Manual de Control Interno

Version
4.1

Fecha
18 febrero 2016

Autor
Ian Burrows – Head of Business Controls Lisa Boutchinski
– Internal Control Manager

Breve descripción
Versión revisada
Tabla de Contenidos Pag
Introducción 1
1. Activos fijos 5
2. Inventarios 9
3. Recursos humanos 13
4. Compras y Cuentas por Pagar 18
5. Compras y cuentas por pagar – Contabilidad 24
6. Gobierno legal y corporativo 26
7. Tesorería 27
8. Cierre contable y reporte financiero 34
9. Gestión de TI y redes 38
10. Comercialización y mercadeo 54
11. Ventas y cuentas por Cobrar 56
12. Ventas y cuentas por cobrar – Contabilidad 66
13. Servicios financieros móviles 75
14. Seguridad Corporativa 87
15. Controles a Nivel de la Entidad 91
 1

Introducción
Este Manual de Control Interno (MCI) es un documento activo, que contiene una lista de las principales y
obligatorias actividades de control que se espera encontrar en todas las operaciones de Millicom y demás
funciones corporativas.

Objetivos del Control Interno

El ambiente de Control Interno de Millicom tiene por objeto garantizar que todas las operaciones realizadas
dentro del Grupo cumplan con los principios y estrategias gerenciales, así, como con las leyes y normativa
actuales del Grupo.
Mediante la implementación de sistemas de control interno en todas las actividades del Grupo, Millicom
busca obtener una seguridad razonable de que el Grupo ha puesto en marcha las actividades necesarias para
gestionar los riesgos que enfrenta:
•• Para garantizar la exactitud y fiabilidad de la información financiera
•• Para gestionar sus operaciones de una manera eficiente y eficaz
•• Garantizar el cumplimiento de las leyes y reglamentos aplicables
De esta manera, se pretende proteger el valor de la Compañía para sus accionistas y empleados. Estas prácti-
cas estándar deben adaptarse a las actividades y organizaciones locales.

Objetivos de este manual

El MCI y políticas relacionadas pretenden favorecer la integración de un nivel aceptable de control interno
(CI) en todas las actividades del grupo (tanto de naturaleza financiera y no financiera).
El MCI tiene como objetivo proveer al personal al interior de Millicom con una lista más completa y detallada de
las actividades de control específicas que deben de ser integradas en todas las operaciones y servicios corporativos.
Las actividades de control son presentadas de acuerdo con los principales procesos funcionales y operacio-
nales y deben adaptarse a las actividades y organización locales. El MCI es complementario a las políticas y
procedimientos de Millicom.
Alcance
Cinco principios básicos de control interno constituyen la base del sistema de control interno de Millicom:
1. Delegación de Autoridad: La Delegación de Autoridad es una parte crítica dentro del marco de control y
gobierno de Millicom. Millicom está organizada y gobernada a través de cadenas de autoridad delegada
que empoderan a los empleados Millicom. Una operación puede definir o revisar sus estructuras mediante
la reducción de niveles de gestión, la delegación de autoridad y responsabilidad a los niveles inferiores. Sin
 2

embargo, la autoridad debe delegarse únicamente en aquellos que demuestran la competencia para tomar
decisiones adecuadas, se adhieran al Código de Conducta de Millicom, políticas y procedimientos, y en-
tiendan las consecuencias de los riesgos que asumen. En cualquier delegación de autoridad, el Delegador
estará de acuerdo con el Delegado, de tal manera que cada parte entiende claramente:
a. La finalidad para la que se delega la autoridad.
b. Los objetivos a alcanzar y los recursos para lograrlos.
c. Las limitaciones de la delegación de la autoridad
d. La gestión de la actuación de la delegación de autoridad.
2. Segregación de funciones: es un componente fundamental de control interno; la separación de funciones
y responsabilidades para asegurar que los individuos no pueden procesar transacciones de inicio a fin sin la
participación de los demás, lo que reduce el riesgo de fraude y error a un nivel aceptable. Cuando se selec-
cione o asigne un responsable para el desarrollo de las actividades de control, los dueños de los procesos
deben tener en cuenta si las funciones están divididas o segregadas entre diferentes individuos para reducir
los riesgos asociados de error o acciones inapropiadas o fraudulentas. Esta segregación de funciones por lo
general implica la división de la responsabilidad del registro, autorización y aprobación de las transaccio-
nes, y el manejo de activos relacionados. En el caso de que la separación de funciones no sea práctica, la
gerencia debe desarrollar e implementar actividades de control de mitigación. Controles relacionados con
la segregación de funciones se presentan en las diferentes secciones de este manual.
3. Las actividades de control: son las acciones establecidas a través de políticas y procedimientos que ayudan
a asegurar que las directrices gerenciales puedan mitigar los riesgos para la consecución de los objetivos.
Las actividades de control se realizan en todos los niveles de Millicom, en las distintas etapas dentro de los
procesos del negocio y en el entorno tecnológico. Pueden ser preventivas o detectivas en su naturaleza y
pueden abarcar una amplia gama de actividades manuales y automatizadas.
4. Medidas de seguridad física y lógica de los sistemas de información: Esto generalmente cubre los derechos
de acceso a datos, sistemas operativos, redes, aplicaciones e instancias físicas. Los controles de seguridad
sobre el acceso a la tecnología de Millicom protegen a la empresa contra el acceso inapropiado y el uso
no autorizado del sistema. Al impedir el uso no autorizado y los cambios en los sistemas y datos, se está
protegiendo la integridad de nuestros sistemas y el uso malicioso o un simple error.
5. Conservación y Archivo de documentos: Millicom desarrolla y mantiene documentación de su sistema de
control interno por las siguientes razones:
a. Para proporcionar claridad en torno a las funciones y responsabilidades, promoviendo la coheren-
cia de las prácticas deseadas en la gestión del negocio.
b. Para ayudar en la formación del nuevo personal y ofrecer una herramienta de repaso o de referen-
cia para otros empleados.
c. Para proporcionar evidencia de la realización de actividades que forman parte del sistema de con-
trol interno, lo que permite un seguimiento adecuado.
 3

Las normas de conservación y presentación se aplican a todo tipo de documentos y datos, incluyendo la in-
formación digitalizada.
Estos principios soportan los controles claves que deben aplicarse por todos dentro del Grupo. Los controles
claves están diseñados como actividades de control necesarias para garantizar que los principales riesgos aso-
ciados al proceso funcional u operacional sean manejados de la mejor manera.
Responsabilidades
El cumplimiento de los controles del Grupo y otros principios de control interno están bajo la responsabilidad
directa de cada Operación, el CFO, la unidad de Negocio y los Departamentos.
Madurez de los controles
La calidad de un control depende principalmente de la forma en que está diseñado y la eficiencia de la ope-
ración de control.
Un control solido es a la vez:
Efectivamente diseñado: el control está diseñado y cubre todos los riesgos significativos en relación con un
proceso o parte de un proceso adecuadamente.
Eficientemente operado: el control es operado como se ha diseñado, con la frecuencia exigida y de una
manera coherente.
 4

Las definiciones de la madurez de control Interno, utilizados por Millicom son

N/A N/A No aplica

No 0 El control no existe o es inefectivo
El control no está implementado como se describe en el MCI, pero existe otra
No, but 1
actividad de control, que cubre los mismos objetivos y el riesgo
Yes, control El control aplica solo a ALGUNAS transacciones. No se formaliza y/o no existe un
1
exists proceso documentadoo directriz local que lo describa
El control se aplica a la MAYORÍA de las transacciones, se formaliza la ejecución.
Yes, control is
2 el diseño y la operación del control están documentados en un procedimiento
defined
local, política o directriz
El control se ejecuta de manera sistemática y formalizada para todas las transac-
ciones, existe un ciclo de mejora continua, es decir, las acciones correctivas y sus
resultados son objeto de seguimiento
Los tres pilares “gente, proceso, sistema,” tienen una madurez alta, lo que significa
Yes, control is que los tres criterios siguientes son eficaces
3
managed 1. Responsable: el dueño del control está claramente asignado y capacitado
2. Gestión del conocimiento: el diseño y la operación del control, está
documentada y actualizada
3. Automatización: el control está automatizado/integrado siempre que
sea posible

La orientación adicional sobre cómo aplicar las definiciones en la práctica, incluyendo un árbol de decisión,
está disponible.
 5

 
1. Activos fijos
El objetivo principal de los controles internos sobre los activos fijos es maximizar el retorno de la inversión de
los gastos de capital (CAPEX). Otros objetivos incluyen:
a. Salvaguardia de los activos de la compañía
b. Mantener un registro exacto de los activos fijos y
c. Asegurar que las adquisiciones y retiros están debidamente autorizados

1.1 Administración de Inversiones de Capital

FXA.CPX.CO.1 Aprobación de CAPEX
Todas las inversiones CAPEX están debidamente autorizadas de acuerdo con la delegación en la matriz de
autorizaciones antes de avanzar en el proyecto. Todas las aprobaciones se documentan basadas en la plantilla
de solicitud de aprobación de Capital (CAR, Capex Approval Request).

FXA.CPX.CO.2 Modelo de negocio de inversión

Cada proyecto de inversión potencial es apoyado por una evaluación financiera o modelo de negocio que de-
talla como mínimo lo siguiente: descripción del proyecto, monto estimado de inversión de capital, retorno de
la inversión, el enfoque de recuperación de la inversión, el periodo de recuperación, período de capitalización,
fecha de puesta en servicio y asignación de propietario del proyecto calificado.

FXA.CPX.CO.3 Proceso para las compras relacionadas con el proyecto

Como parte del cumplimiento de la compra del grupo Millicom de Pago (PTP), existe un procedimiento para
garantizar los costos del proyecto / Los activos fijos se registran correctamente y consistentemente en los
bienes de uso. Se registra en el cumplimiento de las políticas contables del Grupo y las NIIF (es decir, gastos
de capital, los gastos operativos). Esto incluye la especificación del número del proyecto interno en toda la
documentación de compra.

FXA.CPX.CO.4 Contabilidad analítica del proyecto

El análisis contable del proyecto busca asegurar la asignación adecuada de todos los costos incurridos en el proyecto.
 6

FXA.CPX.CO.5 Actualización Mensual Administración del proyecto

Mensualmente, el líder del proyecto actualiza las herramientas de monitoreo y las comunica al departamento
de Contabilidad. Esto incluye como mínimo, los programas de adquisiciones y especificaciones técnicas de
compras detallados, así como un análisis de presupuesto Vs análisis de costo, previsiones revisadas, fecha
prevista en servicio Vs fecha original en servicio.

