Tecnología de Información y Fraude

En esta semana Adobe ha anunciado que ha sido objeto de un importante ataque informático, en el que se han visto comprometidos los datos confidenciales y personales de millones de sus clientes. Los hackers han obtenido acceso a las ID de cliente de Adobe y contraseñas encriptadas de aproximadamente 2,9 millones de clientes de la compañía. Como resultado del ataque, se han visto expuestos los nombres de los clientes, números cifrados de tarjetas de débito y crédito, fechas de vencimiento y otra información relativa a los pedidos del cliente, informa ZD Net.

Situaciones como estas podrían poner los nervios de puntas a cada auditor interno de esta prestigiosa organización, por lo que deberíamos preguntarnos:

¿Estamos los auditores internos latinoamericanos listos para ayudar a nuestras organizaciones a hacer frente a situaciones como estas?

La actividad de auditoría interna debe evaluar si el gobierno de tecnología de la información de la organización apoya las estrategias y objetivos de la organización.

¿Qué es Gobierno de tecnología de la información?

Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización.

Las Normas son claras los auditores internos deben tener conocimientos suficientes:

-De los riesgos y controles clave en tecnología de la información y de las técnicas de auditoría interna disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado.

Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información.

-Para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.

El auditor interno debe ejercer el debido cuidado profesional al considerar:

1.El alcance necesario para alcanzar los objetivos del trabajo;

2.La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento;

3.La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;

4.La probabilidad de errores materiales, fraude o incumplimientos; y

5.El coste de aseguramiento en relación con los beneficios potenciales.

Por lo que es necesario el preocuparnos por adquirir conocimientos sobre tecnología de la información el Instituto de Auditores Internos Global (IIA) ha emitido varias Guías de Auditoría de Tecnología Global (GTAG por sus siglas en inglés); las Guías de Auditoría de Tecnología son un componente fuertemente recomendado para su aplicación, dentro del Marco para la Práctica Profesional de la Auditoría Interna (IPPF por sus siglas en inglés). Identifican diversos niveles de conocimiento de TI necesarios en toda la organización para proporcionar un “enfoque sistemático y disciplinado que permita evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”. Las publicaciones GTAG destacan que los conocimientos sobre cómo se utilizan las TI, sus riesgos asociados y la capacidad de utilizar las TI como recursos son esenciales para que el auditor interno sea eficaz en todos los niveles.

Existen tres GTAG que debemos familiarizarnos para ayudarnos a enfrentar problemas como el ocurrido en Adobe, estas son:

Guía de Auditoría de Tecnología Global (GTAG) 3 - Auditoría continúa: implicancias para el aseguramiento, la supervisión y la evaluación de riesgos

Esta GTAG se centra en aspectos de la auditoría continua basados en la tecnología y explica:

-Una reseña y los antecedentes de conceptos similares empleados a lo largo de los últimos 30 años.

-Una definición de términos y técnicas relacionados: auditoría continua, evaluación continua de riesgos, evaluación continua de control, supervisión continua y aseguramiento.

-El rol de la auditoría continua en relación con la supervisión continua.

-Las áreas en las cuales, una auditoría continua, puede ser aplicada por la actividad de la auditoría interna.

-Los desafíos y las oportunidades relacionados con la auditoría continúa.

-Las implicancias para la auditoría interna, el DEA y la dirección.

-Una herramienta de autoevaluación de auditoría continúa.

Guía de Auditoría de Tecnología Global (GTAG) 4 - Gestión de auditoría de tecnología de la información

Esta guía ha sido creada para asistir al Director Ejecutivo de Auditoría Interna

(DEA) en la planificación y gestión de la función de auditoría de TI con mayor eficacia y eficiencia, y contempla lo siguiente:

-Definir la TI – ¿Qué áreas se deben tener en cuenta para incluir en el plan de auditoría de TI? El DEA debe poder medir el alcance de la auditoría de TI previsto contra las pautas presentadas aquí para asegurar que el alcance de los procedimientos de auditoría de TI es adecuado.

-Evaluar los riesgos asociados a la TI – Está claro que la evolución de la TI conlleva nuevos riesgos para la organización. Esta guía asistirá a la dirección ejecutiva de auditoría interna a determinar la mejor manera de identificar y cuantificar los riesgos relacionados con la TI. Esto les ayudará a asegurarse de que los procedimientos y recursos de auditoría de TI se centren en las áreas que representan el mayor riesgo para la organización.

-Definir el universo de auditoría de TI – Normalmente los recursos para la auditoría de TI son escasos, y los requerimientos de auditoría de TI son sustanciales. La sección para la definición del universo de auditoría puede ayudar al DEA a comprender cómo construir un plan de auditoría de TI que logre un equilibrio entre las necesidades de auditoría de TI y las limitaciones de los recursos.

