Informe del estado del Sistema de Control Interno del segundo semestre de 2022
Estado del sistema de Control Interno de la entidad: 100%
Conclusión general sobre la evaluación del sistema de control interno
- ¿Están todos los componentes operando juntos y de manera integrada? (Si / en proceso / No) (Justifique su respuesta):
Sí. De acuerdo con la evaluación independiente realizada sobre el diseño y operación de los controles relevantes relacionados con los principios o lineamientos establecidos para cada uno de los cinco componentes del Modelo Estándar de Control Interno "Ambiente de Control", "Evaluación de riesgos", "Actividades de control", "Información y Comunicación", y " Actividades de Monitoreo", de acuerdo con el formato e instrucciones dispuestos por el Departamento Administrativo de la Función Pública para la evaluación del sistema de control interno, en atención a lo dispuesto en su Circular Externa 100-006 del 2019 y el Artículo 156 del Decreto Ley 2106 de 2019, se evidenció que los mencionados componentes del modelo existen, se encuentran operando juntos y de manera integrada.
Así mismo, se observó que estos componentes operan transversalmente en el Banco de la República, y que en conjunto con el modelo de tres líneas implementado por el Banco permiten el control a los riesgos a los que este se encuentra expuesto para el logro de sus objetivos.
- ¿Es efectivo el sistema de control interno para los objetivos evaluados? (Si / en proceso / No) (Justifique su respuesta):
Sí. El sistema de control interno del Banco de la República es efectivo, en razón a que cada uno de los componentes del Modelo Estándar de Control Interno y principios o lineamientos relacionados a cada componente se encuentran presentes y en funcionamiento. Lo anterior, de acuerdo con la evaluación independiente realizada atendiendo al formato e instrucciones dispuestos por el Departamento Administrativo de la Función Pública para la evaluación del sistema de control interno, y a lo dispuesto en su Circular Externa 100-006 del 2019 así como el Artículo 156 del Decreto 2106 de 2019. No se identificaron fallas de control que pudieran tener algún impacto en el sistema de control interno del Banco.
- La entidad cuenta dentro de su Sistema de Control Interno, con una institucionalidad (líneas de defensa) que le permita la toma de decisiones frente al control (Si / en proceso / No) (Justifique su respuesta):
Sí. El marco de gobierno, la arquitectura de control y administración de riesgos del Banco de la República se soportan en el Modelo de Tres Líneas, en el cual tiene participación i) una línea estratégica conformada por la Junta Directiva, el Consejo de Administración, el Comité de Auditoría, el Comité de Riesgos, el Comité Institucional de Coordinación de Control Interno y la Alta Gerencia, ii) la primera línea conformada por todas las unidades de negocio y líderes de proceso; su rol principal es la toma de riesgos y el autocontrol, siendo los responsables principales de la mitigación de los riesgos y de la efectividad de los controles operativos; iii) la segunda línea conformada por la Subgerencia de Riesgos y el Departamento Jurídico, siendo su rol principal la administración y mejoramiento del sistema integral de riesgos del Banco, y monitorear la gestión de riesgos de manera independiente a la primera línea y, iv) la tercera línea conformada por el Departamento de Control Interno; su rol principal es planear, dirigir y organizar la verificación y evaluación independiente del sistema de control interno del Banco. Adicionalmente, el Banco cuenta con una "cuarta línea" conformada por la Auditoria General que ejerce su función de manera independiente, una auditoría externa financiera, y los diferentes organismos de control, supervisión y vigilancia.
Las diferentes líneas funcionan de manera coordinada con líneas de comunicación y reporte claros para la toma de decisiones frente a los riesgos y el control, y cada una contribuye desde su rol en el mantenimiento y fortalecimiento del sistema de control interno del Banco.
1. COMPONENTE: AMBIENTE DE CONTROL
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El Banco de la República mantiene su compromiso con la integridad y promueve el comportamiento ético de sus colaboradores a través de la divulgación y seguimiento periódico al cumplimiento del Código de Conducta; Se han diseñado, implementado y divulgado procedimientos para la administración de posibles conflictos de interés. El Banco cuenta con procedimientos para que sus proveedores declaren la inexistencia de inhabilidades e incompatibilidades en los procesos de contratación. Así mismo se ha diseñado e implementado la estrategia antifraude que incorpora una declaración sobre "cero tolerancia" ante actos ilícitos. El Banco formuló también en concordancia con dicha estrategia el Plan Anticorrupción y de Atención al Ciudadano (PAAC), y diseñó e implementó el Sistema Informático de Atención al Ciudadano (SIAC), como herramienta tecnológica, para la gestión de peticiones, quejas, reclamos, sugerencias, denuncias y PQR. También el Banco ha implementado políticas, lineamientos y controles para la mitigación de los riesgos de ciberseguridad y la protección de los activos de información incluyendo información privilegiada, que incluyen el uso de herramientas tecnológicas y esquemas de monitoreo permanente. Durante el II semestre de 2022, el Banco culminó la Implementación del "nuevo sistema de atención al ciudadano", como se detalla en el componente "información y comunicación".