FXA.CPX.CO.6 Gasto excesivo

Todo gasto se vigila de cerca para asegurar que no se incurre en gastos no autorizados. Cualquier exceso de gasto
potencial se escala a un aprobador autorizado; todo exceso de gasto debe ser plenamente justificado y apoyado
por un CAR (Capex Approval Request) con el cálculo de amortización revisado que se mantiene en el archivo.

FXA.CPX.CO.7 Revisión Post Inversión

Se fijan revisiones a la inversión y se llevan a cabo dentro de los tres meses siguientes a la entrega de proyec-
tos para todas las inversiones > $ 5 millones USD de Solicitud de Aprobación de capital (CAR). La revisión se
documenta adecuadamente y se comparte con el vicepresidente de infraestructura y estrategia tecnológica.

1.2 Adiciones de activos fijos

FXA.FAA.CO.1 Capitalización de los activos
Datos relacionados con todos los activos nuevos, adquiridos o construidos, se informan rápidamente al depar-
tamento de contabilidad donde se comprueba la Solicitud de aprobación del capital (CAR). Los gastos gene-
rales atribuibles directamente (por ejemplo, mano de obra directa e intereses capitalizados) se completan y se
precisan, capitalizándolos de acuerdo con las NIIF y la política de contabilidad del Grupo. Se registran como
parte del costo de los activos fijos.

FXA.FAA.CO.2 Marcación de los activos

Los activos fijos son etiquetados cuando se reciben. Proyectos llave en mano son etiquetados dentro de las 4
semanas a partir de la fecha de instalación.

FXA.FAA.CO.3 Conciliación de registro de activo fijo

Cambios en el Registro de Activos Fijos y GL (Libro Mayor) (registro/eliminación de activos) se realizan al
mismo tiempo para asegurarse que sean consistentes. La conciliación se realiza por alguien independiente del
proceso de capitalización de los activos fijos y está sujeto a revisión.
 7

FXA.FAA.CO.4 Gestión de la información de activos fijos

La siguiente información se guarda en un archivo: número de etiqueta, número de la aprobación/CAR (Capex
Approval Request) de la inversión, formulario de pedido, nota de entrega, factura, fecha de puesta en marcha,
ubicación y tasa de depreciación.

FXA.FAA.CO.5 Lista de comprobación de capitalización

El departamento de contabilidad prepara una lista de chequeo para capitalización de activos, antes de la
adición de un sitio para asegurar que todos los ajustes aplicables son incluidos.

FXA.FAA.CO.6 Clasificación, vida útil y depreciación de los activos

El interventor junto con el técnico responsable, revisan la clasificación de la categoría de activos, la vida útil
y el método de depreciación de activos basado en el cumplimiento de la política de contabilidad del Grupo.
Cualquier desviación requiere aprobación por el contralor del Grupo.

FXA.FAA.CO.7 Revisión mensual de integridad y antigüedades y envejecimiento CWIP

Antes de cada cierre, el libro mayor auxiliar se revisa para asegurar que todos los activos y facturas recibidas
han sido registrados y que todo activo en uso se ha capitalizado. El libro auxiliar de trabajo en curso se concilia
con el libro mayor general mensual. Un informe sobre la antigüedad de los trabajos en curso y se revisa men-
sualmente, se da explicación de los trabajos en curso de más de seis meses.

FXA.FAA.CO.9 Cierre de Solicitud de Aprobación de capital (CAR)

Cuando la recepción o construcción de activos se completa en su totalidad, su CAR es cerrado de forma que
compras adicionales o potencialmente no relacionadas con el proyecto no puedan ser asignadas al mismo.

FXA.FAA.CO.10 new Revisar y aprobar la solicitud de capital

Existe una política documentada actual que detalla el proceso para solicitar financiación para activos fijos
nuevos o existentes y/o para proyectos de capital nuevos o existentes. La política ha sido comunicada a los
equipos pertinentes y se sigue en todos los casos de solicitudes de capital.

FXA.FAA.CO.11 new Pasivos y compromisos de arrendamiento

Los compromisos de arriendo son calculados de acuerdo con los contratos firmados, IFRS y la política con-
table del Grupo. Un registro de los contratos de arrendamiento se mantiene y se le incluye, como mínimo:
Descripción de activos, fecha de inicio, fecha de finalización de arrendamiento, condiciones del pago de arren-
damiento, cantidad y frecuencia.
 8

1.3 Depreciación y deterioro

FXA.DAI.CO.1 Depreciación y cálculo de amortización
La depreciación y amortización se calculan automáticamente al cierre de cada período a partir de los datos
aprobados en la base de datos de activos fijos. El cálculo se compara con el presupuesto y período anterior
para validar su consistencia, se reconcilia con los movimientos cláusula de amortización del balance de situa-
ción sobre una base mensual. Las discrepancias se explican y / o son corregidos.
Un procedimiento trimestral asegura los cálculos de amortización y se detienen cuando el valor neto en libros
de los activos llega a cero.

FXA.DAI.CO.2 Deterioro de activos fijos

El equipo de Finanzas Global realiza revisiones de daño anuales en un nivel de Grupo, Sin embargo, las pruebas
de deterioro de los activos fijos de subsidiarias son responsabilidad de las entidades dependientes. Existe un
procedimiento para las pruebas de valoración y/o deterioro de los activos fijos.
Como mínimo, el procedimiento incluye lo siguiente: Descripción de los factores desencadenantes que pue-
da iniciar una revisión, responsable de la revisión, las referencias a dichas políticas de grupo, los pasos de la
revisión de deterioro (incluyendo la aprobación) y cómo la revisión es documentada. Cualquier ajuste al valor
actual del goodwill y de los activos fijos están autorizados de conformidad con la matriz de autorización.

1.4 Disposición de los activos

FXA.ADI.CO.1 La disposición de activos fijos
La baja de activos fijos es formalmente justificada, solicitada, documentada y autorizada por los ejecutivos
responsables. Las bajas de activos son comunicadas al departamento de contabilidad oportunamente con el
fin de actualizar el Registro de Activos Fijos.

1.5 Registro de administración de activos fijos

FXA.FAR.CO.1 Inventario físico de los bienes tangibles
Se realiza regularmente un conteo físico de bienes materiales para verificar la existencia del activo fijo. Los
resultados del conteo son conciliados con los registros de Activos fijos (FAR) / libro auxiliar. Todas las discre-
pancias son investigadas y registradas sólo después de la aprobación apropiada.
Se organiza un programa cíclico de conteo que pueda cubrir el 100% de los activos durante un período de tres
años. La estrategia de conteo cíclico debe estar documentada. Si se organiza sobre un período de tres años
continuos, los activos individuales de más de 100 mil dólares al año se deben contar.
 9

FXA.FAR.CO.2 Los movimientos de activos y actualización del registro de activos fijos (FAR)
Existe un procedimiento que permite capturar los movimientos de los activos entre diferentes lugares. Se
garantiza que el registro de activo fijo sea actualizado con exactitud y de manera oportuna. Se hace el reco-
nocimiento y se reclasifica según los criterios para activos reubicados. Se relaciona la disposición de Retiro
de Activos (ARO) y también se revisa la provisión.

1.6 Segregación de funciones

FXA.SoD.CO.1 Segregación de funciones – Compra de Activos
La persona que a) aprueba las órdenes de compra de los activos fijos, b) recibe bienes, c) procesa las transac-
ciones de las cuentas de activos fijos, d) tiene acceso de escritura al Registro de Activos Fijos, son independien-
tes el uno del otro.

FXA.SoD.CO.2 Segregación de funciones – Recuento del inventario de Activos Fijos

Los empleados que realizan el conteo de inventario de activos fijos son independientes de los responsables de
la manipulación de los activos fijos.

2. Inventarios
Los principales objetivos del control interno sobre los inventarios, aseguran que:
a. la demanda del cliente siempre se cumple
b. registros de inventario son exactos
c. la inversión en inventario se mantiene en un nivel óptimo, y
d. las pérdidas por robo y obsolescencia se reducen al mínimo.

2.1 Contabilidad y ajuste de los inventarios

INV.IAA.CO.1 Aprovisionamiento y desaprovisionamiento de inventario.
Trimestralmente se identifica el inventario de bajo movimiento, deteriorado y obsoleto y el aprovisionamiento o
desaprovisionamiento es registrado en ese trimestre. Los ajustes de inventario se autorizan de acuerdo con la de-
legación de autoridad local y están oportunamente registrados de acuerdo a los registros contables apropiados.
 10

INV.IAA.CO.2 Conteo regular de inventario físico.

Para elementos diferentes a las scratch cards: Es realizado un conteo completo del inventario físico mensualmente,
bajo la supervisión del controlador financiero y no por empleados encargados de la manipulación de inventario.
Para elementos que no se cuentan mensualmente, se realiza un ciclo de conteo que cubra el 100% de estos ele-
mentos en un año. La selección de los elementos a contar utilizando este ciclo es justificada en un documento
escrito que es aprobado por el controlador financiero y revisado debidamente.

INV.IAA.CO.3 Conteo semanal de scratch cards.

Las scratch cards son tratadas como dinero en efectivo y se contarán al menos una vez por semana. Para las scratch
cards portadas por los empleados o agentes vendedores contratados, se tiene una toma de inventario mensual.

INV.IAA.CO.4 Procedimientos para toma de inventarios.

Las instrucciones para toma de inventario deben estar documentadas y aprobadas en un procedimiento es-
crito y comunicadas al personal responsable de la toma de inventario.
Las instrucciones deben ser precisas y proporcionar directrices sobre el proceso correcto en el reglamento de toma
de inventario, por ejemplo: conteo doble, fecha del conteo, separación de bienes obsoletos y dañados, el diseño de
las etiquetas de inventario y hojas pre-numeradas, el control de entrada y salidas durante la contabilización.

INV.IAA.CO.5 Conciliación de conteo físico con inventario registrado.

La toma de inventario físico es conciliada con el inventario registrado como parte de la rutina de toma de inventario.
Cualquier diferencia es investigada y las correcciones son asentadas siguiendo una segunda revisión/aprobación.

INV.IAA.CO.6 Procedimiento para transferencia de inventario.

Las transferencias de inventarios entre locaciones son soportadas por notas de transferencia pre-numeradas
(digital o física). Los registros de inventarios son actualizados prontamente para todos los movimientos.

INV.IAA.CO.7 Inventario en tránsito.

Los inventarios en tránsito pendientes por más de un mes se identifican y se toman acciones correctivas.

INV.IAA.CO.8 Valoración de inventario.