-Ejecutar la auditoría de TI – La proliferación y complejidad de la TI provoca la necesidad de elaborar nuevos procedimientos de auditoría de TI.

Guía de Auditoría de Tecnología Global (GTAG) 6: Gestión y auditoría de puntos vulnerables de tecnología de la información

Esta guía fue desarrollada para ayudar a los directores ejecutivos de auditoría (DEA, en inglés) a formular las preguntas correctas al personal de seguridad de TI, cuando evalúan la eficacia de sus procesos de gestión de puntos vulnerables. La guía recomienda prácticas de gestión específicas para asistir a la organización en el logro y sostenimiento de altos niveles de eficacia y eficiencia, a la vez que ilustra las diferencias entre los esfuerzos, de alto y bajo rendimiento, de gestión de puntos vulnerables.Después de leer esta guía, usted podrá realizar lo siguiente:

-Tener conocimiento práctico de los procesos de gestión de puntos vulnerables.

-Tener la habilidad de poder diferenciar entre organizaciones de alto y bajo rendimiento en cuanto a gestión de puntos vulnerables.

-Familiarizarse con el avance típico de niveles de capacidad, desde un enfoque basado en la tecnología, a un enfoque basado en el riesgo y, por último, a un  enfoque basado en un proceso de TI.

-Proporcionar una guía útil a la dirección de TI sobre mejores prácticas para la gestión de puntos vulnerables.

-Poder vender sus recomendaciones más eficazmente al Director de TI (DTI), Director de Seguridad de la Información (CISO, en inglés), Presidente (CEO) y al Director Financiero (CFO, en inglés).

Por: Nahunfrett reconocido conferencista especializado en temas sobre auditoría.

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas de ningún individuo o entidad en particular. No tiene motivos económicos y no se puede entender como una asesoría al tema expuesto por el autor.

Read More

¿COSO III, cuál es su alcance?

Por Jesús Aisa Díez 

Después de varios años de preparación, ha sido publicado el Marco sobre Control Interno actualizado, pasando a identificarse de forma coloquial como COSO III. Dando así continuidad a la saga de los COSO´s, iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente ampliada con el Enterprice Risk Management (ERM), año 2004, o COSO II.

Desde mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de entender, y atender, el control interno de las organizaciones, con el documento del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo, en concreto, la descripción del  proceso de gestión de los riesgos, por lo que se detallaban, como nuevos elementos: (I) el establecimiento de los objetivos empresariales, (ii) la identificación de eventos que pudiesen afectarles y (iii) las respuestas a los riesgos. Aparte de considerar que los objetivos deben ser consecuentes con la estrategia fijada por la Organización.

Con esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos protocolos, entendimos que la administración de riesgos era uno de los elementos fundamentales del Sistema de Control Interno con el que lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. En sentido inverso la afirmación contraria también es cierta, ya que no puede existir una adecuada gestión de los riesgos, si en la empresa no impera un buen control interno. Por ello la versión de COSO relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés, la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.

Por todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los objetivos del control interno no debían limitarse a la “fiabilidad de la información financiera”, sino que debía darse cabida a todo tipo de información, no solo la financiera. También que el orden de los elementos, fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el nivel más alto del cubo que gráficamente lo representaba, reconociendo así la validez del criterio “Tone at the top”, que nos indicaba que un buen tono en la parte superior se consideraba como un requisito previo para conseguir un adecuado y sólido gobierno corporativo. Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos operacionales, de reporting o de cumplimiento normativo, debían fijarse de forma coherente con los objetivos estratégicos previamente definidos, los cuales derivaban de la estrategia de la Organización, que era lo primero que había que conocer.

Hasta aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que 9 años después de publicarse ERM, se difunde una nueva versión de COSO I, actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a 5, no haciendo referencia explícita al: Establecimiento de objetivos, Identificación de eventos y Respuesta a los riesgos; aunque el correspondiente a “evaluación de riesgos” sí admite de  manera inequívoca que la evaluación de riesgos debe incluir la identificación de los riesgos, su análisis y la respuesta que sea precisa. Adicionalmente se da entrada a los conceptos de la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo, e incluyendo como novedad, ahora sí, los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se comenta que este ahora viene acompañado de dos nuevos y novedosos documentos: el correspondiente al Control Interno sobre la información financiera externa (ICEFR) y lasherramientas de evaluación a emplear para valorar la eficacia del control interno; olvidándose, al parecer, que en el año 2006 el propio COSO publicó el documento“Control Interno para la información financiera para Pequeñas empresas cotizadas”, y en el 2009, la Guía para la Supervisión de Sistemas de Control Interno”.

Adicionalmente se expone que se habilita un proceso de transición para la entrada en vigor del nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del 2014, siendo  efectiva hasta ese momento COSO I.

Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los cambios son necesarios, por qué el periodo de transición de 18 meses, (ii) desde cuando COSO es de obligado cumplimiento en la gestión del Control Interno/ Sistemas de gestión de Riesgos para que haya que informar si hemos actuado según COSO I o COSO III, (iii) es realmente útil y, sobre todo factible, empezar a emplear mapas de riesgos multidimensionales.

Por último, no sé si los cambios de  COSO III conducirán a que pronto aparecerá un nuevo COSO IV, que sería el COSO II con los cambios que se deriven de la nueva versión del Marco Integrado de Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.

Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los riesgos según el método clásico midiendo “solo” su impacto y probabilidad.

Por Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas de ningún individuo o entidad en particular. No tiene motivos económicos y no se puede entender como una asesoría al tema expuesto por el autor.

Read More

Referencia a un Modelo de Auditoría Óptimo

Por 

Jesús Aisa Díez

Por mis años de actividad, y responsabilidades, en la Unidad Corporativa de una gran multinacional española del sector de las telecomunicaciones, he tenido la oportunidad de conocer sus fortalezas y,  porque no decirlo, también sus oportunidades de mejora, las cuales fuimos, en la medida de lo posible, implementándolas según tuvimos oportunidad de ello.

Respecto de las fortalezas, creo que una de ellas es su estructura funcional, en la que se incluyen tres Unidades independientes: (i) la Auditoría Interna, (ii) la Inspección y (iii) la Intervención. Con lo que su ámbito de actuación integral, como más adelante veremos, incide en todas las áreas que actualmente son identificadas como relevantes, tales como la lucha contra los fraudes, aunque este sea uno de los capítulos que más le está costando al  Institute of Internal Auditors reconocer como aspecto que no se escapan del alcance de las Auditorías Internas, pues basta recordar que, aún hoy, en su Norma 1210. A2 señala que: “los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude”.(Texto que entra en contradicción con indicado en la N 1210.A3, referida a los riesgos y controles claves en tecnología de la información, cuando solo cita que: no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información. Nadie es perfecto, y el IAI tampoco).

En el ámbito de la actividad auditora respecto al fraude, creo oportuno fijar nuestra atención en algunos aspectos que nos vienen a demostrar la innegable “responsabilidad” de los equipos de auditoría interna en la supervisión de este aspecto básico del control interno, como por ejemplo cuando el propio IAI  nos indica, como objetivos de la función auditora,  la evaluación de la eficacia de los procesos de gestión de riesgos y controles, relativos a la protección de activos, o lo que es lo mismo su integridad patrimonial, es decir la lucha contra los fraudes. En este sentido la actualización reciente de COSO I, incluye: como principio nº 8, el correspondiente a que: las organizaciones deben considerar la posibilidad de fraude en su evaluación de riesgos para el logro de sus objetivos.   

Pero volvamos a la estructura de la compañía a la que nos referimos, y aclaremos las funciones a desempeñar por las distintas unidades que lo componen.

 La unidad de Auditoría Interna asume la actividad habitual de la actividad auditora, por lo que su misión es la supervisión de los procesos, a fin de poder garantizar razonablemente: su eficiencia y eficacia, el cumplimiento de las leyes y normas que sean de aplicación, así como la fiabilidad de la información generada/distribuida.

Mientras que la denominada Inspección, que es lo que últimamente y aplicando un calificativo anglosajón, como prueba de su utilidad, se denomina forensic audit, la cual se ocupa de la investigación de los hechos fraudulentos, tanto en forma preventiva, como de forma correctiva. En forma coloquial podemos decir que las Unidades de Auditoría se ocupan de los “usos”, mientras que las de Inspección se dedican a los “abusos”.Como ejemplo de lo que subyace en lo que acabamos de decir, podemos señalar que Auditoría se dedica a la supervisión, por ejemplo, del proceso de compras en genérico, intentando opinar sobre él para mejorar su eficacia y eficiencia, mientras que la inspección se ocuparía de investigar lo que ha podido ocurrir en un determinado proceso de compras donde se han evidenciado irregularidades, identificando las causas y los responsables de los hechos acontecidos.

Por último nos quedaría la Intervención, la cual, en términos iberoamericanos, la podríamos identificar con “contraloría”, ya que es aquella que, por la relevancia de determinados controles, los mismos son realizados por la propia Unidad de Intervención, tales, como, por ejemplo, las firmas mancomunadas en la ordenación de pagos, en los que los especialistas de Auditoría que se encargan de la Intervención, asumen esta segregación de funciones, no progresando ningún compromiso de pago, lo pida quien lo pida, si el interventor no da su conformidad a la oportunidad del mismo, tanto en tiempo como en forma. Entre ellos las nóminas y suplidos de los empleados de la Organización.

