Resolución 314 de 2009 SDHBOG
RESOLUCIÓN 314 DE 2009
(septiembre 30)
<Fuente: Archivo interno entidad emisora>
REGISTRO DISTRITAL N. 4295. AÑO 43, 06, OCTUBRE, 2009. PÁG. 1
<NOTA DE VIGENCIA: Resolución derogada por el artículo 4 de la Resolución 316 de 2019 de la Secretaría de Hacienda de Bogotá>
SECRETARIA DISTRITAL DE HACIENDA
Por la cual se adopta el Protocolo de Seguridad para las Tesorerías de las Entidades Descentralizadas que conforman el Presupuesto Anual del Distrito Capital.
CONSIDERANDO:
Que el artículo 62 del Acuerdo Distrital 257 de 2006, establece que la Secretaría Distrital de Hacienda tiene las siguientes funciones básicas: literal e "Formular, orientar, coordinar y ejecutar las políticas tributarias, presupuestal, contable y tesorería".
Que el literal c del artículo 4 del Decreto Distrital 545 de 2006, establece que corresponde al Despacho de la Secretaría Distrital de Hacienda "Formular la política del Distrito Capital en materia fiscal, tributaria, presupuestal, contable, de tesorería y de crédito público".
Que el Distrito requiere estándares de calidad para el manejo y gestión de los recursos públicos y condiciones de seguridad que garanticen su adecuada custodia, tanto, en la administración del recurso humano, como en el uso de canales transaccionales.
Que resulta relevante el diseño y divulgación de políticas de Gestión de Calidad en las operaciones de Tesorería, para que las entidades descentralizadas las adopten a través de procesos y procedimientos.
Que el 14 de septiembre de 2009, se suscribió el acta de compromiso sobre la adopción del protocolo de seguridad para el manejo de las Tesorerías del Distrito Capital, entre la Contraloría de Bogotá y la Secretaría Distrital de Hacienda.
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o: <Artículo derogado por el artículo 4 de la Resolución 316 de 2019 de la Secretaría de Hacienda de Bogotá> Adoptar el Protocolo de Seguridad para las Tesorerías de las Entidades Descentralizadas que conforman el Presupuesto Anual del Distrito Capital, de conformidad con el anexo que hace parte integral de esta Resolución.
ARTÍCULO 2o: <Artículo derogado por el artículo 4 de la Resolución 316 de 2019 de la Secretaría de Hacienda de Bogotá> La presente Resolución rige a partir de la fecha de su publicación.
ARTÍCULO 3o: TRANSITORIO: <Artículo derogado por el artículo 4 de la Resolución 316 de 2019 de la Secretaría de Hacienda de Bogotá> Se establece un periodo transitorio de seis (6) meses contados a partir de la entrada en vigencia de la presente Resolución, para que las entidades que lo requieran adelanten las adecuaciones físicas de las áreas de las tesorerías y adquieran los elementos de software y hardware necesarios para garantizar la seguridad en términos establecidos en el protocolo.
COMUNÍQUESE Y CÚMPLASE.
Dada (o) en Bogotá, D.C., a los treinta (30) días del mes de septiembre de dos mil nueve (2009).
RICARDO SALAS SILVA
Secretario Distrital de Hacienda (E.)
PARA TESORERÍAS
BOGOTÁ DISTRITO CAPITAL.
CONTENIDO
1. DEFINICIÓN
2. AMBITO DE APLICACIÓN
3. EL ESQUEMA DE SEGURIDAD
3.1. COMPONENTES GENERALES
3.1.1. Cámaras de Seguridad
3.1.2. Grabación de llamadas
3.1.3. Cajas Fuertes
3.2. COMPONENTES ESPECÍFICOS
3.2.1. El Talento Humano
3.2.2. Las Áreas Físicas Restringidas de la Tesorería
3.2.3. La Seguridad Lógica de la Red Restringida de la Tesorería
4. LA SEGURIDAD EN LAS OPERACIONES
4.1. SEGURIDAD EN MEDIOS DE PAGO
4.1.1. Gestión de Cheques en ventanilla
4.1.2. Canales electrónicos
4.1.3. Cartas de Autorización y Notas Débito
4.2. CUSTODIA Y MANEJO DE TITULOS VALORES
4.2.1. Seguridad en Manejo de Cheques
4.2.2. Custodia de cheques
4.2.3. Arqueos de cheques
4.2.4. Arqueos de títulos valores
4.2.5. Actas de anulación
El Protocolo de Seguridad se define como un conjunto de lineamientos y procedimientos que permiten fortalecer y asegurar la gestión de las tesorerías, con el objeto de minimizar la probabilidad de fraude en la gestión de las operaciones de liquidez y de las transacciones de valores.