- El Banco muestra compromiso con la competencia del personal y ha diseñado e implementado políticas y procedimientos para la selección de personal, la evaluación de su desempeño, y los procesos de desvinculación. Así mismo establece planes de capacitación anuales sobre los cuales realiza seguimiento a través del Comité de Capacitación. Los órganos de gobierno establecen los objetivos estratégicos así como responsables, programación para su cumplimiento, e indicadores bajo metodología SMART a través de los cuales se realiza el seguimiento para el logro de dichos objetivos.
- Adicionalmente, adoptó un modelo de gestión basada en procesos así como el Modelo de Tres Líneas en donde se establecen roles, responsabilidades y líneas de reporte y rendición de cuentas claros para la gestión de controles y riesgos. En el modelo operan: i) una línea estratégica conformada por la Junta Directiva, el Consejo de Administración, el Comité de Auditoría, el Comité de Riesgos, el Comité Institucional de Coordinación de Control Interno y la Alta Gerencia, ii) la primera línea conformada por todas las unidades de negocio y líderes de proceso; iii) la segunda línea conformada por la Subgerencia de Riesgos y el Departamento Jurídico, y, iv) la tercera línea conformada por el Departamento de Control Interno. Adicionalmente, el Banco cuenta con una "cuarta línea" conformada por la Auditoria General que ejerce su función de manera independiente, una auditoría externa financiera, y los diferentes organismos de control, supervisión y vigilancia. La evaluación y supervisión del Sistema de Control Interno es realizada por el Comité Institucional de Coordinación de Control Interno y Comité de Auditoría, a través de los cuales se hace seguimiento al mismo y se vela por su mejoramiento. El Comité de Riesgos aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y hace seguimiento a la gestión integral de riesgos a través de los informes periódicos de la segunda línea.
- El Banco durante el II Semestre de 2022 definió políticas y procedimientos relacionados con el proceso de inducción, realizado a los nuevos ingresos de personal con el fin de fortalecer la integración a la cultura y propender por el desempeño de sus funcionarios.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco de la República mantiene su compromiso con la integridad y promueve el comportamiento ético de sus colaboradores a través de la divulgación y seguimiento periódico al cumplimiento del Código de Conducta; Se han diseñado, implementado y divulgado procedimientos para la administración de posibles conflictos de interés. El Banco cuenta con procedimientos para que sus proveedores declaren la inexistencia de inhabilidades e incompatibilidades en los procesos de contratación. Así mismo se ha diseñado e implementado la estrategia antifraude que incorpora una declaración sobre "cero tolerancia" ante actos ilícitos. El Banco formuló también en concordancia con dicha estrategia el Plan Anticorrupción y de Atención al Ciudadano (PAAC), y diseñó e implementó el Sistema Informático de Atención al Ciudadano (SIAC), como herramienta tecnológica, para la gestión de peticiones, quejas, reclamos, sugerencias, denuncias y PQR. También el Banco ha implementado políticas, lineamientos y controles para la mitigación de los riesgos de ciberseguridad y la protección de los activos de información incluyendo información privilegiada, que incluyen el uso de herramientas tecnológicas y esquemas de monitoreo permanente.
- El Banco muestra compromiso con la competencia del personal y ha diseñado e implementado políticas y procedimientos para la selección de personal, la evaluación de su desempeño, y los procesos de desvinculación. Así mismo establece planes de capacitación anuales sobre los cuales realiza seguimiento a través del Comité de Capacitación. Los órganos de gobierno establecen los objetivos estratégicos así como responsables, programación para su cumplimiento, e indicadores bajo metodología SMART a través de los cuales se realiza el seguimiento para el logro de dichos objetivos.