Los inventarios se valoran a su precio de costo o valor neto de realización (VNR). El costo del inventario se
define teniendo en cuenta las rebajas y descuentos de proveedores e incluye los costes directos, como el trans-
porte, los derechos de importación y los impuestos, etc.
 11

2.2 Planeación de ventas y operaciones

INV.SOP.CO.1 Monitoreo de inventario.

La cantidad de inventario de cada elemento (CAPEX y OPEX, incluyendo el inventario en consignación) es
monitoreado mensualmente, incluyendo un cálculo a futuro (basado en la previsión de consumo) para ase-
gurar que el inventario se mantenga en un nivel eficiente.

INV.SOP.CO.2 Planeación de inventario.

Para todos los elementos del inventario (incluyendo inventario en consignación) se realiza mensualmente la
planeación de las compras conjuntamente con logística, compras y usuarios de negocios (comercial/Empre-
sarial) según corresponda. Esto para asegurar los inventarios o nivel de pedidos, cantidad de pedidos, días de
ciclo, previsión de consumo, el tiempo de reaprovisionamiento y la variabilidad, etc.

INV.SOP.CO.3 Correcto recibo.

Todos los inventarios recibidos son debidamente revisados por una persona entrenada para asegurar el cum-
plimiento con órdenes de compra, entrega de instrucciones y estándares Millicom. Cualquier deficiencia o
déficit debe reportarse inmediatamente, documentarse y tomar acciones.

2.3 Ventas de inventario

INV.SOH.CO.2 Generación de orden de envío.
La nota de envío y entrega es generada automáticamente por el sistema y se incluye dentro del empaque a enviar.

INV.SOH.CO.3 Conciliación entre el despacho y la orden.

Existe un proceso que asegura que las mercancías enviadas coinciden con la orden de pedido. El encargado
de bodega verifica los elementos alistados con la orden de distribución, orden de pedido y orden de entrega.

INV.SOH.CO.4 Actualización de cantidades de inventario.

El inventario se actualiza inmediatamente se hacen los envíos, al menos diariamente, y preferible si es automáticamente.
 12

2.4 Controles para Scratch Cards

INV.SCC.CO.4 Gestión de registro numérico oculto.
Se deben implementar los controles adecuados para la generación de los registros numéricos ocultos (HR-
N´s), para almacenamiento, transmisión y activación de las scratch cards, para reducir los casos de robo y
actividades fraudulentas.
El acceso al sistema usado para generar el HRN está restringido a personal autorizado.

INV.SCC.CO.5 Procedimientos de seguridad para proveedores de tarjetas.

Los procedimientos de seguridad de los proveedores de las tarjetas son auditados para garantizar sus están-
dares de calidad. Donde sea posible, los procedimientos deben ser verificados por una empresa de seguridad
especializada pagado por el proveedor.

INV.SCC.CO.7 Almacenamiento y activación de scratch cards.

Las scratch cards son almacenadas con número serial en la bodega. La activación para el punto de venta es
documentada, y realizada lo más tarde posible para reducir casos de robo o actividades fraudulentas.

2.5 Inventario en consignación

INV.CIV.CO.1 Seguimiento del inventario en consignación.
El inventario dado en consignación pertenece a la operación pero está ubicado en el distribuidor o proveedor
local. Si el inventario en consignación está en manos de los distribuidores o proveedores, debe prepararse y
conciliarse con apropiado detalle de ese inventario en una rutina base con lo consignado y facturado al menos
una vez al mes. Los distribuidores deben garantizar como cubrir el valor de lo entregado en consignación.

INV.CIV.CO.2 Acuerdo del inventario en consignación.

Existe un acuerdo formal para todo el inventario entregado en consignación. Específicamente define la pro-
piedad del inventario hasta el pago total, las responsabilidades y penalidades en caso de pérdidas y las garan-
tías para obtenerlo.

INV.CIV.CO.3 Monitoreo mensual del consumo del inventario en consignación.

Existe una revisión mensual entre el consumo reportado de lo consignado, las órdenes y envíos del período. La
información se proporciona entonces al departamento de contabilidad.
 13

INV.CIV.CO.4 Inspección del inventario en consignación.

Existe un procedimiento documentado que detalla el proceso para una inspección física aleatoria del inven-
tario por un miembro de la compañía, dependiendo de la cantidad de inventario, valor, existencias e historial
de facturación. La calidad y cantidad de diferencias son reportadas para asegurar que la contabilidad refleja
los aprovisionamientos y desaprovisionamientos necesarios.

2.6 Segregación de funciones

INV.SoD.CO.1 Segregación de funciones - Adquisición de inventario.
Existe segregación de funciones, en las personas responsables de: a) adquisiciones; b) recepciones; c) pago de
cuentas; d) toma de inventario; e) envíos; son independientes una de otra.

INV.SoD.CO.2 Segregación de funciones - Conteo de inventario.

Las personas que realizan la toma de inventarios son independientes de las personas que manipulan los ele-
mentos del inventario, por ejemplo el personal de bodega.

3. Recursos humanos
Los controles internos de Recursos Humanos y el proceso de nómina tienen por objeto garantizar que:
a. Exista un proceso definido para gestionar el ciclo de vida del empleado desde la contratación hasta
la salida y que además se ejecute.
b. Los sueldos, primas, comisiones y otros incentivos son otorgados y autorizados de acuerdo con las
directrices de la empresa.
c. La nómina se calcula de acuerdo con los números de empleados reales y las condiciones contrac-
tuales, y
d. Existe una adecuada segregación de funciones para reducir el riesgo de fraude.

3.1 Contratación de personal (Reclutamiento)

HRM.RCT.CO.1 Autorización para dar inicio al proceso de Selección
Se da inicio a un proceso de contratación según las directrices de recursos humanos Millicom, con base a la
matriz de la autorización de las operaciones y a la posición del reclutado.
 14

HRM.RCT.CO.2 Formalización y aprobación de la contratación, despido, traslado y da-

tos contractuales
La vinculación, el despido, los traslados y la modificación de los datos contractuales de los empleados están
formalizados y han sido aprobados de acuerdo con la delegación local de la matriz de las autorizaciones.

HRM.RCT.CO.3 Examen Jurídico de los contratos de trabajo

Se tiene presente en la preparación de los contratos de trabajo la revisión por parte de un asesor legal (Interno o Externo).

HRM.RCT.CO.4 Firma y actualización de los contratos de los empleados

Todos los contratos de los empleados están debidamente firmados por el funcionario correspondiente y por el
representante de la entidad autorizada. Igual que las modificaciones posteriores realizadas durante el proceso
de contratación. Estos contratos son debida y oportunamente actualizados para reflejar cualquier cambio dis-
puesto en las leyes y reglamentos locales cuando sea necesario (por ejemplo, el cambio en el salario mínimo).

HRM.RCT.CO.5 La edad mínima de contratación

Existen directrices locales que especifican la edad mínima de contratación, de acuerdo con la Organización
Internacional del Trabajo (OIT), de acuerdo a las leyes locales y las normas de Recursos Humanos de Millicom
o la que sea mayor. Se define que dentro de la operación exista un documento como “prueba de la edad”.

HRM.RCT.CO.6 Verificación de Antecedentes

Dependiendo de la posición, de la ley de empleo local, en los reglamentos y procedimientos, se incluye la ve-
rificación de antecedentes para los solicitantes de empleo.

HRM.RCT.CO.7 nuevo La igualdad de oportunidades

Todas las posiciones disponibles se anuncian y se comunican internamente, y el debido proceso de recluta-
miento se sigue para todas las posiciones abiertas. La documentación que justifique los cambios en datos
maestros se conserva en el archivo.

3.2 Evaluación del Desempeño y Desarrollo de la Carrera Profesional

HRM.PAC.CO.1 Revisión anual de desempeño
Existe un proceso anual y oficial de desempeño y desarrollo del personal, el cual se encuentra documentado y
se lleva a cabo por todos los gerentes de línea de acuerdo a las instrucciones del Grupo.
 15

HRM.PAC.CO.2 Definición y comunicación de sistema de incentivos

Los criterios para bonos de incentivos anuales están en línea con el Grupo y la estrategia de cada filial. Está
claramente definido al principio de cada período y formalmente documentado. Las reglas de bonificación y el
plan de incentivos son aprobados por la dirección ejecutiva de acuerdo con la delegación de matriz de auto-
rizaciones y se comunican a todos los empleados.

HRM.PAC.CO.3 Programa de incentivos a largo plazo

Para el programa de incentivos a largo plazo (si lo hay), existe un procedimiento de comunicación por escrito
adecuado e incluye términos y condiciones, la elegibilidad de los empleados, determinación, la notificación y
la aceptación del premio implementado.

3.3 Terminación
HRM.TRM.CO.1 Procedimiento de salida
Existe un procedimiento formal de salida que enumera todas las acciones obligatorias que se van a tomar y
controles para llevar a cabo antes de que un empleado deje la empresa (recuperación de activos de la empre-
sa, la eliminación perfiles y derechos de acceso, la recolección o la deducción de los préstamos, etc.). Cada sali-
da de los empleados es apoyado con una copia del procedimiento de salida (o sumario, o lista de verificación)
firmado por el gerente de línea de los empleados para dar cuenta del cumplimiento con el procedimiento.

HRM.TRM.CO.2 nuevo Conciliación con el archivo de datos maestros

Una conciliación se lleva a cabo entre el detalle de empleados retirados y el archivo maestro de nómina para
asegurarse que se realiza el proceso adecuado en la elaboración de la última nómina para asegurar del emplea-
do retirado y que los empleados no sigan recibiendo un sueldo una vez el empleo ha cesado.

3.4 Documentación de Recursos Humanos e información

maestra del empleado
HRM.EMD.CO.1 Política Local de Recursos Humanos
Existe una política local de Recursos Humanos. Cada operación tiene un mecanismo para vigilar el cumpli-
miento de su política de recursos humanos local, con la política de Recursos Humanos del Grupo y todas las
leyes locales de empleo y regulaciones pertinentes. Las políticas de recursos humanos que se aplican a perso-
nal extranjero se preparan únicamente por las oficinas principales de Millicom.
 16

HRM.EMD.CO.2 Registro de los empleados

Todos los empleados que trabajan para la empresa debe estar debidamente registrados; La información sobre
los empleados contratados directamente por Millicom se separa de los empleados contratados a través de una
empresa de terceros. La información clave sobre todos los empleados deben ser custodiados de forma segura y el
acceso está estrictamente limitado y sólo pueden ser accedidos por aquellas personas que correspondan.