Una característica de este modelo, aparte del de su probada eficacia, es que las tres áreas están interrelacionadas, puesto que Auditoría, si observa debilidades de control en algún proceso, se lo trasladaría a la de Inspección para que indague si, aprovechándose de esa circunstancia, se hubiesen producido fraudes. En sentido contrario, si Inspección detectase  fallos en algún proceso que posibilitasen la ocurrencia de fraudes, esta incidencia se pondría en conocimiento de Auditoría para que analizase las oportunidades de mejora del citado proceso. Por último el área de intervención, al ser un control operativo existente en determinados procesos, también será susceptible de ser auditado/ inspeccionado; lo mismo que las áreas de auditoría e inspección son “intervenidas” en todos los documentos generadores de desembolsos generados por dichas unidades.

El conjunto de las actividades de estas tres áreas, todas ellas dirigidas y coordinadas por el Director Ejecutivo de Auditoría, creo que aporta un plus de eficacia que entiendo conveniente recomendar, aunque para ello debamos tener especialistas en cada una de ellas, ya que las técnicas aplicadas no son idénticas, e incluso pueden diferir en algunos aspectos, como sucede, por ejemplo, en la distribución de los informes de la Auditoría y de la Inspección, ya que los de esta última, dado su carácter reservado, deben tener una distribución restringida y selectiva. 

Espero que, al menos, con estas líneas haya podido abrir una vía de debate sobre el tema. Si fuese así me alegraría.

Por 

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.

Read More

Decreto Número 2616 del 20 de noviembre de 2013 el cual regula la cotización para trabajadores dependientes que laboran por períodos inferiores a un mes

  MINISTERIO DEL TRABAJO

 DECRETO NÚMERO 2616 DEL 20 DE NOVIEMBRE DE  2013

Ver documento Oficial 

 "Por medio del cual se regula la cotización a seguridad social para trabajadores dependientes que laboran por períodos inferiores a un mes, se desarrolla el  mecanismo financiero y operativo de que trata el artículo 172 de la Ley 1450 de 2011 y se dictan disposiciones tendientes a lograr la formalización laboral de los trabajadores informales"

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

En ejercicio de sus facultades constitucionales y legales, en especial las previstas  en el numeral 11 del artículo 189 de la Constitución Política, en el artículo 7° de la Ley 21 de 1982, en el artículo 17 de la Ley 100 de 1993, en el artículo 172 de la Ley 1450 de 2011 yen el artículo 2° de la Ley 1562 de 2012 y

CONSIDERANDO:

Que el trabajo es un derecho y un deber de las personas, protegido constitucionalmente y que es obligación del Estado garantizar su acceso en condiciones dignas y justas.

Que el artículo 48 de la Constitución Política señala que la seguridad social es un servicio público de carácter obligatorio que se presta con sujeción a los principios de eficiencia, universalidad y solidaridad, que se le debe garantizar a todos los habitantes como un derecho irrenunciable y que el Estado está llamado a ampliar progresivamente su cobertura.

Que esta disposición constitucional es compatible con los artículos 2° y 9° del Pacto Internacional de Derechos Económicos, Sociales y Culturales, los cuales señalan que los Estados Partes se comprometen a adoptar medidas, especialmente económicas y técnicas para lograr progresivamente, por todos los medios apropiados, en particular la adopción de medidas legislativas, la plena efectividad de los derechos entre los cuales está el de toda persona a la seguridad social.

Que el artículo 53 de la Constitución Política establece entre los principios mínimos fundamentales del trabajo, la garantía a la seguridad social, la igualdad de oportunidades para los trabajadores y la primacía de la realidad sobre las formalidades establecidas por los sujetos de las relaciones laborales.

Que el Convenio 175 de 1994 de la Organización Internacional del Trabajo (OIT), sobre el trabajo a tiempo parcial, reconoce ".. .Ia importancia que presenta para todos los trabajadores el contar con un empleo productivo y libremente elegido, la importancia que tiene para la economía el trabajo a tiempo parcial; la necesidad que en las políticas de empleo se tenga en cuenta la función del trabajo a tiempo parcial como modo de abrir nuevas posibilidades de empleo y la necesidad de asegurar la protección de los trabajadores a tiempo parcial en los campos del acceso al empleo, de las condiciones de trabajo y de la seguridad social."

Que el Convenio 189 de 2011 de la OIT adoptado en nuestra legislación interna mediante la Ley 1595 de 2012, establece directrices para fortalecer el trabajo decente para las trabajadoras y trabajadores del servicio doméstico y equipararlos, dada su actual informalidad, en general con los demás trabajadores, con el fin de que puedan disfrutar de condiciones de empleo equitativas y condiciones de trabajo decente, buscando igualmente su inserción a los sistemas de pensiones y de riesgos laborales, con el fin de obtener protección para los respectivos riesgos.

Que el artículo 6° de la Ley 100 de 1993 establece la necesidad de garantizar la vinculación al Sistema General de Seguridad Social en los sistemas de pensiones y riesgos laborales, de aquellas personas dependientes que perciben ingresos inferiores al salario mínimo legal.