- Adicionalmente, adoptó un modelo de gestión basada en procesos así como el Modelo de Tres Líneas en donde se establecen roles, responsabilidades y líneas de reporte y rendición de cuentas claros para la gestión de controles y riesgos. En el modelo operan: i) una línea estratégica conformada por la Junta Directiva, el Consejo de Administración, el Comité de Auditoría, el Comité de Riesgos, el Comité Institucional de Coordinación de Control Interno y la Alta Gerencia, ii) la primera línea conformada por todas las unidades de negocio y líderes de proceso; iii) la segunda línea conformada por la Subgerencia de Riesgos y el Departamento Jurídico, y, iv) la tercera línea conformada por el Departamento de Control Interno. Adicionalmente, el Banco cuenta con una "cuarta línea" conformada por la Auditoria General que ejerce su función de manera independiente, una auditoría externa financiera, y los diferentes organismos de control, supervisión y vigilancia. La evaluación y supervisión del Sistema de Control Interno es realizada por el Comité Institucional de Coordinación de Control Interno y Comité de Auditoría, a través de los cuales se hace seguimiento al mismo y se vela por su mejoramiento. El Comité de Riesgos aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y hace seguimiento a la gestión integral de riesgos a través de los informes periódicos de la segunda línea.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
2. COMPONENTE: EVALUACIÓN DE RIESGOS
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El Banco ha implementado el Sistema de Gestión Integral de Riesgo (SGIR), a través de política aprobada por el Comité de Riesgos y divulgada a todos los empleados, definiendo los lineamientos que componen el Sistema de Gestión, entendido como el conjunto de políticas, límites, metodologías y esquemas de monitoreo y control establecidos por el Banco para gestionar los riesgos de la organización y apoyar la toma de decisiones. Se considera como un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas del Banco y se apoya en el Modelo de tres líneas. Los subsistemas de riesgo del modelo desarrollan políticas para cada uno de ellos: riesgo financiero, operativo, de la información y Ciber riesgo, de lavado de activos y financiación del terrorismo, de conducta, de cumplimiento, ambiental y de terceras partes. El Alcance del SIGR es transversal a todos los procesos misionales y corporativos, las áreas, las sucursales y las agencias. El SIGR asigna los roles y responsabilidades bajo el modelo de Tres Líneas y define las siguientes etapas para la administración de riesgos: i) Identificación; ii) Medición o valoración; iii) Control y tratamiento de los riesgos; iv) Monitoreo a través de informes y reportes.
- El Comité de Riesgos, de manera periódica hace seguimiento a través de reportes realizados por la segunda línea al avance y estado del Sistema de Gestión Integral de Riesgos y de manera consolidada, a través de los Informes de Riesgos financieros y no financieros. Se toman acciones sobre informes relacionados con materialización de riesgos estableciendo planes de mejoramiento sujetos a seguimiento. La tercera línea realiza evaluaciones independientes sobre la gestión de riesgos por parte de la primera y segunda línea, estableciendo planes de mejoramiento que son sujetos de monitoreo por el Comité de Auditoría. Las metodologías para la gestión de riesgos operativos consideran la construcción de matrices que son periódicamente revisadas para considerar cambios en los procesos por factores internos o externos, así como en los controles.
- La Gestión Basada en Procesos permite de manera clara la identificación de los procesos misionales y corporativos junto con sus objetivos. El proceso de planeación estratégica considera la relación de los objetivos estratégicos con los objetivos a nivel de procesos misionales y de apoyo, así como objetivos de proyectos para la adecuada evaluación de sus riesgos y la definición de actividades de control. Los objetivos estratégicos son objeto de seguimiento por la Alta Dirección a través de indicadores, para asegurar su cumplimiento. El Banco continúa fortaleciendo su gobierno de riesgos, consolidó el Departamento de Riesgo Financiero para que este opere como segunda línea transversal para la gestión del monitoreo del riesgo financiero y consolidado del Banco, con la definición de una política para la gestión del riesgo financiero y con planes de trabajo definidos para la implementación del modelo de riesgo. Se revisó y definió el rol de la primera y segunda línea en relación con el riesgo de Ciberseguridad y la Seguridad de la Información. El Banco realiza seguimiento y monitoreo periódico sobre la Ciberseguridad que incluye el análisis de su postura de seguridad reportando al Comité de Riesgos, como una de sus prioridades en materia de riesgo. Para el II Semestre de 2022 se contó con una evaluación externa experta en materia de Postura de Ciberseguridad para fortalecer el marco de control del proceso. El Banco realizó ajustes en su SGIR y al Sistema de Administración de Riesgo Operacional con el fin de alinearse a las nuevas disposiciones de la SFC - Circular Externa 018 de 2021 - Sistema de Administración de Riesgos de Entidades Exceptuadas (SARE) que entra en vigencia en junio de 2023, fortaleció la gestión de riesgos a través de la introducción de mejoras en el gobierno de gestión de eventos de riesgo operacional - EROs, su monitoreo y reporte. Al mismo tiempo se revisaron, actualizaron y aprobaron las políticas de continuidad del negocio del Banco, así como las funciones de órganos y roles que participan en el proceso, por parte del Comité de Riesgos.
