizando las redes sociales: Facebook (Banco de la República), Instagram (@bancorepublicacolombia), YouTube (@bancorepublica), Twitter (@BancoRepublica), @banrepcultural, @MuseoBanRep y @ConciertosBR. Así mismo, cuenta con un plan de divulgación y comunicaciones que busca definir una estrategia efectiva de comunicación con el fin de lograr la comprensión e interiorización del plan estratégico por parte de los empleados, aplicando la Política de Comunicación Interna y la Política Editorial de Portales y Medios de Divulgación.
- Ha fortalecido los lineamientos para el gobierno de portales y medios digitales, buscando desarrollar actividades que logren un portal más amigable, accesible y usable, con una navegación intuitiva, de fácil búsqueda. Así mismo, se actualizaron los lineamientos internos sobre transparencia activa: publicación y divulgación de la información pública e instrumentos de gestión de información. Se fortalecieron los procesos de manejo de información, a través de la actualización del Manual de Gestión Documental, en relación con la conservación de documentos.
- El Banco actualizó los lineamientos generales que deben cumplirse para publicar y divulgar la información pública a través de los portales y medios de divulgación, con el fin de difundir información relacionada con la actividad misional y los servicios del Banco. También definió y comunicó los roles, las responsabilidades y los requisitos de creación, actualización y eliminación de contenidos, en los portales y medios de divulgación.
- Adicionalmente, para el segundo semestre de 2023, el Banco divulgó el Protocolo de Comunicación Externa que establece los lineamientos generales y el marco de gobierno de las comunicaciones externas e incluye un esquema de escalamiento ante posibles eventos de riesgo reputacional, que tengan origen en medios de comunicación (escritos, audiovisuales, páginas web) y redes sociales, o también ocasionados por la desinformación de algún sector de la opinión pública. El Banco actualizó en el segundo semestre sus políticas en relación con el manejo de datos personales y las relacionadas con Instrumentos de gestión de información.
- Durante el segundo semestre de 2023 el Banco ha dado continuidad a la aplicación de los controles relacionados con el componente de Información y Comunicación.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco de la República cuenta con políticas de comunicación interna, que establecen su marco de gobierno, así mismo define los roles, responsabilidades y procedimientos relacionados con las solicitudes para la realización de campañas de comunicación. El Banco cuenta con distintos mecanismos a través de los cuales desarrolla el principio de participación ciudadana, para que los ciudadanos puedan ejercer control social y evaluación, principalmente a través del Sistema de Atención al Ciudadano (SAC), a través del cual se definen, además de los canales, las políticas de interacción con la ciudadanía, mejoramiento continuo, transparencia, gestión oportuna, racionalización de trámites y colaboración institucional para la gestión de derechos de petición presentados por los ciudadanos (PQR) (peticiones, solicitudes de información, consultas, quejas/reclamos y denuncias), así como para las denuncias de actos de corrupción por parte de los usuarios, proveedores, contratistas, empleados y, en general, cualquier ciudadano. El Banco culminó la Implementación del "nuevo sistema de atención al ciudadano", para la atención y relación con la ciudadanía, apoyado en una solución tecnológica en la nube y una solución integral bajo una herramienta tipo CRM (Customer Relationship Manager) que facilite y mejore la gestión de peticiones, solicitudes de información, quejas y reclamos, sugerencias (PQR), felicitaciones y denuncias, de acuerdo con los requerimientos identificados con las áreas, la normatividad vigente, y mejores prácticas, así como para el control y seguimiento de la gestión de PQR y denuncias en términos y trazabilidad. Lo anterior llevó a la actualización de procedimientos y lineamientos internos en relación con este tema.
- El Banco ha diseñado políticas y procedimientos relacionados con Instrumentos de gestión de información pública que desarrolla entre otros, los roles y responsabilidades en la publicación y divulgación de la información pública en el sitio web del Banco y en los sistemas de información del Estado, los lineamientos para la publicación de información en el sitio web del Banco, y el procedimiento para la actualización de los Instrumentos de Gestión de Información, todo ello, en concordancia con la Ley de Transparencia y las disposiciones de Mintic. Clasifica esta información como información pública disponible o información pública reservada o clasificada. Dentro de los Instrumentos de Gestión cuenta con un Programa de Gestión Documental (PGD), el Índice de Información Clasificada y Reservada (IICR), Registro de Activos de Información (RAI), y el Esquema de Publicación de Información (EPI).