HRM.EMD.CO.3 Revisión del organigrama

El organigrama se actualiza periódicamente y revisado para garantizar la exactitud de la información. Se pre-
sentará al interventor Global HR dos veces al año: en el cuarto trimestre una vez que el presupuesto se valida
y luego en junio para hacerle seguimiento a los cambios y desviaciones del presupuesto.

HRM.EMD.CO.4 Descripción del trabajo

Cada puesto de trabajo en la organización está soportado por una descripción genérica de sus funciones para
asegurar que el papel que se espera esté en línea con el papel aceptado.

HRM.EMD.CO.5 La gestión del talento

Se implementa un proceso para identificar recursos clave (empleados con habilidades particulares, cualidades
y/o conocimientos y que posean certificaciones específicas, etc.). Existe un plan de retención y una planea-
ción, para validar que los recursos clave están bien ubicados.

3.5 Nómina
HRM.PYR.CO.1 Registro de las horas de trabajo y las ausencias
El tiempo real trabajado y la categoría de ausencia (petición de vacaciones, solicitudes de licencia por enfer-
medad, accidentes de trabajo, etc.) se registran y son monitoreados para informes mensuales de acuerdo con
leyes y regulaciones locales.

HRM.PYR.CO.3 Revisión del informe de nóminas individuales

En cada proceso de nómina, el informe de nómina individual se revisa y se compara con los dos meses anteriores
para identificar cualquier discrepancia. Deducciones de nómina (impuestos, seguridad social, pensiones y présta-
mos a empleados, etc.) también están incluidas en la revisión. Todos los datos de nómina relevantes y los cambios
(por ejemplo, la contratación, bonificaciones, etc.) se analizarán en base a los documentos de apoyo.
 17

HRM.PYR.CO.4 Aprobación del informe de nóminas

El informe de nóminas es revisado y firmado de conformidad con los límites de autoridad como por el dele-
gado en la matriz de autorizaciones, antes del pago.

HRM.PYR.CO.6 Conciliación de la nómina con los desembolsos

El informe de nóminas se concilia mensualmente a los desembolsos reales. Las diferencias son investigadas y
resueltas. La conciliación es objeto de revisión.

HRM.PYR.CO.7 Planes de pensiones Anticipada

No existe el beneficio de pensión anticipada.

3.6 Segregación de funciones

HRM.SoD.CO.1 La aprobación de los derechos de acceso a datos de nómina
Todos los login de acceso a los datos maestros de nómina, por ejemplo: En la creación de nuevas entradas,
modificaciones, eliminaciones, todo cambio de login de acceso (lectura o escritura) son revisados y autori-
zados por el gerente de Recursos Humanos. El acceso está restringido para asegurar que sólo las personas
autorizadas puedan acceder a los datos maestros de la nómina.

HRM.SoD.CO.2 Seguimiento a los cambios en los datos maestros del empleado

Existe un informe donde se muestra que la creación, modificación y eliminación de datos maestros del em-
pleado emitido con regularidad. Es revisado por alguien independiente de aquellos que tienen autoridad para
hacer cambios de Datos Maestros. Cualquier problema tiene un seguimiento inmediato hasta su solución.

HRM.SoD.CO.3 Existe en la nómina segregación de funciones, entre las ellas la Separación de:
a. Quienes tienen acceso a Modificar datos maestros
b. Quien firma los registros de tiempo
c. Quien calcula el pago
d. Quien firma los pagos

HRM.SoD.CO.4 nuevo Los cambios en datos maestros del empleado

Los cambios en datos maestros (por ejemplo, salario, posición, deducciones de nómina, datos bancarios y la
creación de nuevos empleados) están debidamente autorizados de conformidad con la matriz de autorizaciones.
 18

4. Compras y Cuentas por Pagar

Los principales objetivos del control interno sobre el proceso de compras y cuentas por pagar son:
a. Apoyar las necesidades operacionales a través de un proceso de adquisición eficiente y rentable.
b. Asegurar que las actividades de adquisición están en conformidad con las facultades delegadas.
c. Asegurar controles para prevenir y detectar el fraude.
Las actividades de control establecidas a continuación aplican a todas las categorías de compras, bienes y
servicios, gastos e inversión.

4.1 Selección y gestión de proveedores

PPT.SSM.CO.1 Matriz de autorización para proceso de adquisición
Los delegados a través de la Matriz de autorización definen la lista de aprobaciones requeridas en función de
los topes y las políticas del Grupo, incluyendo la aprobación de contratos a proveedores, aprobación de órde-
nes de compra y aprobación de facturas.

PTP.SSM.CO.2 Proceso de selección de proveedores

El proceso de selección de proveedores incluye:
•• Las solicitudes de pedido para definir las necesidades y especificaciones con el departamento de
compras.
•• Se organiza un proceso de pre-calificación, de acuerdo con la política de compras locales, antes
de la selección competitiva real para establecer un grupo de oferentes que son capaces y pueden
adherirse a los estándares de Millicom, es decir, el oferente es apto para el proceso.
•• El análisis de los posibles nuevos proveedores/contratistas se realiza basado en los factores deter-
minados en las directrices emitidas por el Departamento de Compras Corporativas.
•• La documentación del proceso de abastecimiento y la decisión final (según la matriz de autoriza-
ciones), se conserva durante un mínimo de cinco años después del finalizado el contrato, o más
tiempo si es requerido por la legislación local
 19

PTP.SSM.CO.3 Contratación competitiva

El proceso de contratación se realiza a través de un proceso competitivo (es decir, invitando a varios provee-
dores a ser parte del proceso para que presenten sus propuestas). Si se necesita realizar un cambio de un pro-
ceso competitivo, se formaliza a través de proveedor único y debe ser aprobado por la gerencia autorizada, e
incluida en un reporte mensual preparado para el Oficial de Fraude/Gerente de Riesgo. El flujo de aprobación
debe incluir, al menos, al jefe local de contratación y si el artículo de compra es parte de una categoría gestio-
nada globalmente, debe informarse al director mundial de la categoría o jefe global de contratación.

PTP.SSM.CO.5 Acuerdo de confidencialidad para los proveedores y Millicom

La información proporcionada a Millicom por los proveedores en respuesta a una oferta es estrictamente
confidencial. Todos los participantes, por parte del proveedor y por parte de Millicom, deben firmar un com-
promiso de confidencialidad. Para los empleados de Millicom, no se requiere un acuerdo de confidencialidad
específica, si está cubierto por el contrato de trabajo o un código de conducta.

PTP.SSM.CO.6 Evaluación Anual de Proveedores

Además de los topes definidos por el Departamento de Compras Corporativas, y en base a la evaluación de la
criticidad local (riesgo / impacto financiero), los proveedores/contratistas existentes son evaluados periódica-
mente contra los requisitos del contrato, por ejemplo, cualquier acuerdo de nivel de servicio definido (SLA) o
indicadores clave de rendimiento (KPI).

PTP.SSM.CO.7 Fuente alternativa de proveedores para compras críticas

Para las compras críticas sensibles/estratégicas se analiza sistemáticamente una fuente alternativa de suminis-
tro para asegurar la continuidad del negocio. Las fuentes alternativas de suministro han sido identificadas y se
puede acoplar a corto plazo para reducir al mínimo las interrupciones del negocio.

PTP.SSM.CO.8 Los acuerdos Marco

Para los proveedores / contratistas principales (que se definen basándose en un análisis de riesgos, en la parte
superior del valor de los gastos), un acuerdo marco general o un contrato se formaliza de manera sistemática,
revisada y firmada por los niveles pertinentes de administración de acuerdo con las normas de las autoridades
locales y por los proveedores/contratistas.

PTP.SSM.CO.9 Términos y Condiciones generales de compras

Los términos y condiciones generales de compra son estándar, son revisados por el jefe local del Departamen-
to Legal, de Finanzas y de Cadena de Abastecimiento, se aplican a cada compra y se mencionan en la Orden
de Compra, (PO). Las desviaciones ya sean en la PO, el Contrato o el acuerdo marco se mencionan y deben
ser aprobados por los niveles pertinentes de administración de acuerdo con la Matriz de Autorizaciones. Para
los artículos parte de una categoría administrada a nivel mundial, las modificaciones son aprobadas por el
director mundial de la categoría a cargo de la misma.
 20

PTP.SSM.CO.10 Administración del archivo maestro de proveedores (VMF)

La compañía guarda un archivo maestro de proveedores (VMF), que abarca todos los proveedores aprobados y
se mantiene con derechos de acceso limitados. El empleado que posea acceso a adicionar/eliminar/modificar,
debe tener un respaldo y éstos no deben ser involucrados en el proceso de adquisición o Departamento de Con-
tabilidad. Ninguna compra puede hacerse con proveedores no registrados en el VMF. Las condiciones de compra
establecidas en el VMF tienen que ser utilizadas de forma automática para la creación de la PO, hasta el pago.

PTP.SSM.CO.11 Seguimiento a cambios en el VMF

Todas las modificaciones hechas al archivo maestro de proveedores deben ser revisadas (con especial atención
a los datos bancarios de proveedores), a través de la generación automática mensual de un “informe de con-
trol de cambios” proveniente del sistema.

PTP.SSM.CO.12 Adhesión de los empleados a las reglas de contratación

Existe un proceso para asegurar la adhesión por parte de los empleados a las normas de contratación: Existe un
proceso de comunicación y formación sobre el procedimiento de contratación (incluyendo sólo a proveedores
debidamente registrados) y la comunicación de las medidas disciplinarias en caso del no seguimiento o adherencia.

PTP.SSM.CO.13 Código de conducta de los proveedores de Millicom

Los proveedores, al menos los que hacen parte del “TOP 20”, firman el Código de Conducta de Proveedores
de Millicom y se les informa de los estándares de Millicom sobre la edad mínima legal de trabajo (revisar el
control sobre edad mínima de contratación en el proceso de recursos humanos: HRM.RCT. CO.5).

PTP.SSM.CO.14 Control sobre el cumplimiento por parte de los proveedores al código

de conducta.
Los proveedores de alto riesgo, se definen con el apoyo del equipo de salud y seguridad en el trabajo corpo-
rativo y de medioambiente (HSE - Health, Safety & Environmental) y de responsabilidad social empresarial
(CSR - Corporate Social Responsibility). Se realizan controles periódicos para el cumplimiento del Código de
Conducta para proveedores.