Que el artículo 18 de la Ley 100 de 1993, modificado por el artículo 5° de la Ley 797 de 2003, que regula el ingreso base de cotización al Sistema General de Pensiones, fue objeto de análisis de constitucionalidad en la sentencia C-967 de 2003 (M.P. Marco Gerardo Momoy Cabra), a través de la cual la Corte Constitucional declaró su exequibilidad en relación con la modificación que eliminó la excepción contenida en la Ley 11 de 1988, según la cual los trabajadores del servicio doméstico podían cotizar sobre un valor menor al salario mínimo mensual, siempre que no fuera inferior al 50% del mismo.

Que permitir a algunas personas cotizar sobre una base inferior al salario mínimo no se opone a la precitada interpretación que hizo la Corte Constitucional, toda vez que la jurisprudencia no ha señalado que la obligación de cotizar sobre al menos un salario mínimo sea un imperativo constitucional o que no se puedan adoptar medidas que permitan cotizar sobre montos inferiores al salario mínimo mensual, ni ha impedido que el salario mensual sea dividido por periodos. En este último sentido, la Corte ha reconocido el salario mínimo diario cuando se determina "proporcionalmente a partir de la suma establecida como mínimo legal mensual', proporción que se toma en el presente decreto, pero agrupado en cuatro niveles o franjas de ingresos, para permitir el acceso de los trabajadores informales al Sistema de Seguridad Social.

Que está regulado el salario mínimo legal diario para aquellos trabajadores que laboren por períodos inferiores a un mes, circunstancia que no afecta su derecho irrenunciable a acceder al Sistema de Seguridad Social Integral.

Que el presente decreto aplica el principio de la interpretación conforme e instrumentaliza la ampliación progresiva de la cobertura en el Sistema de Seguridad Social, mandato Constitucional contenido en el artículo 48.

Que el principio de progresividad se concreta en este decreto al aplicar una metodología que permite cotizar, respetando el referente material del salario mínimo mensual al utilizar proporciones del mismo, a un sector importante de trabajadores dependientes que hoy son informales y que por devengar menos de un salario mínimo, generalmente no se integran al sistema de seguridad social.

Que con el fin de que una persona que aporte por semanas a pensiones y no logre  cumplir con los requisitos para obtener la pensión al llegar a la edad establecida en la Ley, tenga un ingreso en su vejez, esta norma armoniza lo dispuesto en el inciso 12 del artículo 48 de la Carta Política, la Ley 1328 de 2009 y el Decreto 604 de 2013, permitiendo que sus cotizaciones pasen al sistema de Beneficios Económicos Periódicos,

Que la Ley 1562 de 2012, por la cual se modifica el Sistema de Riesgos Laborales  y se dictan otras disposiciones en materia de Seguridad y Salud en el Trabajo, indicó en su artículo 20 que son afiliados a dicho sistema todos los trabajadores dependientes nacionales o extranjeros, vinculados mediante contrato de trabajo escrito o verbal y los servidores públicos.

Que la Ley 1429 de 2010 fijó los parámetros para la formalización y la generación de empleo definiendo como informalidad por subsistencia "aquella que se caracteriza por el ejercicio de una actividad por fuera de los parámetros legalmente constituidos, por un individuo, familia o núcleo social para poder garantizar su mínimo vital."

Que conforme al numeral 4° del artículo 7°  de la Ley 21 de 1982, todos los empleadores en Colombia "que ocupen uno o más trabajadores permanentes" están obligados a pagar el subsidio familiar, lo que se materializa a través de la afiliación de los mismos al Sistema de Compensación Familiar, mediante su vinculación a una Caja de Compensación Familiar.

Que el artículo 6° del Código Sustantivo del Trabajo define el trabajo ocasional, accidental o transitorio como "aquel de corta duración y no mayor de un mes, que se refiere a labores distintas de las actividades normales del empleador"; en ese sentido, los trabajadores a tiempo parcial no son por esencia trabajadores ocasionales, pues su labor ordinariamente se presta en condiciones de habitualidad y permanencia.

Que tal como lo disponen los artículos 1° de la Ley 21 de 1982 y 151 de la Ley 1450 de 2011, el subsidio familiar es una prestación social de los trabajadores en Colombia y que la misma no puede ser desconocida para ninguna persona que ostente la condición de trabajador en el país y cumpla los requisitos legales para acceder a ella.

Que la Ley 789 de 2002 define el Sistema de Protección Social como un conjunto de políticas orientadas a mejorar la calidad de vida y obtener como mínimo el derecho a la salud, la pensión y al trabajo, contemplando la afiliación a las Cajas de Compensación Familiar, como elemento necesario de la formalización laboral.

Que los trabajadores informales, aun prestando personalmente sus servicios en una relación subordinada y remunerada, generalmente son excluidos de la afiliación a los sistemas de pensiones, riesgos laborales y subsidio familiar, lo que implica su desprotección en materia de seguridad social.