- Se cuenta con la elaboración anual del Plan Anticorrupción y de Atención al Ciudadano (PAAC) por parte de la Subgerencia de Riesgos, el cual contiene las actividades de monitoreo y revisión de la gestión de riesgos de corrupción, que para 2022 tuvo como objetivo potenciar la cultura de prevención, detección y respuesta ante actos ilícitos, promover acciones para la lucha contra la corrupción y mejorar la interacción entre el Banco y la ciudadanía, a través del mejoramiento de los mecanismos de atención, transparencia, y rendición de informes. Contempla los planes de actividades para la gestión de riesgos de corrupción, para los informes y diálogos e incentivos con la ciudadanía, mecanismos para la transparencia y acceso a la información pública. También contiene la matriz de riesgos de corrupción. El PAAC es sujeto de seguimiento periódico por la tercera línea.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco ha implementado el Sistema de Gestión Integral de Riesgo (SGIR), a través de política aprobada por el Comité de Riesgos y divulgada a todos los empleados, definiendo los lineamientos que componen el Sistema de Gestión, entendido como el conjunto de políticas, límites, metodologías y esquemas de monitoreo y control establecidos por el Banco para gestionar los riesgos de la organización y apoyar la toma de decisiones. Se considera como un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas del Banco y se apoya en el Modelo de tres líneas. Los subsistemas de riesgo del modelo desarrollan políticas para cada uno de ellos: riesgo financiero, operativo, de la información y Ciber riesgo, de lavado de activos y financiación del terrorismo, de conducta, de cumplimiento, ambiental y de terceras partes. El Alcance del SIGR es transversal a todos los procesos misionales y corporativos, las áreas, las sucursales y las agencias. El SIGR asigna los roles y responsabilidades bajo el modelo de Tres Líneas y define las siguientes etapas para la administración de riesgos: i) Identificación; ii) Medición o valoración; iii) Control y tratamiento de los riesgos; iv) Monitoreo a través de informes y reportes.
- El Comité de Riesgos, de manera periódica hace seguimiento a través de reportes realizados por la segunda línea al avance y estado del Sistema de Gestión Integral de Riesgos y de manera consolidada, a través de los Informes de Riesgos financieros y no financieros. Se toman acciones sobre informes relacionados con materialización de riesgos estableciendo planes de mejoramiento sujetos a seguimiento. La tercera línea realiza evaluaciones independientes sobre la gestión de riesgos por parte de la primera y segunda línea, estableciendo planes de mejoramiento que son sujetos de monitoreo por el Comité de Auditoría. Las metodologías para la gestión de riesgos operativos consideran la construcción de matrices que son periódicamente revisadas para considerar cambios en los procesos por factores internos o externos, así como en los controles.
- La Gestión Basada en Procesos permite de manera clara la identificación de los procesos misionales y corporativos junto con sus objetivos. El proceso de planeación estratégica considera la relación de los objetivos estratégicos con los objetivos a nivel de procesos misionales y de apoyo, así como objetivos de proyectos para la adecuada evaluación de sus riesgos y la definición de actividades de control. Los objetivos estratégicos son objeto de seguimiento por la Alta Dirección a través de indicadores, para asegurar su cumplimiento. El Banco continúa fortaleciendo su gobierno de riesgos, consolidó el Departamento de Riesgo Financiero para que este opere como segunda línea transversal para la gestión del monitoreo del riesgo financiero y consolidado del Banco, con la definición de una política para la gestión del riesgo financiero y con planes de trabajo definidos para la implementación del modelo de riesgo. Se revisó y definió el rol de la primera y segunda línea en relación con el riesgo de Ciberseguridad y la Seguridad de la Información. El Banco realiza seguimiento y monitoreo periódico sobre la Ciberseguridad que incluye el análisis de su postura de seguridad reportando al Comité de Riesgos, como una de sus prioridades en materia de riesgo. El Banco realizó ajustes en su SGIR y al Sistema de Administración de Riesgo Operacional con el fin de alinearse a las nuevas disposiciones de la SFC - Circular Externa 018 de 2021 - Sistema de Administración de Riesgos de Entidades Exceptuadas (SARE) que entra en vigencia en junio de 2023.