PTP.SSM.CO.15 Cláusula para impedir renovaciones tácitas (para evitar contratos a

término indefinido)
El acuerdo con proveedores incluye una cláusula que impide la renovación automática del contrato (Con excep-
ción de los contratos de alquiler de sitio), y todos los contratos de suministro incluirán una cláusula que impide la
renovación automática más allá de 5 años, (No habrán contratos de duración indeterminada) o, como mínimo,
incluyen un mecanismo que permita la terminación por Millicom dentro de un tiempo razonable. Un proceso
competitivo de licitación se debe seguir antes de una potencial renovación/extensión del contrato o un informe
de justificación debe hacerse mucho antes de la fecha límite de la terminación del contrato.
 21

4.2 Proceso de la orden de compra

PTP.POP.CO.1 Aprobación de las órdenes de compra PO
Todas las órdenes de compra son autorizadas por un nivel específico de autoridad de acuerdo con las reglas
de autoridad de gestión del grupo y de los administradores locales.

PTP.POP.CO.2 Campos obligatorios de las PO

Cada PO tiene un número de referencia único, siempre que sea posible generado por el sistema. Cuando se
utilizan órdenes manuales la secuencia se contabiliza. Cada PO incluye también la identificación del provee-
dor, referencia del producto, cantidad, precio, condiciones de entrega y de pago junto con la referencia a los
proyectos (proyecto CAPEX o OPEX) y el contrato o acuerdo marco, si aplica.

PTP.POP.CO.3 Identificación de los términos y bienes/servicios en la PO

Los términos (condiciones de pago, los arreglos logísticos, etc.) de la orden de compra deben ser identificables.
Los bienes y servicios a recibir deben ser fácilmente identificados en términos de la naturaleza y cantidad.

PTP.POP.CO.4 Las PO aprobadas quedan bloqueadas

Una vez aprobadas, las órdenes de compra – (Purchase Orders – PO) deben ser bloqueadas para evitar mo-
dificaciones en el sistema, para que los campos de datos (proveedor, la naturaleza de la compra, cantidad,
número de pedido, etc.) no puedan ser modificados sin estar sujeta a una nueva aprobación.

PTP.POP.CO.5 Revisión del estado de la PO

El estado de todas las órdenes de compras pendientes se revisa mensualmente y se toman medidas apropia-
das, como el seguimiento de la entrega oportuna con el proveedor, la grabación de las entregas o el cierre de
la orden de compra.

PTP.POP.CO.6 Todas las compras se realizan por el Departamento de compras

Sólo el Departamento de Compras debe adquirir, solicitar cotizaciones o comprometer a la Compañía en la
adquisición de bienes y servicios. Sin embargo, de acuerdo con la política de adquisiciones del grupo, las acti-
vidades de adquisición seleccionados pueden delegarse a otros departamentos en los siguientes casos:
•• Protección de seguridad esencial, los intereses estratégicos o comerciales de Millicom
•• Los bienes y servicios que requieren conocimientos muy especializados
Esta delegación deberá estar documentada y aprobada por el jefe local de la Contratación.
 22

PTP.POP.CO.7 Nuevo Todas las compras están respaldas por una orden de compra válida
Todas las compras requieren una orden de compra, incluyendo aquellas para las que existe un contrato de
suministro. Las excepciones podrán concederse en función del nivel de gasto (por ejemplo, las compras de
menos de US$ 200 realizadas por el área de adquisiciones no requieren una orden de compra) o la naturaleza
del gasto (ej. categorías de compra, como servicios públicos).
Las excepciones al uso de la orden de compra se definen y se documentan, y son aprobadas por el responsable
del Departamento Financiero (CFO) y son comunicadas a los equipos pertinentes internamente. El monitoreo
es para asegurar que toda la actividad de compra que no ha seguido el proceso de orden de compra esté de
acuerdo con la política de excepciones.

4.3 Recepción de bienes y servicios

PTP.RCG.CO.1 Conciliación entre la PO y nota de entrega
La naturaleza y cantidad de los bienes recibidos se comparan con la nota de entrega y la PO. Las discrepancias
o incumplimientos se informan sistemáticamente en la nota de entrega antes de reconocer el recibido, o no.

PTP.RCG.CO.2 Notificación de discrepancias e incumplimientos de entregas

Discrepancias o incumplimientos significativos son notificados y aprobados por los responsables correspon-
dientes de acuerdo a la matriz de autoridad local antes de ser aceptados.

PTP.RCG.CO.3 Registro de la información de los entregables

Existe un proceso para asegurar los bienes y servicios de datos, la recepción oportuna y registrada con exac-
titud en una entrada de mercancías Nota (GRN) o el recibo del servicio (GRN). Los datos se actualizan en el
sistema de inventario, así como en el sistema de contabilidad.

PTP.RCG.CO.4 Control de calidad de los bienes y servicios recibidos

Para todos los bienes y servicios existe un proceso de control de calidad y existe un procedimiento de recep-
ción documentado e incluye como mínimo:
1. Responsable de recibir bienes y servicios de mercancías y control de calidad, incluyendo la validación por
la matriz autoridad local
2. Qué controles específicos deben realizarse
3. Con qué frecuencia el control debe ser ejecutado
4. Problemas de calidad deben ser comunicados. Y
5. Cómo el control debe ser documentado para demostrar que se ejecuta.
 23

PTP.RCG.CO.5 Reclamos a proveedores

Las reclamaciones a proveedores se registran en un archivo específico. Se hará seguimiento regularmente por
parte de las personas responsables de compras (Ejemplo. sustitución de bienes o solicitud de una nota de crédito).
Compras es responsable de la coordinación con el departamento interno. En función de la naturaleza de la
reclamación, Contratación debe involucrar al departamento Legal o de Cumplimiento.

4.4 Logística
PTP.LOG.CO.1 Planeación del proceso de compras
El departamento de Cadena de Suministro tiene una planificación de las adquisiciones para los departamen-
tos de Abastecimiento, con la suficiente antelación (mensual como mínimo) para estar en condiciones de
organizar la logística de los flujos de una manera óptima.

PTP.LOG.CO.3 Informe sobre indicadores de costo y rendimiento de logística

El departamento de la cadena de abastecimiento local realiza un seguimiento mensual de los costos de lo-
gística y los indicadores clave de rendimiento (KPI) por ejemplo, costo de transporte por aire / tierra / mar /
multimodal, la relación de la carga aérea, el análisis de costos de almacenamiento y el espacio, etc. Cuando se
identifican las debilidades, las acciones correctivas apropiadas se aplican oportunamente.

4.5 Gestión de Terceros

PTP.TPO.CO.1 La aprobación de la contratación de consultores
La contratación de consultores, contratistas, agentes temporales de corto / largo plazo, deberá estar debida-
mente aprobada, de acuerdo con la matriz de autorizaciones de la Compañía.

PTP.TPO.CO.3 Monitoreo de Asesores y costos de la mano de obra externa

Los costos de mano de obra subcontratada, como consultores, contratistas y agentes temporales deben ser
registrados, se debe hacer seguimiento y notificación periódica a la administración local, para asegurar que no
hay desvío de los procedimientos de contratación.
A modo de ejemplo, el seguimiento se puede proporcionar a través de indicadores claves de rendimiento,
como el número / costo de la mano de obra subcontratada Vs los empleados de nómina, para la operación
completa y por departamento, la duración promedio de la asignación del personal subcontratado, porcentaje
de las posiciones claves ocupadas por empleados subcontratados, etc.
 24

4.6 Segregación de funciones

PTP.SoD.CO.1 La separación de funciones - La adquisición de bienes y servicios
Las personas que: a) ingresan las órdenes de compra; b) autorizan las órdenes de compra; c) reciben los bienes
y servicios; d) procesan las transacciones de la cuenta de compras. Y e) actualizan el archivo maestro de pro-
veedores. Son independientes uno del otro.

4.7 Gestión del proveedor

PTP.DAI.CO.1 nuevo Desempeño ético de los proveedores
Todos los proveedores en las categorías de alto riesgo (según la política Millicom) con contratos de suministro de
más de $ 1 millón USD por año, han completado una autoevaluación EcoVadis dentro de los últimos dos años.
Cualquiera de los proveedores que puntúan por debajo de 35/100 tiene un plan de acción correctivo y segui-
miento del avance por la operación.

5. Compras y cuentas por pagar – Contabilidad

Los controles internos del proceso Compras y cuentas por pagar – Contabilidad tiene por objeto garantizar
que los pagos a proveedores se registran con puntual precisión.

5.1 Grabación de facturas

PTP.IVR.CO.1 Recepción de las facturas
Existe un proceso para asegurar que todas las facturas son recibidas directamente por el departamento de finan-
zas. Esto puede ser a la vez un proceso físico, por ejemplo, las facturas físicas son recibidas en la recepción que
luego las lleva directamente al departamento de finanzas, y/o un proceso digital, es decir, las facturas electrónicas
se envían a una dirección única de e-mail para contabilidad, por ejemplo, accounting@millicomoperation.com.

PTP.IVR.CO.2 Tres pasos (three way match) entre la PO, los documentos de entrada y la factura.
La orden de compra (PO), la recepción de documentos y las facturas de proveedores se analizan para identifi-
car que haya concordancia y son revisadas para su aprobación antes de preparar el pago al proveedor.

PTP.IVR.CO.3 Resolución de disputas

Los conflictos con los proveedores son registrados y controlados por el departamento de finanzas sobre una
base continua. El departamento de finanzas es responsable de la coordinación con el(los) departamento (s)
involucrados en la disputa con el proveedor para asegurar una pronta resolución. En función de la naturaleza
de la disputa, finanzas debe involucrar al área legal o de recursos humanos.
 25

5.2 Gestión de cuentas por pagar

PTP.APM.CO.1 Revisión mensual y la confirmación de saldos por pagar
Sobre una base mensual, finanzas prepara un calendario de provisiones basado en la lista de productos /
servicios recibidos pero no facturados. El equipo de finanzas, en conjunto con cada departamento correspon-
diente, revisa la lista de órdenes de compra pendientes con el fin de determinar si se requieren provisiones de
bienes / servicios recibidos físicamente pero no facturados.

PTP.APM.CO.3 Revisión de cuentas por pagar vencidas

Una revisión periódica de los saldos de proveedores / vencimiento de saldo acreedor y débito incluidos en
cuentas por pagar del libro mayor se realiza para prevenir el fraude y la duplicación de pagos. Cualquier ano-
malía se investiga y se corrige cuando sea necesario.

PTP.APM.CO.4 Confirmación anual de los datos de las cuentas por pagar con los 20 pro-
veedores más importantes
Las conciliaciones de cuentas por pagar de los 20 proveedores más importantes se realizan anualmente (antes
de fin de año). Se identifican y se investigara las diferencias entre la declaración de proveedor y el libro mayor
acreedor. Se hacen las correcciones necesarias después de su revisión y aprobación.