Que la Ley 1450 de 2011 dispuso como objetivo del Plan Nacional de Desarrollo 2010- 2014, formalizar el empleo y reducir los índices de pobreza y prescribe entre los mecanismos para su ejecución, la igualdad de oportunidades para la prosperidad social, a partir del diseño de un esquema financiero y operativo que posibilite la vinculación de los trabajadores informales por subsistencia a los sistemas de pensiones y de riesgos laborales; por lo tanto, se hace necesario adoptar el mecanismo que permita la afiliación, cotización y recaudo en los Sistemas de Pensiones y Riesgos Laborales de esos trabajadores.

Que el artículo 171 de la Ley 1450 de 2011 dispone que la afiliación a la seguridad social de los trabajadores que laboren por periodos inferiores a un mes o por días y que por lo tanto perciban ingresos por debajo de un salario mínimo legal mensual vigente, se realizará mediante su cotización, "de acuerdo con el número de días laborados y sobre un monto no inferir a un salario mínimo diario legal vigente, de conformidad con los límites mínimos que se establezcan",

Que la Comisión Intersectorial de Pensiones y Beneficios Económicos Periódicos, en sesión llevada a cabo el 21 de febrero de 2013, consideró conveniente que el Gobierno Nacional adopte un modelo financiero y operativo con el cual se garantice que los trabajadores a tiempo parcial, tengan acceso a las prestaciones de los Sistemas de Pensiones y Riesgos Laborales, con el fin de protegerlos de los riesgos laborales y los inherentes a la vejez y que cuenten con los beneficios que prestan las Cajas de Compensación Familiar, cumpliendo así con un mandato legal.

En mérito de lo expuesto

DECRETA:

Capítulo I

Disposiciones Generales

Artículo 1. Objeto. El presente Decreto tiene por objeto adoptar el esquema  financiero y operativo que permita la vinculación de los trabajadores dependientes que laboren por períodos inferiores a un mes, a los Sistemas de Pensiones, Riesgos Laborales y Subsidio Familiar, con el fin de fomentar la formalización laboral.

Artículo 2. Campo de aplicación. El presente decreto se aplica a los trabajadores dependientes que cumplan con las siguientes condiciones, sin perjuicio de las demás que les son de su naturaleza:

a. Que se encuentren vinculados laboralmente.

b. Que el contrato sea a tiempo parcial, es decir, que en un mismo mes, sea contratado por periodos inferiores a treinta (30) días.

c. Que el valor que resulte como remuneración en el mes, sea inferior a un (1) salario mínimo mensual legal vigente.

Parágrafo. El presente decreto no se aplicará a los trabajadores afectados por una reducción colectiva o temporal de la duración normal de su trabajo, por motivos económicos, tecnológicos o estructurales. El traslado de un trabajo a tiempo completo a un trabajo a tiempo parcial, o viceversa deberá ser voluntario.

Capítulo II

Condiciones operativas de la vinculación a los Sistemas de Pensiones, Riesgos Laborales y Subsidio Familiar

Artículo 3. Afiliación a los Sistemas de Pensiones, Riesgos Laborales y Subsidio Familiar. La afiliación del trabajador a los Sistemas de Pensiones, Riesgos Laborales y Subsidio Familiar será responsabilidad del empleador y se realizará en los términos que establecen las normas generales que rigen los diferentes sistemas, a través de las Administradoras de Pensiones, Administradoras de Riesgos Laborales y Cajas de Compensación Familiar autorizadas para operar.

Artículo 4. Selección y afiliación. Para la afiliación al Sistema General de Pensiones, el trabajador seleccionará una única administradora de pensiones.

Para la afiliación al Sistema General de Riesgos Laborales y del Subsidio Familiar, corresponderá al empleador efectuar la selección de la Administradora de Riesgos Laborales y de la Caja de  Compensación Familiar.

Capítulo III

Condiciones financieras de la vinculación a los Sistemas de Pensiones, Riesgos Laborales y del Subsidio Familiar

Artículo 5. Base de cotización mínima semanal a los sistemas de seguridad social para los trabajadores a que se refiere el presente decreto. En el Sistema de Pensiones, el ingreso base para calcular la cotización mínima mensual de los trabajadores a quienes se les aplica el presente decreto, será el correspondiente a una cuarta parte (1/4) del salario mínimo mensual legal vigente, el cual se denominará cotización mínima semanal.

Para el Sistema de Riesgos Laborales, el ingreso base de cotización será el salario mínimo legal mensual vigente.