- Se cuenta con la elaboración anual del Plan Anticorrupción y de Atención al Ciudadano (PAAC) por parte de la Subgerencia de Riesgos, el cual contiene las actividades de monitoreo y revisión de la gestión de riesgos de corrupción, que para 2022 cuyo objetivo es potenciar la cultura de prevención, detección y respuesta ante actos ilícitos, promover acciones para la lucha contra la corrupción y mejorar la interacción entre el Banco y la ciudadanía, a través del mejoramiento de los mecanismos de atención, transparencia, y rendición de informes. Contempla los planes de actividades para la gestión de riesgos de corrupción, para los informes y diálogos e incentivos con la ciudadanía, mecanismos para la transparencia y acceso a la información pública. También contiene la matriz de riesgos de corrupción.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
3. COMPONENTE: ACTIVIDADES DE CONTROL
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El Banco ha establecido lineamientos a través del Modelo de Gestión Basado en Procesos y del Modelo de Gestión Integral de Riesgos para realizar el diseño de controles manuales y automáticos bajo criterios de adecuada segregación de funciones, mitigación adecuada de los riesgos relacionados, considerando las condiciones propias de cada proceso, los cambios en el mismo y la regulación aplicable. A través de políticas y procedimientos, documentadas por medio de circulares que son divulgadas a todos los empleados, se establecen roles, responsabilidades y el detalle de las actividades de control que deben ser ejecutadas a nivel de procesos. Así mismo, las dependencias actualizan permanentemente las políticas, estándares y procedimientos, revisando y redefiniendo controles para que se mitiguen los riesgos identificados hasta niveles aceptables.
- Se han diseñado controles generales relevantes sobre la Tecnología de Información y controles para los riesgos de Ciberseguridad. Se han establecido lineamientos para administración de roles y perfiles en aplicaciones corporativas, con las pautas generales para la gestión de usuarios estableciendo entre otros aspectos la elaboración de matrices de roles y perfiles por aplicación. Las matrices son administradas por las áreas dueñas de las aplicaciones corporativas y son elaborados en conjunto con el Departamento de Seguridad Informática.
- Otros sistemas de gestión se han incorporado a la estructura de control del Banco como los son los sistemas de gestión de calidad aplicables en varios procesos misionales. La Gestión Basada en Procesos y el Modelo de Gestión Integral de Riesgos y sus subsistemas de riesgo (financieros, operativos, de la información y Ciber riesgo, de lavado de activos y financiación del terrorismo, de cumplimiento, ambiental y de terceras partes), así como el Sistema de Gestión de Continuidad, permiten el establecimiento de actividades de control que son monitoreadas por la segunda línea.
- El Departamento de Control Interno realiza evaluaciones independientes sobre el diseño y operación de los controles de acuerdo con el plan anual de actividades aprobado por el Comité de Auditoría.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco ha establecido lineamientos a través del Modelo de Gestión Basado en Procesos y del Modelo de Gestión Integral de Riesgos para realizar el diseño de controles manuales y automáticos bajo criterios de adecuada segregación de funciones, mitigación adecuada de los riesgos relacionados, considerando las condiciones propias de cada proceso, los cambios en el mismo y la regulación aplicable. A través de políticas y procedimientos, documentadas por medio de circulares que son divulgadas a todos los empleados, se establecen roles, responsabilidades y el detalle de las actividades de control que deben ser ejecutadas a nivel de procesos. Así mismo, las dependencias actualizan permanentemente las políticas, estándares y procedimientos, revisando y redefiniendo controles para que se mitiguen los riesgos identificados hasta niveles aceptables.
- Se han diseñado controles generales relevantes sobre la Tecnología de Información y controles para los riesgos de Ciberseguridad. Se han establecido lineamientos para administración de roles y perfiles en aplicaciones corporativas, con las pautas generales para la gestión de usuarios estableciendo entre otros aspectos la elaboración de matrices de roles y perfiles por aplicación. Las matrices son administradas por las áreas dueñas de las aplicaciones corporativas y son elaborados en conjunto con el Departamento de Seguridad Informática.
- Otros sistemas de gestión se han incorporado a la estructura de control del Banco como los son los sistemas de gestión de calidad aplicables en varios procesos misionales. La Gestión Basada en Procesos y el Modelo de Gestión Integral de Riesgos y sus subsistemas de riesgo (financieros, operativos, de la información y Ciber riesgo, de lavado de activos y financiación del terrorismo, de cumplimiento, ambiental y de terceras partes), así como el Sistema de Gestión de Continuidad, permiten el establecimiento de actividades de control que son monitoreadas por la segunda línea.