PTP.APM.CO.5 Aprobación de pagos anticipados

Los pagos anticipados y los avances son aprobados de conformidad con la Matriz de autorizaciones. Como
práctica recomendada éstos deben mantenerse a un mínimo y sólo se producen en el contexto de las nego-
ciaciones contractuales.

PTP.APM.CO.6 Revisión mensual de pagos anticipados

Los pagos anticipados se concilian y examinan mensualmente para gestionar el riesgo de doble pago y garan-
tizar que los costos se reconocen en el período contable correcto. Todos los pagos anticipados deben:
•• Estar vinculados al contrato correspondiente y PO.
•• Se deben verificar todas las facturas vinculadas al contrato para garantizar que el pago anticipado
fue legalizado.

PTP.APM.CO.7 Conciliación de Libro de compra

El total de los saldos de proveedores se concilian mensualmente de manera individual con el libro mayor.
Partidas conciliatorias son identificadas e investigadas. La conciliación es objeto de revisión.
 26

6. Gobierno legal y corporativo

Los principales objetivos de Control Interno sobre los procesos de gobierno legal y corporativo son los de
asegurar que los contratos cumplan con las leyes y normativa, así como con las políticas corporativas, y res-
pondan al mejor interés de la Compañía. Las actividades de control establecidas en adelante se aplican a todas
las categorías de contratos.

6.1 Gestión contractual

CGV.LEG.CO.2 Numeración de Contratos y Almacenamiento
Todos los contratos están numerados (por secuencia numérica, alfabética o en combinación). Todos los
grupos cumplen con el Procedimientos de retención y las regulaciones locales. Un registro de contratos se
mantiene bajo la supervisión del departamento legal (u otra función designada) que detalla todos los contra-
tos firmados, fecha del contrato, la propiedad de contrato y emplazamiento de almacenamiento. Todos los
contratos se almacenan de forma segura (por ejemplo, en una caja fuerte a prueba de fuego).

CGV.LEG.CO.3 Comunicar al área financiera los nuevos contratos

Está definido el procedimiento para informar y comunicar al departamento de Finanzas sobre los nuevos
contratos. Los contratos nuevos o complejos y sus posibles efectos contables, son discutidos con el depar-
tamento financiero antes de la firma. Cuando se considere necesario, el equipo del Grupo de Finanzas y / o
equipo de IFRS son consultados.

CGV.LEG.CO.4 Términos de gestión del contrato

Esta formalmente implementado el procedimiento, con las condiciones contractuales, el seguimiento de los
términos es verificado por funcionarios relevantes (incluyendo la terminación y cláusulas de renovación). La
renovación automática del contrato está desestimada y todos los contratos tienen como mínimo, un meca-
nismo que permite en un plazo razonable la terminación o cancelación por Millicom. La supervisión del ren-
dimiento y la notificación oportuna están definidas. Los incumplimientos y las excepciones, son identificados
y reportados, y se toman medidas para resolverlas de una manera oportuna.

6.2 Solicitud de Colaboración de las Autoridades

CGV.COR.CO.1 Gestión de solicitudes de asistencia al cumplimiento de la ley
En cumplimiento de la ley el departamento legal local confirma la legalidad de las solicitudes de colaboración
de las autoridades antes de que se procesen. La autoridad que hace la solicitud proporciona por escrito. En
caso de petición urgente, la solicitud escrita se puede proporcionar de manera posteriori. Todas las solicitudes
 27

deben ser documentadas y archivadas según el tipo (intercepción en vivo, los datos de CDR, datos de MFS y
retirada de contenidos) y de la autoridad solicitante. Las áreas informan el número total de solicitudes por
categorías de forma anual, formalizándolo en los informes a través de la herramienta corporativa Enablon.

CVG.COR.CO.2 Monitoreo de la privacidad de las bases de datos del cliente

Para responder a solicitudes de asistencia en cumplimiento de la ley, el acceso a las base se datos del cliente
(la información personal del cliente, los datos de CDR, tales como llamada, ubicación, SMS, correo electrónico
o información de tráfico de Internet, documentos de servicios en la nube, la dirección IP) está estrictamente
supervisado:
•• El acceso a esta información está justificado y documentado de forma sistemática.
•• Sólo las personas autorizadas tienen acceso a las bases de datos del cliente.
•• Es posible generar un informe de registro de acceso que es emitido por TI y es revisado por el área
legal, fraude o el equipo de seguridad, para comprobar que sólo las personas autorizadas recupe-
raron o consultaron la base de datos del cliente.

7. Tesorería
Los principales objetivos de CI de Tesorería son asegurar: a) todo el efectivo se recibió y registró con rapidez y
precisión. b) todos los desembolsos de efectivo se encuentran debidamente autorizados y se registran adecua-
damente c) los saldos de caja se mantienen en niveles adecuados. d) se reduce al mínimo el riesgo de fraude;
y e) el cumplimiento de las directrices de la empresa y las leyes locales.

7.1 Cuentas bancarias

TRS.BAC.CO.1 Relaciones bancarias
Todas las relaciones bancarias, incluyendo la apertura y la celebración de las cuentas bancarias, cuentas en el
extranjero, líneas de moneda extranjera, garantías bancarias, banca electrónica, sistemas de pago y cualquier
otro servicio bancario se establecen con sólo los bancos permitidos, tal como se define en las políticas de te-
sorería del grupo de acuerdo con la matriz de autoridad local.
La apertura y cierre de la cuenta bancaria con el banco seleccionado debe ser notificada al equipo de tesorería
de Millicom cuando ocurra. Cualquier apertura de cuentas bancarias con bancos no autorizados deber ser apro-
bada por escrito por el director de finanzas del Grupo o el Tesorero del Grupo, previa la apertura de la cuenta.
 28

TRS.BAC.CO.3 Mandato bancario

Cada Filial / Operación mantiene un registro de todas sus cuentas bancarias y una lista de todos los firmantes
autorizados. Los firmantes autorizados para cada cuenta bancaria son aprobados formalmente por el Consejo
de Administración de Operaciones o de acuerdo con la matriz de autorización, de acuerdo a los estatutos
sociales locales. Trimestralmente el CFO revisa la lista de firmantes autorizados por cualquier cambio. Esto
está documentado y compartido con la Tesorería del Grupo. Todos los cambios en las firmas autorizadas son
notificados inmediatamente al banco (s).

TRS.BAC.CO.4 De cobertura
No se realizan operaciones de tesorería especulativas (es decir, con la única intención de obtener beneficios),
incluso para el negocio de MFS. Los instrumentos de cobertura (valor razonable / flujo de caja / seguro de
cambio según se define en las Políticas de Tesorería Grupo) se realizan sólo con los bancos principales, ver
Política de Tesorería para las excepciones, por ejemplo, Colombia. No hay instrumentos de cobertura con
vencimiento superior a 6 meses.
Cualquier estrategia y ejecución de cobertura es aprobada por el grupo de tesorería, gestión de capitales y
aprobados por el equipo de Millicom y/u otras personas autorizadas como se define en las Políticas de Teso-
rería del Grupo.
Hay limitadas excepciones específicas a esta política relacionada a Colombia que se detallan en la Política de
Tesorería del Grupo. Estas deben cumplirse en su totalidad.

TRS.BAC.CO.5 La tarjeta de crédito corporativa

Las tarjetas de crédito corporativas se expiden a los empleados con la aprobación de: • los gerentes de línea de
los empleados, y el CFO. Las tarjetas débito corporativas con débito directo a la cuenta de la empresa no están
autorizadas, con la excepción de las tarjetas débito aprobadas de manera formal tanto por el vicepresidente
ejecutivo responsable y el CFO, presidente.
En el caso en que las tarjetas corporativas con débito directo en la cuenta bancaria de la Compañía (s) se expi-
dan a miembros seleccionados del personal, debe existir un procedimiento que cubra los principales riesgos
y controles, debe estar documentado y se debe incluir la lista de tarjetas en circulación.

TRS.BAC.CO.6 El seguimiento de la tarjeta de crédito corporativa

El departamento de contabilidad obtiene mensualmente del departamento de Tesorería una lista actualizada
de los empleados que se les ha emitido una tarjeta de crédito corporativa. La lista se verifica con la lista de
empleados sobre una base mensual. Todas las inquietudes son objeto de seguimiento.
 29

7.2 Pasivos financieros

TRS.FDB.CO.1 La deuda externa
Los acuerdos externos para nuevos préstamos, bonos y líneas de crédito, independientemente de los valores,
vencimientos o soporte de garantía, sólo podrán registrarse con la aprobación formal de la tesorería del gru-
po Millicom. Esto incluye cualquier forma de programas de financiación de proveedores. Todos los términos
y condiciones de los acuerdos de financiación externos son revisados y formalmente firmados por el grupo
Legal y de Tesorería antes de firmar dichos acuerdos.
Esto es válido independientemente del vencimiento de la deuda (a corto, medio o largo plazo), y con indepen-
dencia de si una garantía será proporcionada por el Grupo Millicom o no. Además la autorización adecuada
también se debe obtener de la Junta local y el CFO de Millicom o la junta de Millicom dependiendo del
tamaño y la delegación de autoridad.

TRS.FDB.CO.3 Acuerdo fuera de balance

Antes de entrar en un acuerdo fuera de balance (por ejemplo, garantía bancaria), los compromisos son apro-
bados por un representante legal y de gestión de acuerdo con la delegación local de la matriz de la autoridad.
Ellos están debidamente registrados y revisados regularmente para la acción apropiada. Todos los registros de
garantía son reportados a la Tesorería del Grupo Millicom sobre una base mensual.
La aprobación se obtiene del Grupo de tesorería de Millicom y el Equipo Legal del Grupo antes de buscar
cualquier garantía externa. En función de la importancia de la garantía, podría requerirse la aprobación del
CFO del Group o la junta de Millicom según la delegación de la autoridad contenida en las Políticas de Te-
sorería del Grupo.

TRS.FDB.CO.4 Revisión del registro de préstamos

Se revisa el registro de préstamos de forma periódica para comprobar que sea correcto y completo (incluyendo
la coherencia del gasto en intereses, clasificación en corto/largo plazo, etc.) y se compara con el Libro Mayor.

TRS.FDB.CO.5 Condiciones
El equipo de la tesorería local supervisa el cumplimiento de las Condiciones e informa trimestralmente a los
controladores regionales en Luxemburgo. Los controladores revisan el cumplimiento de Condiciones y firman
la revisión como evidencia. Mensualmente los controladores regionales realizan la supervisión de cumpli-
miento de condiciones independientes e informan a la Tesorería del Grupo Millicom. Todas las violaciones o
posibles violaciones de Condiciones se comunicarán inmediatamente al grupo de tesorería de Millicom y el
controlador regional de la operación.
 30

7.2 Procesamiento de pagos

TRS.PPR.CO.2 Procedimiento de pago a tiempo de facturas y retenciones
Existe un procedimiento estándar y está documentado para asegurar el pago puntual de las facturas y reten-
ciones. El procedimiento proporciona orientación en relación con varios tipos de pagos (autoridad pública,
proveedores, etc.).