El presente Protocolo de Seguridad será aplicable a las Entidades Descentralizadas que conforman el Presupuesto Anual del Distrito Capital.
3.1. COMPONENTES GENERALES
3.1.1. Cámaras de Seguridad
Dependiendo de las condiciones físicas de cada entidad, las instalaciones de la tesorería deben contar con cámaras de video ubicadas en:
- La entrada al área de tesorería
- Los corredores de acceso
- Las áreas con acceso restringido
Las cámaras de video deben ser ubicadas de forma tal que no permitan visualizar teclados y monitores, pero que identifiquen al funcionario que hace uso de los mismos.
3.1.2. Grabación de llamadas
Se debe contar con un sistema de grabación de llamadas para monitorear las operaciones de las áreas de:
- Inversiones
- Confirmación de cheques e instrucciones de giro por Nota Debito
- Entrega de cheques en ventanilla
- Validación de saldos con bancos
- Giros por abono en cuenta.
El sistema de grabación debe ser monitoreado técnicamente por el área de sistemas con el fin de garantizar su adecuada operación. Igualmente, las distintas operaciones realizadas y grabadas, deben ser revisadas periódicamente por funcionarios de un área de control ajena a la operación y que tenga un rol de control interno ó de riesgos. La Entidad en ningún caso podrá utilizar el material grabado para efectos diferentes a los estrictamente relacionados con la gestión de las operaciones de tesorería. Este sistema debe informar al transmisor que la llamada va a ser grabada o monitoreada.
3.1.3. Cajas Fuertes
Para el manejo de las cajas fuertes, se deben tener en cuenta los siguientes aspectos:
- Las cajas fuertes deben contar con mecanismos temporizadores que permitan el bloqueo de las mismas en horarios no hábiles. Igualmente, deberán ser vigiladas las 24 horas por medio de las cámaras de video
- Se deben implementar claves duales para la apertura de las cajas fuertes.
- Periódicamente se deben cambiar las claves, dependiendo de las necesidades, ya sea por simple control o por periodos de vacaciones, retiros de funcionarios, etc.
- Las claves respectivas una vez efectuado el cambio, deben ser enviadas en sobre cerrado para custodia en otra área y solamente pueden ser retiradas por el Tesorero.
3.2. COMPONENTES ESPECÍFICOS
3.2.1. El Talento Humano
Frente al manejo del talento humano vinculado a las labores de tesorería, es importante tener en cuenta lo siguiente:
- Se requiere definir claramente el perfil, la experiencia y las competencias adecuadas para los cargos vinculados a la Tesorería.
- Los cargos directivos creados al interior de las entidades para el manejo de los recursos públicos, en áreas de tesorería, se consideran como "Cargos de Confianza". Por esto se recomienda que estos cargos se provean por personal de Libre Nombramiento y Remoción.
- Se deben realizar estudios de seguridad dentro de los procesos de contratación diseñados para proveer los cargos de tesorería, manteniendo en todos los casos, garantías de confidencialidad para la información analizada.
- Se debe realizar un constante seguimiento del personal contratado que preste sus servicios en las tesorerías, en las áreas de cafetería, aseo, mensajería y vigilancia.
- Se debe contar con una Póliza de Manejo que ampare a los funcionarios que ejecutan las funciones asignadas a la tesorería.
3.2.2. Las Áreas Físicas Restringidas de la Tesorería
Dentro de la Tesorería, dependiendo de las competencias funcionales autorizadas para cada entidad, se consideran como áreas con acceso restringido las siguientes:
- La Mesa de Inversiones
- El Back Office o el área de valoración del portafolio, liquidación y compensación de operaciones.
- El área de Home Banking y/o de Giros, en las cuales se ejecuten las transacciones de transferencia y/o distribución de fondos.
Se debe prohibir el acceso de cualquier medio de comunicación (celulares, beeper, etc.) a las áreas con acceso restringido. Para dicho efecto se deben ubicar casilleros a la entrada de estas áreas, donde los funcionarios puedan guardar dichos dispositivos.
Las áreas con acceso restringido de la tesorería, deben ubicarse en zonas construidas en mampostería y deben estar protegidas contra factores ambientales externos, por medio de puertas y ventanas de seguridad.