- Se cuenta con el inventario de Información pública mínima requerida por normas de transparencia. El Banco ha establecido políticas y procedimientos relacionados con roles y responsabilidades para el cumplimiento de sus obligaciones sobre la recolección, almacenamiento, uso, circulación y supresión de los datos personales contenidos en bases de datos, así como las medidas de seguridad aplicables al tratamiento de Bases de Datos que contienen datos personales en particular con el manejo de incidentes de Seguridad de la información para proteger la información reservada y clasificada. El Código de conducta establece pautas sobre la protección de la información sensible del Banco por parte de los funcionarios. El Banco cuenta también con políticas y procedimientos definidos sobre seguridad de la Información y Ciberseguridad, cuyo objetivo es la protección de los activos estratégicos del Banco que dependen o usan las tecnologías de la información y las comunicaciones. Se ejecutan actividades de control sobre la integridad, confidencialidad y disponibilidad de los datos e información definidos como relevantes. El Banco desarrolla e implementa controles técnicos que facilitan la gestión de la información y la comunicación interna y externa de manera segura, apoyado en herramientas tecnológicas. Los trabajadores responsables por la generación y publicación de comunicaciones internas y externas deben velar por el cumplimiento de las Políticas de: i) Comunicación Interna y ii) Editorial de Portales y Medios de Divulgación; que incluyen un marco de gobierno y iii) los criterios establecidos en el Manual de Estándares de Usabilidad y Accesibilidad del Portal Corporativo; tales como: Clasificación o reserva, cumplimiento de obligaciones y derechos de terceros, período de silencio, uso restringido, derechos de autor, atributos del texto de las publicaciones y lenguaje inclusivo. Existen lineamientos sobre los responsables de autorizar la publicación de contenidos en redes sociales y otros medios de divulgación, por parte de las áreas del Banco. El Banco cuenta con lineamientos sobre los espacios de comunicación con el público para divulgar los mensajes de la institución utilizando las redes sociales: Facebook (Banco de la República) y Twitter (@BancoRepublica), @banrepcultural, @MuseoBanRep, @ConciertosBR). Así mismo, cuenta con un plan de divulgación y comunicaciones que busca definir una estrategia efectiva de comunicación con el fin de lograr la comprensión e interiorización del plan estratégico por parte de los empleados, aplicando la Política de Comunicación Interna y la Política Editorial de Portales y Medios de Divulgación.
- Ha fortalecido los lineamientos para el gobierno de portales y medios digitales, buscando desarrollar actividades que logren un portal más amigable, accesible y usable, con una navegación intuitiva, de fácil búsqueda. Así mismo, se actualizaron los lineamientos internos sobre transparencia activa: publicación y divulgación de la información pública e instrumentos de gestión de información. Se fortalecieron los procesos de manejo de información, a través de la actualización del Manual de Gestión Documental, en relación con la conservación de documentos del Banco.
- En el primer semestre de 2023 el Banco actualizó los lineamientos generales que deben cumplirse para publicar y divulgar la información pública a través de los portales y medios de divulgación, con el fin de difundir información relacionada con la actividad misional y los servicios del banco. También definió y comunicó los roles, las responsabilidades y los requisitos de creación, actualización y eliminación de contenidos, en los portales y medios de divulgación.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
5. COMPONENTE: MONITOREO
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El monitoreo del sistema de control interno del Banco se encuentra a cargo de órganos de gobierno como el Comité de Auditoría, el Comité Institucional de Coordinación de Control Interno. Además, son realizadas evaluaciones periódicas independientes por parte del Departamento de Control Interno, la Auditoria General y una firma de auditoría externa cuyo alcance para esta última es la auditoría financiera. Como resultado de las mencionadas evaluaciones y ante desviaciones identificadas se establecen planes de mejoramiento con los niveles jerárquicos apropiados para la mitigación de riesgos.