TRS.PPR.CO.5 Aprobación de pagos

Todos los pagos bancarios deberán estar avalados por los justificantes pertinentes, aprobados de acuerdo con
la matriz de autorización local y registrados en el libro mayor antes del pago.
Todos los pagos bancarios están sujetos a la doble aprobación por las firmas autorizadas. Firmantes son for-
malmente aprobados por el Consejo de Administración o autoridad competente de la operación de acuerdo
con los estatutos locales tanto ‘ A’ y ‘ B ‘ autorizados.

TRS.PPR.CO.6 Pagos domiciliados

Los pagos a los proveedores a través de orden permanente se mantienen al mínimo. Todas las órdenes perma-
nentes son revisadas y validadas con los bancos contra los contratos de los proveedores sobre una base anual.

TRS.PPR.CO.7 La integridad de las cuentas bancarias de proveedores

La información relativa a las cuentas bancarias de proveedores, condiciones de pago, forma de pago se ali-
menta automáticamente desde el archivo maestro de proveedores para el módulo de pago / plataforma /
herramienta durante el proceso de preparación de los pagos. No hay modificaciones de los datos maestros de
proveedores se pueden hacer en la herramienta de pago después de esta transferencia automatizada.

7.3 Caja Menor

TRS.PTC.CO.1 Seguridad de facilidades de pago
El acceso a las facilidades de pago (pago de MFS, talonarios de cheques, y la caja Menor) está restringido y
controlado. El monitoreo incluye, entre otras cosas, una numeración secuencial de los controles y los movi-
mientos de caja Menor.

TRS.PTC.CO.3 Procedimiento de gestión de caja Menor

Existe una política claramente definida para la gestión de los gastos de caja Menor (una de las políticas cu-
briría: uso autorizado, nivel máximo de almacenamiento de efectivo para gastos menores, la reposición, los
límites de autoridad para los gastos de caja menor, la segregación de funciones entre los responsables de la
caja menor y aquellos que autorizan el gasto, etc.). La política está documentada y comunicada.
 31

TRS.PTC.CO.4 Revisión de los movimientos de caja Menor

Los movimientos de caja Menor se registran para documentar cómo se gasta el dinero en efectivo. Los ade-
lantos en efectivo son compatibles con los recibos de cada monto emitido. Los movimientos de caja menor se
revisan y se concilian con los recibos de caja al saldo de cada de cierre. La revisión incluye un inventario de caja
Menor semanal y conteos periódicos “sorpresa” por alguien independiente. El número de cuentas y el nivel de
participación de las partes independientes en los conteos deben ser determinados con base en el riesgo. Todas
las operaciones deben reducir al mínimo el uso de caja Menor (niveles retenidos, número de ubicaciones).

TRS.PTC.CO.5 El seguimiento de los adelantos en efectivo a los empleados

Los avances en efectivo / préstamos a los empleados pueden ser aprobadas solamente y conjuntamente con
personal autorizado de recursos humanos. Se firma un acuerdo formal entre la empresa y el trabajador, don-
de el empleado reconoce formalmente que la cantidad de adelanto en efectivo / préstamos serán deducidos
de su pago en cantidades regulares hasta que esté completamente recuperado por la empresa. Recursos hu-
manos registra en un archivo los adelantos en efectivo / préstamos aprobados de los empleados para tomar
las medidas que sean necesarias.
No hay avances en efectivo para directores generales EVP (o superior) sin la aprobación oficial de la Junta Gru-
po Millicom. Adelantos en efectivo aprobados / préstamos a empleados se describen como tales en los com-
probantes de pago, firmado por los empleados, y registrados en los libros de contabilidad como un anticipo.

7.4 Conciliación bancaria

TRS.BRC.CO.1 Conciliaciones bancarias
Mensualmente todos los saldos de cuentas bancarias son conciliados con los extractos de cuentas bancarias y
el libro de caja, Las partidas de conciliación que no coincidan se documentan y se investigan para resolverlas
de manera oportuna. Las conciliaciones son revisadas y firmadas por el responsable financiero (CFO), el con-
tralor del grupo / director de contabilidad del Grupo para la dirección general. Una copia de la conciliación,
junto con la documentación de respaldo se archiva. El proceso de conciliación cumple con la política de Te-
sorería del Grupo y se realiza de forma automática en el módulo ERP, donde está disponible.

7.5 Segregación de funciones

TRS.SoD.CO.1 Segregación de funciones para el pago
Existe segregación de funciones entre las siguientes personas: 1. la persona que procesa los pagos y tiene ac-
ceso a los sistemas bancarios, cheques, etc. 2. La persona que aprueba las facturas y eleva las solicitudes de
pagos, 3. La persona que aprueba los pagos; y 4. La persona que registra los pagos en los libros locales.
 32

TRS.SoD.CO.2 La seguridad de los pagos en efectivo

La segregación de funciones existe entre los responsables de los pagos en efectivo y aquellos que autoricen
tales gastos. La delegación de autoridad para la aprobación de los pagos en efectivo y transferencias de dinero
se documenta en la matriz de autorizaciones local.

TRS.SoD.CO.3 Seguridad de acceso al sistema de banca electrónica

La lista de las personas autorizadas para acceder al sistema de banca electrónica, en caso de existir, se revisa al
menos trimestralmente con la lista que dispone Recursos humanos. La lista se aprueba, con una periodicidad
anual como máximo, en función del nivel de gestión adecuado con el banco.

TRS.SoD.CO.4 Segregación de funciones para la conciliación bancaria

Existe segregación de funciones entre las siguientes personas: 1. la persona que registra la transacción bancaria
en los libros de contabilidad. 2. la persona autorizada para realizar los pagos. 3. Y la persona que realiza las
conciliaciones bancarias.

7.6 Gestión de efectivo

TRS.CAS.CO.1 La conversión del excedente de caja
Con periodicidad semanal, los excedentes de efectivo (es decir, todo aquello que sobrepase un mes en OpEx
o CapEX, excluyendo el efectivo restringido de la cuenta de fideicomiso de Servicios Financieros Móviles) se
convierte a USD y se deposita offshore de acuerdo con la Política de Tesorería del Grupo, con la excepción de
Chad y Senegal, donde el excedente de efectivo se gestiona en euros. Todo el efectivo se consolida de manera
semanal en las cuentas maestras, tal y como se establece en la Política de Tesorería del Grupo

TRS.CAS.CO.2 Seguridad de los excedentes de caja

Se prioriza el depósito de excedentes de caja de la siguiente manera: a) Cuenta general corporativa, b) depó-
sitos a corto plazo con menos de 6 meses de vencimiento con los bancos principales definidos en la Política
de Tesorería del Grupo. Cuentas en el extranjero con los bancos no principales están cerradas.

TRS.CAS.CO.3 La previsión de flujo de efectivo

Se prepara una predicción del flujo de caja de 15 meses continuos cada trimestre y se envía a través del pro-
ceso de predicciones trimestral estándar (planificación y análisis financiero (FP&A) y entregas de pérdidas y
ganancias (P&L) y bancos y valores (B&S)).
 33

TRS.CAS.CO.5 Gestión de excedentes de caja

La inversión de excedentes de caja ( incluyendo, pero no limitado a los instrumentos que contienen deriva-
dos) es hecha solo por personas debidamente autorizadas y con la aprobación formal por escrito ya sea por el
director financiero del grupo o el tesorero del grupo y en cumplimiento de la Política de Tesorería del Grupo.

7.7 Servicios Financieros Móviles - cuentas de fideicomiso

TRS.MFS.CO.2 El seguimiento de las cuentas de fideicomiso
Las cuentas de fideicomiso se revisan trimestralmente para asegurar una adecuada diversificación de los ban-
cos asociados y el cumplimiento de las Políticas de Tesorería del Grupo, así como la regulación local. Los
valores disponibles por cuenta son monitoreados de forma permanente. Acciones tales como el seguro de
depósitos, se toman cuando se considere necesario.

TRS.MFS.CO.3 Intereses de las cuentas de fiduciarias

Existe un procedimiento formal definido, documentado que controla y gestiona todas las entradas de cuen-
tas fiduciarias, por ejemplo, el pago de intereses, la distribución de interés para los clientes y agentes, gastos
bancarios, los gastos relacionados con honorarios, etc.
Una estrategia para gestionar el interés de las cuentas fiduciarias es discutida con un representante legal y el
equipo de Tesorería.

TRS.MFS.CO.4 Administración de Fondos MFS

Todo el efectivo restringido el MFS se lleva a cabo en moneda local y en forma de depósitos que garantizan el
100 % de liquidez, sin riesgo a su capital y sin penalizaciones por amortización. De acuerdo con la Política de
Tesorería del Grupo, todo efectivo no restringido se transfiere de forma regular desde las Cuentas de Fideico-
miso de Servicios Financieros Móviles a las cuentas bancarias de MIC. Todas las posiciones de efectivo MFS
restringidos y no restringidos, por las cuentas de fideicomiso, se reportan mensualmente en HFM.

TRS.MFS.CO.5 Transacciones transfronterizas de MFS

Todas las cuentas de Tigo fiduciarios se pre - financian por los agentes y clientes, a menos que otros requisitos
sean dictados por la ley.
En el contexto de las transacciones transfronterizas (ambas transacciones internacionales entrantes y salien-
tes), la creación de dinero electrónico es pre- financiado en moneda local en el momento en que el dinero se
transfiere. Cualquier desviación de esta norma está aprobada específicamente por la Tesorería del Grupo Mi-
llicom. Los contratos firmados antes de 2014, en el que no se cumpla con este requisito de pre - financiación
son revisadas con el objetivo de garantizar el cumplimiento.
 34

RS.MFS.CO.6 Préstamos entre empresas

En lugares donde el MFS es una entidad legal separada: cada 6 meses y no más tarde de 30 días después del
final del período de 6 meses, el director financiero de la operación (CFO) y el Jefe MFS envían a la tesorería del
grupo Millicom y al Equipo Global MFS la necesidad de recapitalización para el MFS de la Compañía.
Dicha evaluación incluye tanto dinero y la financiación no efectiva. La evaluación debe ser aprobada por la
Comisión de Hacienda y por el Gerente Global de Impuestos y el director de impuestos locales.
 