Artículo 6. Monto de las cotizaciones al Sistema General de Pensiones, Subsidio Familiar y Riesgos Laborales. Para el Sistema General de Pensiones y del Subsidio Familiar, se cotizará de acuerdo con lo señalado en la siguiente tabla:

Días laborados en el mes	Monto de la cotización
Entre 1 y 7 días	Una (1) cotización mínima semanal
Entre 8 y 14 días	Dos (2) cotizaciones mínimas semanales
Entre 15 y 21 días	Tres (3) cotizaciones mínimas semanales
Más de 21 días	Cuatro (4) cotizaciones mínimas semanales (equivalen a un salario mínimo mensual)

 Los valores semanales citados en este artículo, se refieren al valor mínimo semanal calculado en el artículo 8° del presente decreto.

Artículo 7. Porcentaje de cotización. El monto de cotización que le corresponderá al empleador y al trabajador, se determinará aplicando los porcentajes establecidos en las normas generales que regulan los Sistemas de Pensiones, Riesgos Laborales y Subsidio Familiar.

Artículo 8. Tablas. De conformidad con lo señalado en el los artículos precedentes, el valor semanal del pago se calcula como se ilustra a continuación:

1. Valor de cotización    mínima semanal a cargo del empleador en cada sistema:

Pago mínimo semanal a cargo del empleador	Valor Mínimo semanal ($)
A. Seguridad Social	20.762
Pensiones (12% del SMMlV/4)	17.685
Riesgos laborales (Riesgo I =0,522%* del SMMlV) ** Valor variable según el riesgo de la actividad del empleador	3.077** Valor mensual
B. Parafiscalidad	5.895
Cajas de Compensación (4% del SMMlV/4)	5.895
C. Total (A+B)	26.657

*En la tabla se especifica un ejemplo de empresa con actividad económica de riesgos laborales I

**En riesgos laborales el valor a pagar será igual al valor mensual.

2.Valores mínimos a cargo del trabajador para el Sistema de Pensiones:

Pago mínimo semanal a cargo del trabajador	Mínimo semanal ($)
Pensiones (4% del SMMlV/4)	5.895
Total	5.895

Parágrafo 1. Los valores señalados en las tablas contenidas en el presente  artículo son ilustrativos y calculados sobre el salario mínimo mensual legal vigente 'SMMLV' del año 2013, por lo tanto se ajustarán anualmente según el incremento oficial del salario mínimo mensual.

Parágrafo 2. El porcentaje de cotización al Sistema General de Riesgos Laborales se aplicará de conformidad con la clasificación de actividades económicas establecida en el Decreto 1607 de 2002 o la norma que lo modifique, adicione o sustituya.

Capítulo IV

Contabilización de semanas en el Sistema General de Pensiones

Artículo 9. Contabilización de las semanas en el Sistema General de Pensiones. Para efectos de la contabilización de las semanas en el Sistema General de Pensiones, las administradoras reconocerán como una (1) semana, el rango entre un (1) día y siete (7) días laborados, tomados para el cálculo del monto de la cotización. Si el empleador toma cuatro (4) días laborados para el cálculo, el Sistema reconocerá una (1) semana; si toma ocho (8) días laborados, el sistema reconocerá dos (2) semanas y así sucesivamente. .

Capítulo V

Mecanismos y oportunidad para el recaudo

Artículo 10. Mecanismos de recaudo. El mecanismo de recaudo en los Sistemas de Pensiones, Riesgos Laborales y Cajas de Compensación Familiar, será el de la Planilla Integrada de Liquidación de Aportes (PILA). El modelo operativo que se adopte para actualizar el sistema PILA a fin de cobijar a los trabajadores a que se refiere el presente decreto, incorporará un esquema de reporte a los operadores de información y bancarios de carácter unificado o por grupos de trabajadores, que permita controlar los costos de operación.

Si la reglamentación vigente para la Planilla Integrada de Liquidación de Aportes no contiene los elementos que permitan realizar las cotizaciones en los términos que señala el presente decreto, se dispondrá de un plazo de dos (2) meses para que el Ministerio de Salud y Protección Social o quien haga sus veces, realice los ajustes pertinentes.

Artículo 11. Oportunidad para el pago de las cotizaciones. La cotización a los Sistemas de Pensiones, Riesgos Laborales y Subsidio Familiar se realizará en los plazos establecidos en las normas generales que los rigen. El empleador realizará las cotizaciones reportando el número de días que laboró el trabajador durante el mes correspondiente; para el Sistema de Riesgos Laborales la cotización será mensual.

Artículo 12. Multiplicidad de empleadores. Cuando un trabajador tenga simultáneamente más de un contrato de trabajo, cada empleador deberá efectuar de manera independiente las cotizaciones correspondientes a los diferentes Sistemas señalados en el presente decreto, en los términos del régimen aplicable a cada uno de ellos.

Artículo 13. Prohibición de multiafiliación. En el evento en que el trabajador cuente con más de una relación laboral, deberá informar a sus empleadores la administradora de pensiones seleccionada, con el fin de que estos últimos realicen su afiliación y cumplan sus obligaciones en una única administradora de pensiones.