- Los resultados de las evaluaciones, así como el seguimiento al cumplimiento de los planes de mejoramiento son informados al Comité de Auditoría y al Comité Institucional de Coordinación de Control Interno, donde se revisan sus impactos sobre el sistema de control interno del Banco. También son considerados los reportes de órganos externos de vigilancia, supervisión y control, y cuando aplica, ante posibles observaciones en dichos reportes son desplegadas medidas de mejora que también son objeto de seguimiento.
- El Comité de Auditoría aprueba anualmente el plan de trabajo del Departamento de Control Interno y supervisa durante el año y de manera periódica su ejecución. El Comité Institucional de Coordinación de Control Interno evalúa el funcionamiento del Sistema de Control Interno y realiza seguimiento a los compromisos adquiridos por la administración.
- El Comité de Riesgos, aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y de manera periódica hace seguimiento al estado del Sistema de Gestión Integral de Riesgos implementado por el Banco, el cual se ha venido fortaleciendo y es considerado un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas. El monitoreo de riesgos se realiza de manera periódica por parte del citado Comité a través de informes de riesgos de la segunda línea. Ver componente "evaluación de riesgos".
- En el segundo semestre de 2023 el Banco ha mantenido y fortalecido su esquema de monitoreo al sistema de control interno. Se ha venido fortaleciendo de manera importante el monitoreo realizado por la segunda línea. La tercera línea ha venido fortaleciendo su función de monitoreo al sistema de control interno, mediante la aplicación del enfoque basado en riesgos considerado en su planeación de trabajo anual aprobado por el Comité de Auditoría. El Comité de Auditoría y el Comité Institucional de Coordinación de Control Interno continúan supervisando y monitoreando el esquema de control del Banco de acuerdo con sus Reglamentos.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El monitoreo del sistema de control interno del Banco se encuentra a cargo de órganos de gobierno como el Comité de Auditoría, el Comité Institucional de Coordinación de Control Interno. Son realizadas evaluaciones periódicas independientes por parte del Departamento de Control Interno, la Auditoria General y una firma de auditoría externa cuyo alcance para esta última es la auditoría financiera. Como resultado de las mencionadas evaluaciones y ante desviaciones identificadas se establecen planes de mejoramiento con los niveles jerárquicos apropiados para la mitigación de riesgos. Los resultados de las evaluaciones, así como el seguimiento al cumplimiento de los planes de mejoramiento son informados al Comité de Auditoría y al Comité Institucional de Coordinación de Control Interno, donde se revisa sus impactos sobre el sistema de control interno del Banco. También son considerados los reportes de órganos externos de vigilancia, supervisión y control, y cuando aplica, ante posibles observaciones en dichos reportes son desplegadas medidas de mejora que también son objeto de seguimiento.
- El Comité de Auditoría aprueba anualmente el plan de trabajo del Departamento de Control Interno y supervisa durante el año y de manera periódica su ejecución. El Comité Institucional de Coordinación de Control Interno evalúa el funcionamiento del Sistema de Control Interno y realiza seguimiento a los compromisos adquiridos por la administración.
- El Comité de Riesgos, aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y de manera periódica hace seguimiento al estado del Sistema de Gestión Integral de Riesgos implementado por el Banco, el cual se ha venido fortaleciendo y es considerado un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas. El monitoreo de riesgos se realiza de manera periódica por parte del citado Comité a través de informes de riesgos de la segunda línea. ver componente "evaluación de riesgos".
- En el primer semestre de 2023 el Banco mantuvo y fortaleció su esquema de monitoreo al sistema de control interno. Se ha venido fortaleciendo de manera importante el monitoreo realizado por la segunda línea. La tercera línea ha venido fortaleciendo su función de monitoreo al sistema de control interno, mediante la aplicación del enfoque basado en riesgos considerado en su planeación de trabajo anual aprobado por el Comité de Auditoría. El Comité de Auditoría y el Comité Institucional de Coordinación de Control Interno continúan supervisando y monitoreando el esquema de control del Banco de acuerdo con sus Reglamentos.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%