- El Departamento de Control Interno realiza evaluaciones independientes sobre el diseño y operación de los controles de acuerdo con el plan anual de actividades aprobado por el Comité de Auditoría.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
4. COMPONENTE: INFORMACIÓN Y COMUNICACIÓN
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El Banco de la República cuenta con políticas de comunicación interna, que establecen su marco de gobierno, así mismo define los roles, responsabilidades y procedimientos relacionados con las solicitudes para la realización de campañas de comunicación. El Banco cuenta con distintos mecanismos a través de los cuales desarrolla el principio de participación ciudadana, para que los ciudadanos puedan ejercer control social y evaluación, principalmente a través del Sistema de Atención al Ciudadano SAC, a través del cual se definen, además de los canales, las políticas de interacción con la ciudadanía, mejoramiento continuo, transparencia, gestión oportuna, racionalización de trámites y colaboración institucional para la gestión de derechos de petición presentados por los ciudadanos (PQR) (peticiones, solicitudes de información, consultas, quejas/reclamos y denuncias), así como para las denuncias de actos de corrupción por parte de los usuarios, proveedores, contratistas, empleados y, en general, cualquier ciudadano. Durante el II semestre de 2022, el Banco culminó la Implementación del "nuevo sistema de atención al ciudadano", para la atención y relación con la ciudadanía, apoyado en una solución tecnológica en la nube y una solución integral bajo una herramienta tipo CRM (Customer Relationship Manager) que facilite y mejore la gestión de peticiones, solicitudes de información, quejas y reclamos, sugerencias (PQR), felicitaciones y denuncias, de acuerdo con los requerimientos identificados con las áreas, la normatividad vigente, y mejores prácticas, así como para el control y seguimiento de la gestión de PQR y denuncias en términos y trazabilidad. Lo anterior llevó a la actualización de procedimientos y lineamientos internos en relación con este tema.
- El Banco ha diseñado políticas y procedimientos relacionados con Instrumentos de gestión de información pública que desarrolla entre otros, los roles y responsabilidades en la publicación y divulgación de la información pública en el sitio web del Banco y en los sistemas de información del Estado, los lineamientos para la publicación de información en el sitio web del Banco, y el procedimiento para la actualización de los Instrumentos de Gestión de Información, todo ello, en concordancia con la Ley de Transparencia y las disposiciones de Mintic. Clasifica esta información como información pública disponible o información pública reservada o clasificada. Dentro de los Instrumentos de Gestión cuenta con un Programa de Gestión Documental - PGD, el Índice de Información Clasificada y Reservada - IICR, Registro de Activos de Información - RAI, y el Esquema de Publicación de Información - EPI.
- Se cuenta con el inventario de Información pública mínima requerida por normas de transparencia. El Banco ha establecido políticas y procedimientos relacionados con roles y responsabilidades para el cumplimiento de sus obligaciones sobre la recolección, almacenamiento, uso, circulación y supresión de los datos personales contenidos en bases de datos, así como las medidas de seguridad aplicables al tratamiento de Bases de Datos que contienen datos personales en particular con el manejo de incidentes de Seguridad de la información para proteger la información reservada y clasificada. El Código de conducta establece pautas sobre la protección de la información sensible del Banco por parte de los funcionarios. El Banco cuenta también con políticas y procedimientos definidos sobre seguridad de la Información y Ciberseguridad, cuyo objetivo es la protección de los activos estratégicos del Banco que dependen o usan las tecnologías de la información y las comunicaciones. Se ejecutan actividades de control sobre la integridad, confidencialidad y disponibilidad de los datos e información definidos como relevantes. El Banco desarrolla e implementa controles técnicos que facilitan la gestión de la información y la comunicación interna y externa de manera segura, apoyado en herramientas tecnológicas. Los trabajadores responsables por la generación y publicación de comunicaciones internas y externas deben velar por el cumplimiento de las Políticas de: i) Comunicación Interna y ii) Editorial de Portales y Medios de Divulgación; que incluyen un marco de gobierno y iii) los criterios establecidos en el Manual de Estándares de Usabilidad y Accesibilidad del Portal Corporativo; tales como: Clasificación o reserva, cumplimiento de obligaciones y derechos de terceros, período de silencio, uso restringido, derechos de autor, atributos del texto de las publicaciones y lenguaje inclusivo. Existen lineamientos sobre los responsables de autorizar la publicación de contenidos en redes sociales y otros medios de divulgación, por parte de las áreas del Banco. El Banco cuenta con lineamientos sobre los espacios de comunicación con el público para divulgar los mensajes de la institución utilizando las redes sociales: Facebook (Banco de la República) y Twitter (@BancoRepublica), @banrepcultural, @MuseoBanRep, @ConciertosBR). Así mismo, cuenta con un plan de divulgación y comunicaciones que busca definir una estrategia efectiva de comunicación con el fin de lograr la comprensión e interiorización del plan estratégico por parte de los empleados, aplicando la Política de Comunicación Interna y la Política Editorial de Portales y Medios de Divulgación.