Igualmente, estas áreas deben ser controladas mediante el uso de sistemas electrónicos de control de acceso. Los funcionarios deben poseer y portar su carné de acceso (debidamente marcado con nombre y fotografía); los visitantes deben ser autorizados por el funcionario que los va a atender y siempre deben estar acompañados. Se recomienda tener un área para la atención de dichos visitantes totalmente aislada.
Por otra parte, se debe contar con un punto de control, ejercido por una empresa de vigilancia las 24 horas. Las áreas con acceso restringido de la tesorería, deben ser monitoreadas permanentemente por la empresa de vigilancia, a través de cámaras de seguridad de muy buena resolución. Debe garantizarse la custodia de copias en cinta de los videos, acorde con los tiempos definidos en las tablas de retención de cada entidad. Estas áreas deben permanecer cerradas y aseguradas en horas no hábiles.
3.2.3. La Seguridad Lógica de la Red Restringida de la Tesorería
Las redes de voz y datos deben inhabilitarse durante los períodos no hábiles, o períodos no transaccionales.
La entidad debe contar con recursos informáticos suficientes para controlar el acceso a Internet. Los funcionarios que laboren en las áreas restringidas deben tener a su vez acceso controlado a páginas de internet que posibiliten la comunicación vía correo electrónico personal (hotmail. gmail, yahoo, facebook); chat´s (Messenger MSN, Yahoo Messenger, etc.); o portales similares. Se debe realizar seguimiento al contenido de los correos institucionales de dichos funcionarios y almacenar copias de éstos en el servidor de correo
El acceso por redes privadas VPN sólo podrá ser autorizado por el director de tesorería, quien deberá dejar constancia escrita de la solicitud, incluyendo la motivación de su autorización.
4. LA SEGURIDAD EN LAS OPERACIONES.
4.1. SEGURIDAD EN MEDIOS DE PAGO
4.1.1. Gestión de Cheques en ventanilla
Para los diferentes cheques girados producto de la ordenación, se debe llevar un control a través del Sistema de Información, que permita conocer su estado.
Una vez los cheques pasan a ventanilla, deben ser custodiados en caja fuerte, a cargo de un único funcionario, el cual es el encargado de verificar que quien retira los cheques cumpla con los siguientes requisitos: registrar en el sistema la foto tanto del cheque entregado, del documento de identidad y de la persona que retira el cheque; adicionalmente debe firmar una planilla con huella digital, en la cual se consigne el número del cheque, el nombre de quien retira y la fecha.
4.1.2. Canales electrónicos
Aspectos generales
- Las Tesorerías deben tener suscritos contratos con entidades financieras para la realización de pagos electrónicos. Se debe propender por rotar el pago en diferentes entidades, con el fin de garantizar transparencia y reducir el riesgo operativo.
- Los equipos deben contar con herramientas de control de software malicioso: anti-virus, anti-keylogger, anti-spyware; activas y actualizadas.
- Se debe garantizar el bloqueo y control de puertos USB, quemadoras de CD y DVD en los equipos dedicados a las transacciones con bancos.
- Se debe garantizar la continua actualización de los parches de seguridad del sistema operativo.
- Se deben definir cronogramas de monitoreo, para verificar periódicamente las condiciones de seguridad de los equipos utilizados para el ingreso de transacciones.
- Se debe contar con una clara definición de perfiles relacionados con la administración, operación y autorización de operaciones financieras.
- La configuración de usuarios se debe realizar en relación con: estado, montos máximos, número de procesos, horarios y días de operación, productos autorizados y novedades posibles
- Todos los archivos transmitidos o recibidos, deberán ser encriptados y desencriptados automáticamente.
Seguridades en el Manejo de Claves Bancarias
Las personas encargadas del manejo de claves bancarias deben tener en cuenta las siguientes medidas de seguridad:
- Las claves de acceso son personales y de uso exclusivo para las operaciones y transacciones que la entidad le autoriza a realizar.
- Las claves asignadas deben ser cambiadas periódicamente por el usuario autorizado para tal fin.
- Se debe solicitar a la entidad financiera, la asignación de algún mecanismo fuerte de autenticación (ejemplo, token, tarjeta de claves). Este mecanismo de autenticación asignado debe contar con protocolos de custodia y se deben tener claros los procedimientos para los casos de extravío o pérdida.