Artículo 14. Control a la evasión y la elusión. El Gobierno Nacional deberá adoptar los controles que permitan detectar cuando un trabajador que tiene varios empleadores, perciba una remuneración superior a un (1) salario mínimo mensual legal vigente, así como cuando los empleadores utilicen este mecanismo para evadir las cotizaciones que les corresponden por sus trabajadores, a partir de sus ingresos reales. Para el efecto, la Unidad de Gestión de Pensiones y Parafiscales 'UGPP', deberá ajustar sus procedimientos para realizar una apropiada fiscalización sobre estas cotizaciones.

Capítulo VI

Beneficios y servicios

Artículo 15. Beneficios y servicios. La cotización a los sistemas de qué trata el  presente decreto, otorga derecho a los beneficios y servicios en los términos regulados en las respectivas leyes y normas reglamentarias.

Capítulo VII

Disposiciones finales

Artículo 16. Mínimo de derechos y garantías de los trabajadores a que hace referencia el presente decreto. Las normas sobre salarios, jornada de trabajo, prestaciones sociales, vacaciones y demás que les sean aplicables en virtud de lo establecido en el Código Sustantivo del Trabajo, constituyen el mínimo de derechos y garantías consagradas en favor de los trabajadores a tiempo parcial, por lo tanto no produce efecto alguno cualquier estipulación que pretenda afectar o desconocer tales derechos.

Artículo 17. Medidas Especiales. El Ministerio del Trabajo, en coordinación con las correspondientes entidades del Gobierno, adoptará medidas para facilitar el acceso al trabajo a tiempo parcial, productivo y libremente elegido, que responda igualmente a las necesidades de los empleadores y de los trabajadores, siempre que se garantice la protección al mínimo de derechos a que se refiere el presente capítulo.

Estas medidas deberán comprender:

1.Revisión de las disposiciones de la legislación que puedan impedir o desalentar el recurso al trabajo a tiempo parcial o la aceptación de este tipo de trabajo;

2.Utilización del Servicio Público de Empleo en el marco de sus funciones de información o de colocación, para identificar y dar a conocer las oportunidades de trabajo a tiempo parcial;

3. Atención especial, en el marco de las políticas de empleo, a las necesidades y las preferencias de grupos específicos, tales como los desempleados, los trabajadores con responsabilidades familiares, los trabajadores de avanzada edad, los trabajadores en condiciones de discapacidad y los trabajadores que estén cursando estudios o prosigan su formación profesional.

Se deben incluir además, la realización de investigaciones y la difusión de información sobre el grado en que el trabajo a tiempo parcial, responde a los objetivos económicos y sociales de los empleadores y de los trabajadores.

Artículo 18. Traslado voluntario de las sumas cotizadas al Sistema General de Pensiones al mecanismo BEPS. Si la persona que ha realizado cotizaciones mínimas semanales al Sistema General de Pensiones en los términos del presente decreto, no logra cumplir los requisitos para obtener una pensión, si lo decide voluntariamente, los recursos por concepto de devolución de saldos o indemnización sustitutiva, según aplique, podrán ingresar al mecanismo de  beneficios económicos periódicos BEPS con el fin de obtener la suma periódica, en los términos del Decreto 604 de 2013 o la norma que lo sustituya.

Los recursos de la indemnización sustitutiva o la devolución de saldos se tendrán en cuenta para el cálculo del subsidio periódico, siempre que permanezcan por lo menos tres (3) años en el Servicio Social Complementario de los BEPS.

Artículo 19. Verificación de semanas cotizadas por parte del empleado y el empleador. El sistema de la Planilla Integrada de Liquidación de Aportes (PILA) deberá permitir que el empleado y el empleador puedan verificar y generar un reporte sobre las cotizaciones y semanas imputadas a cada uno de ellas.

Artículo 20. Vigencia. El presente decreto rige a partir de la fecha de su publicación, en relación con las cotizaciones al régimen de prima media del Sistema General de Pensiones, al de Riesgos Laborales y con los aportes a Cajas de Compensación Familiar, observando el término para los ajustes a la Planilla Integrada de Liquidación de Aportes (PILA) que aquí se consagra; para las cotizaciones al régimen de ahorro individual con solidaridad, la entrada en vigencia será a partir del primero (1°) de febrero de 2014, dando un lapso dentro del cual las administradoras de fondos de pensiones deberán ajustar sus respectivos procesos y procedimientos.

PUBLÍQUESE y CÚMPLASE

Dado en Bogotá D.C. 20 de NOVIEMBRE DE  2013

EL MINISTRO DE HACIENDA Y CRÉDITO PÚBLICO

MAURICIO CÁRDENAS SANTAMARÍA

EL MINISTRO DEL TRABAJO

RAFAEL PARDO RUEDA

Ver documento Oficial 

Read More