- En el II semestre de 2022 se fortalecieron los lineamientos para el gobierno de portales y medios digitales, buscando desarrollar actividades que logren un portal más amigable, accesible y usable, con una navegación intuitiva, de fácil búsqueda. Así mismo, se actualizaron los lineamientos internos sobre transparencia activa: publicación y divulgación de la información pública e instrumentos de gestión de información. Se fortalecieron los procesos de manejo de información, a través de la actualización del Manual de Gestión Documental, en relación con la conservación de documentos del Banco.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El Banco de la República cuenta con políticas de comunicación interna, que establecen su marco de gobierno, así mismo define los roles, responsabilidades y procedimientos relacionados con las solicitudes para la realización de campañas de comunicación. El Banco cuenta con distintos mecanismos a través de los cuales desarrolla el principio de participación ciudadana, para que los ciudadanos puedan ejercer control social y evaluación, principalmente a través del Sistema de Atención al Ciudadano SAC, a través del cual se definen, además de los canales, las políticas de interacción con la ciudadanía, mejoramiento continuo, transparencia, gestión oportuna, racionalización de trámites y colaboración institucional para la gestión de derechos de petición presentados por los ciudadanos (PQR) (peticiones, solicitudes de información, consultas, quejas/reclamos y denuncias), así como para las denuncias de actos de corrupción por parte de los usuarios, proveedores, contratistas, empleados y, en general, cualquier ciudadano.
- El Banco ha diseñado políticas y procedimientos relacionados con Instrumentos de gestión de información pública que desarrolla entre otros, los roles y responsabilidades en la publicación y divulgación de la información pública en el sitio web del Banco y en los sistemas de información del Estado, los lineamientos para la publicación de información en el sitio web del Banco, y el procedimiento para la actualización de los Instrumentos de Gestión de Información, todo ello, en concordancia con la Ley de Transparencia y las disposiciones de Mintic. Clasifica esta información como información pública disponible o información pública reservada o clasificada. Dentro de los Instrumentos de Gestión cuenta con un Programa de Gestión Documental - PGD, el Índice de Información Clasificada y Reservada - IICR, Registro de Activos de Información - RAI, y el Esquema de Publicación de Información - EPI. Se cuenta con el inventario de Información pública mínima requerida por normas de transparencia.
- El Banco ha establecido políticas y procedimientos relacionados con roles y responsabilidades para el cumplimiento de sus obligaciones sobre la recolección, almacenamiento, uso, circulación y supresión de los datos personales contenidos en bases de datos, así como las medidas de seguridad aplicables al tratamiento de Bases de Datos que contienen datos personales en particular con el manejo de incidentes de Seguridad de la información para proteger la información reservada y clasificada. El Código de conducta establece pautas sobre la protección de la información sensible del Banco por parte de los funcionarios. El Banco cuenta también con políticas y procedimientos definidos sobre seguridad de la Información y Ciberseguridad, cuyo objetivo es la protección de los activos estratégicos del Banco que dependen o usan las tecnologías de la información y las comunicaciones. Se ejecutan actividades de control sobre la integridad, confidencialidad y disponibilidad de los datos e información definidos como relevantes.
- El Banco desarrolla e implementa controles técnicos que facilitan la gestión de la información y la comunicación interna y externa de manera segura, apoyado en herramientas tecnológicas. Los trabajadores responsables por la generación y publicación de comunicaciones internas y externas deben velar por el cumplimiento de las Políticas de: i) Comunicación Interna y ii) Editorial de Portales y Medios de Divulgación; que incluyen un marco de gobierno y iii) los criterios establecidos en el Manual de Estándares de Usabilidad y Accesibilidad del Portal Corporativo; tales como: Clasificación o reserva, cumplimiento de obligaciones y derechos de terceros, período de silencio, uso restringido, derechos de autor, atributos del texto de las publicaciones y lenguaje inclusivo. Existen lineamientos sobre los responsables de autorizar la publicación de contenidos en redes sociales y otros medios de divulgación, por parte de las áreas del Banco. El Banco cuenta con lineamientos sobre los espacios de comunicación con el público para divulgar los mensajes de la institución utilizando las redes sociales: Facebook (Banco de la República) y Twitter (@BancoRepublica), @banrepcultural, @MuseoBanRep, @ConciertosBR). Así mismo, cuenta con un plan de divulgación y comunicaciones que busca definir una estrategia efectiva de comunicación con el fin de lograr la comprensión e interiorización del plan estratégico por parte de los empleados, aplicando la Política de Comunicación Interna y la Política Editorial de Portales y Medios de Divulgación.