- Se deben notificar a las entidades financieras, eventos como vacaciones reemplazos, encargos, cambios de cargo o cualquier situación que signifique la inactivación de cualquiera de los usuarios encargados de claves de acceso. Lo anterior, en un plazo oportuno, no mayor a 48 horas.
Conexión con las Entidades Financieras
Solicitar al área de sistemas que apoye a la tesorería para que ésta cuente con una red privada, que permita la conexión con los bancos a través de un Portal o Página Web. Estos sitios deben estar debidamente certificados como sitios seguros por Certicamara u otro ente certificado autorizado en Colombia que tenga la facultad de expedir certificados y firmas digitales.
Para la conexión se recomienda implementar canales de datos dedicados, debidamente protegidos con firewall, preventores de intrusos, controles de contenido, anti-key-loggers, y antivirus entre otros, con el propósito de garantizar la seguridad en las comunicaciones y la confidencialidad de las operaciones.
La conexión a las entidades financieras para la realización de operaciones deberá realizarse únicamente desde las direcciones IP fijas que la entidad autorice para transar, la cual se recomienda sea asociada a la MAC del equipo. Estas direcciones IP fijas deben ser inscritas previamente en la entidad financiera.
4.1.3. Cartas de Autorización y Notas Débito
Para todas las operaciones y transacciones que puedan ser realizadas a través del Portal Empresarial, no se deben utilizar cartas ni notas débito para su autorización.
Para los casos en los que se deban utilizar estos mecanismos de aprobación, se deben tener en cuenta las siguientes medidas:
- Las Notas Debito se deben elaborar en papel de seguridad, el cual contiene las mismas condiciones de firmas y sellos de los cheques. La custodia del papel de seguridad es la misma que para los cheques y se debe llevar control de las hojas utilizadas, así como el registro de las anulaciones.
- La confirmación de las operaciones se hará únicamente por los funcionarios que la firman, validando los datos tanto de la operación como los del funcionario que confirma cada operación.
4.2. CUSTODIA Y MANEJO DE TITULOS VALORES
4.2.1. Seguridad en Manejo de Cheques
- Los cheques girados deben tener:
Sello restrictivo de "Páguese a nombre del Primer Beneficiario": Si son girados a una persona natural y su monto no sobrepasa un millón de pesos m/cte ($1.000.000)
Sello restrictivo de "Consígnese en la Cuenta del Primer Beneficiario": Cuando el monto es superior a un millón de pesos m/cte ($1.000.000) y para cualquier monto cuando se trata de persona jurídica.
- Todos los cheques deben llevar dos firmas, las cuales deben ir acompañadas de su respectivo sello.
- Los cheques llevan protectógrafo mecánico y sello invisible.
- Se pueden utilizar hologramas
- Todas las condiciones de seguridad como firmas, sellos protectógrafos y condiciones son registradas ante cada entidad financiera, cuando se lleva a cabo la apertura de las cuentas bancarias.
Adicionalmente a los controles ya expresados, cada vez que se gira un cheque, el mismo debe ser revisado por personas diferentes antes de ser firmado; de esta manera, en cada una de estas revisiones se van agregando los elementos de seguridad ya definidos.
4.2.2. Custodia de cheques
Los cheques de formas continuas, así como las chequeras, deben ser custodiados en caja fuerte con manejo dual de claves y temporizador. Los protectógrafos y los sellos también deben ser custodiados en caja fuerte.
Se requiere mantener un stock máximo de cheques por Banco Girador, equivalente al promedio de cheques girados en un mes y en consideración del tiempo que tarda una entidad bancaria en producir un nuevo pedido.
4.2.3. Arqueos de cheques
Semanalmente se realizará el arqueo de cheques en blanco y se elaborará un acta firmada por cada uno de los funcionarios que participan en esta labor.
Mensualmente se realizará el arqueo de los cheques que se encuentran en la ventanilla para su entrega, lo mismo que de cheques en blanco.
4.2.4. Arqueos de títulos valores
Se deben realizar arqueos diarios y al cierre de cada mes sobre los títulos valores
4.2.5. Actas de anulación
Mensualmente se debe realizar un acta de anulación de cheques, incluyendo aquellos en los cuales la fecha de expedición supera 90 días sin haber sido cobrados. Estos dineros son registrados contablemente en Acreedores Varios.
Dependiendo de la fecha de caducidad de la obligación de pagar y de su concepto, se elaborará un acta de depuración, para retirar y/o legalizar de la cuenta de Acreedores Varios los correspondientes a los cheques no cobrados.