- Debilidades: No se identificaron debilidades
- Avance final del componente: 0%
5. COMPONENTE: MONITOREO
- ¿El componente está presente y funcionando?: Sí
- Nivel de Cumplimiento componente: 100%
- Estado actual: Explicación de las debilidades y/o Fortalezas:
- Fortalezas: El monitoreo del sistema de control interno del Banco se encuentra a cargo de órganos de gobierno como el Comité de Auditoría, el Comité Institucional de Coordinación de Control Interno. Son realizadas evaluaciones periódicas independientes por parte del Departamento de Control Interno, la Auditoria General y una firma de auditoría externa cuyo alcance para esta última es la auditoría financiera. Como resultado de las mencionadas evaluaciones y ante desviaciones identificadas se establecen planes de mejoramiento con los niveles jerárquicos apropiados para la mitigación de riesgos. Los resultados de las evaluaciones así como el seguimiento al cumplimiento de los planes de mejoramiento son informados al Comité de Auditoría y al Comité Institucional de Coordinación de Control Interno, donde se revisa sus impactos sobre el sistema de control interno del Banco. También son considerados los reportes de órganos externos de vigilancia, supervisión y control, y cuando aplica, ante posibles observaciones en dichos reportes son desplegadas medidas de mejora que también son objeto de seguimiento.
- El Comité de Auditoría aprueba anualmente el plan de trabajo del Departamento de Control Interno y supervisa durante el año y de manera periódica su ejecución. El Comité Institucional de Coordinación de Control Interno evalúa el funcionamiento del Sistema de Control Interno y realiza seguimiento a los compromisos adquiridos por la administración.
- El Comité de Riesgos, aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y de manera periódica hace seguimiento al estado del Sistema de Gestión Integral de Riesgos implementado por el Banco, el cual se ha venido fortaleciendo y es considerado un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas. El monitoreo de riesgos se realiza de manera periódica por parte del citado Comité a través de informes de riesgos de la segunda línea. ver componente "evaluación de riesgos".
- En el segundo semestre de 2022 el Banco ha mantenido y fortalecido su esquema de monitoreo al sistema de control interno. Se ha venido fortaleciendo de manera importante el monitoreo realizado por la segunda línea. La tercera línea ha venido fortaleciendo su función de monitoreo al sistema de control interno, mediante la aplicación del enfoque basado en riesgos considerado en su planeación de trabajo anual aprobado por el Comité de Auditoría.
- Debilidades: No se identificaron debilidades.
- Nivel de Cumplimiento componente presentado en el informe anterior: 100%
- Estado del componente presentado en el informe anterior:
- Fortalezas: El monitoreo del sistema de control interno del Banco se encuentra a cargo de órganos de gobierno como el Comité de Auditoría, el Comité Institucional de Coordinación de Control Interno. Son realizadas evaluaciones periódicas independientes por parte del Departamento de Control Interno, la Auditoria General y una firma de auditoría externa cuyo alcance es la auditoría financiera. Como resultado de las mencionadas evaluaciones y ante desviaciones identificadas se establecen planes de mejoramiento con los niveles jerárquicos apropiados para la mitigación de riesgos. Los resultados de las evaluaciones así como el seguimiento al cumplimiento de los planes de mejoramiento son informados al Comité de Auditoría y al Comité Institucional de Coordinación de Control Interno, donde se revisa sus impactos sobre el sistema de control interno del Banco. También son considerados los reportes de órganos externos de vigilancia, supervisión y control, y cuando aplica, ante posibles observaciones en dichos reportes son desplegadas medidas de mejora que también son objeto de seguimiento.
- El Comité de Auditoría aprueba anualmente el plan de trabajo del Departamento de Control Interno y supervisa su ejecución. El Comité Institucional de Coordinación de Control Interno evalúa el funcionamiento del Sistema de Control Interno y realiza seguimiento a los compromisos adquiridos por la administración.
- El Comité de Riesgos, aprueba las políticas del Sistema de Gestión Integral de Riesgos -SIGR, define el apetito de riesgo, la tolerancia y los límites de exposición, aprueba las metodologías que soportan el SGIR y de manera periódica hace seguimiento al estado del Sistema de Gestión Integral de Riesgos implementado por el Banco, el cual se ha venido fortaleciendo y es considerado un pilar fundamental para apoyar la toma de decisiones estratégicas y operativas. El monitoreo de riesgos se realiza de manera periódica por parte del citado Comité a través de informes de riesgos de la segunda línea.
- En el primer semestre de 2022 el Banco ha mantenido y fortalecido su esquema de monitoreo al sistema de control interno. Se ha venido fortaleciendo de manera importante el monitoreo realizado por la segunda línea. La tercera línea ha venido fortaleciendo su función de monitoreo al sistema de control interno, mediante la aplicación del enfoque basado en riesgos considerado en su planeación de trabajo anual aprobado por el Comité de Auditoría.
- Debilidades: No se identificaron debilidades.
- Avance final del componente: 0%