8. Cierre contable y reporte financiero
Los objetivos principales del Control Interno sobre el proceso de cierre Contable y reporte financiero son:
a. Asegurar el cierre oportuno, preciso y completo de los libros subyacentes
b. Preparar informes financieros internos y externos. Y
c. Que se lleve a cabo la presentación oportuna de los informes con las autoridades externas.
Además las actividades de control relacionadas con los gastos de viaje se presentan en la sección 8.6

8.1 Actividades del cierre financiero

CFR.FCA.CO.1 Aprobación de cambios en los cuadros de cuentas locales
Los cambios en los planes de cuentas locales son aprobados por un ejecutivo autorizado y están de conformi-
dad con las directivas de grupo. Cuentas específicas entre compañías se crean en el sistema de contabilidad
local basado en las instrucciones corporativas.

CFR.FCA.CO.2 Lista de chequeo de cierre

Existe una lista de control de cierre mensual por el controler financiero para asignar que realizó y que revisa
todas las tareas mensuales de cierre dentro del equipo de finanzas. La lista de control de cierre se utiliza para
contrastar los resultados con los plazos de presentación de informes internos y de grupo. La lista de control
de cierre completo es revisada y aprobada por el controler al final del proceso de fin de mes.

CFR.FCA.CO.3 Lista de chequeo de provisiones potenciales

Se prepara una lista de comprobación de las áreas donde las obligaciones podrían dar lugar a provisiones, y es
actualizada por lo menos cada tres meses. El Departamento de Finanzas recibe una actualización de las obli-
gaciones potenciales de cada departamento para asegurar el tratamiento contable de las obligaciones reales
o potenciales (legales, regulatorios, comerciales, tributarias, distintas) la cual es revisada.
 35

CFR.FCA.CO.4 Monitoreo de las cuentas pendientes o transitorias

Todas las cuentas transitorias y de compensación son revisadas y aprobadas con regularidad. Cada cuenta se
concilia de forma mensual que incluye un análisis de antigüedad de saldos. Cada conciliación de cuentas es
revisada por alguien independiente del preparador.

CFR.FCA.CO.5 Conciliación de libros auxiliares con el libro principal contable

Todas las cuentas de balance son conciliadas sobre una base regular. Como mínimo, cuentas de alto riesgo
y / o cuentas de alto volumen se concilian mensualmente. En particular, todos los libros auxiliares (activos
fijos, cuentas por cobrar, cuentas por pagar, inventario, etc.) se concilian con el libro mayor mensualmente.
Todas las conciliaciones son revisadas y firmadas por la dirección. La segregación de funciones existe entre el
preparador y revisor.

CFR.FCA.CO.6 Validación de juicios o tratamientos contables complejos

Todas las transacciones nuevas y / o significativas en las que el tratamiento contable es crítico o complejo
(por ejemplo, lo que representa para los derivados, las ventas de la torre y posterior arrendamiento financiero
operativo, etc.) son identificados. El tratamiento contable propuesto es analizado y documentado. Este es
remitido al equipo del Grupo IFRS para su revisión y aprobación.

CFR.FCA.CO.7 Revisión de Provisiones

Al final de cada periodo deben estar contabilizadas todas las partidas a fin de poder realizar un cálculo ra-
cional de la provisión (de acuerdo con IFRS). Las provisiones se actualizan al menos trimestralmente y son
aprobadas para su integridad y exactitud.

CFR.FCA.CO.8 Política de conciliación de cuentas de balance

Existe una política documentada clara con respecto a la preparación y revisión de conciliaciones de cuentas
de balance. Cada cuenta de balance tiene un dueño / preparador y un revisor. La frecuencia de la conciliación
de cada cuenta se identifica claramente. Como mínimo, cuentas de alto riesgo y / o cuentas de alto volumen
se hacen sobre una base mensual.

CFR.FCA.CO.9 La conciliación de cuentas de balance

Las conciliaciones de balance son preparadas con información adecuada respecto a la cantidad, la naturaleza
y el envejecimiento de ambas partidas conciliatorias y la posición en el balance de cierre. La documentación
de soporte se adjunta cuando sea necesario (por ejemplo, informes de libros mayores auxiliares subyacentes,
los informes del sistema, etc.). Las excepciones son detectadas, investigadas y se aclaran de manera oportuna.
 36

CFR.FCA.CO.10 Ajustes contables

Un listado de los ajustes pendientes/recurrentes mensual es mantenido, incluyendo una lista con el nombre
de los responsables del cálculo y registro de cada ajuste. Se realiza una revisión mensual que asegura que to-
dos los ajustes pendientes /recurrentes han sido registrados.

8.2 Gestión de las cuentas intercompañía

CFR.ICM.CO.2 Documentación y respaldo de precios de transferencias
Todas las transacciones entre compañías con Grupo Millicom y otras empresas deben ser soportadas de
acuerdo a un documento legal firmado y precios de transferencia de manera que:
•• Se establezca la naturaleza de la transacción. Y el pago / ingreso es de conformidad con el principio
de libre competencia establecido por la legislación local y / o principios de la OCDE.

CFR.ICM.CO.3 Conciliación de cuentas entre compañías

La conciliación de cuentas entre compañías se lleva a cabo con regularidad y son documentadas (al menos
trimestralmente). Todas las discrepancias significativas entre compañías se investigan y son corregidas opor-
tunamente. Las conciliaciones están sujetas a revisión.

8.3 Reportes y consolidación

CFR.RAC.CO.1 Estados de cambios desde el local a las cuentas consolidadas
El contador de cada filial concilia con el paquete de informes de consolidación del Grupo Hyperion sobre una
base mensual antes de la presentación. Esta conciliación incluye la consolidación parcial de las personas jurídicas
locales con el fin de informar al Grupo (en su caso). La conciliación se realiza para rendir informe como mínimo
de los ingresos, EBITDA, los activos totales, el patrimonio total. La conciliación es revisada por el controler.

CFR.RAC.CO.2 Revisión de los indicadores clave de funcionamiento y revisión analítica

de Pérdidas y ganancias.
Una revisión analítica del P&G (con el presupuesto, pronóstico, etc. periodo anterior) se lleva a cabo y se
documenta incluyendo indicadores clave de rendimiento. La revisión explica las variaciones y tendencias sig-
nificativas. Es revisado por la alta dirección (por ejemplo, CFO, GM).

CFR.RAC.CO.3 Estudio analítico del Balance y flujo de caja

Una revisión analítica del Balance General y Estado de flujos de efectivo se realiza mensualmente y se docu-
mentan como parte del proceso de cierre. La revisión explica las variaciones y tendencias significativas. Es
revisado por la alta dirección (por ejemplo, CFO, GM).
 37

CFR.RAC.CO.4 Examen de la situación fiscal

En cada cierre de consolidación, la situación fiscal está debidamente analizada: -Cálculo de los impuestos
corrientes y diferidos se puede soportar(trimestral) -Pagos de impuestos en efectivo para el año se pueden
introducir (mensual) -Pagos de retención de impuestos pueden ser identificados (trimestral) -Identificar los
riesgos fiscales en cada país (trimestral a través de proceso de matriz de riesgos de impuestos) -Comparar la
tasa efectiva de impuestos a la tasa de impuesto y explicar las variaciones (trimestral) -Divulgaciones de im-
puestos para las cuentas anuales pueden ser completadas (anualmente).

8.4 Declaraciones de impuestos y el cumplimiento

CFR.TAX.CO.1 new El cálculo del impuesto
Existe una política documentada para la realización de los cálculos de impuestos sobre la renta, el IVA (im-
puesto sobre las ventas) / impuestos indirectos local y WHT (retenciones a cuenta). Esta política define a las
personas encargadas de la realización del cálculo e incluye un calendario que indique las fechas de vencimien-
to para completar cada ciclo.
Una lista detallada de todas las obligaciones a presentarse ya sea en un mes o una vez al año se mantiene y se
utiliza para asegurar que todos los rendimientos requeridos se han completado.

CFR.TAX.CO.2 new Conciliación de impuestos

Los pagos de impuestos / reembolsos presentados están conciliadas con los cálculos.

CFR.TAX.CO.3 new Ingresos tributarios

Al entregar los cálculos, se obtiene una confirmación de la recepción de la declaración fiscal y del pago/recep-
ción por parte del departamento del Gobierno. Se mantiene un registro de todas las confirmaciones recibidas
por parte de los departamentos del Gobierno

CFR.TAX.CO.4 new Consulta tributaria a especialistas de Impuestos

Los especialistas en impuestos y el equipo de Grupo Fiscal son consultados antes de todos los grandes proyec-
tos, contratos o cualquier transacción con un potencial de impacto fiscal significativo con el fin de compren-
der plenamente el impacto en la situación fiscal de la empresa.
 38

8.5 Segregación de Funciones

CFR.SoD.CO.3 Separación de funciones para los ajustes.
Todas los ajustes son revisados y aprobados por una persona apropiada (por ejemplo, contralor) que es inde-
pendiente del que registra el ajuste.

8.6 Los gastos de viaje

CFR.TEX.CO.1 Política de gastos de viaje
Reglas para los viajes y otros gastos menores son definidas y comunicados a todos los empleados y contratis-
tas / consultores pertinentes. Incluyen los gastos permitidos, límites a las cantidades que pueden ser reclama-
dos, documentación necesaria, se requiere la aprobación y proceso de reembolso. Las reglas locales están en
línea con la política de gastos de viaje y de grupo.

CFR.TEX.CO.2 Aprobación de los gastos de viaje

Todos los viajes y otros gastos menores reclamados por los empleados y contratistas / consultores relevantes
se presentan para su aprobación junto con los recibos de soporte. Todos los reclamos son aprobados por el
administrador de la línea del empleado antes de ser presentado para su pago. Reclamaciones de gastos para
directores generales son aprobadas por el Director de EVP Comercial en LATAM (o la Junta local de Colombia,
Guatemala y Honduras) o el EVP (Vicepresidente ejecutivo) en África.

9. Gestión de TI y redes
Los principales objetivos del control interno sobre Tecnología de la Información y Gestión de la Red son:
a. La continuidad y la eficiencia de las operaciones comerciales
b. garantizar la exactitud, la integridad, la seguridad y confidencialidad de los datos
c. La prevención de transacciones fraudulentas
Control Interno a TI y a la gestión de la red, es complementario a otras políticas y normas de Millicom, in-
cluyendo Información sobre Normas de Seguridad ( ISS 2.0), la gestión de crisis y los Estándares de Gestión de
Continuidad de Negocio
 39

9.1 Políticas, Formación y Sensibilización

ITN.POA.CO.1 Políticas locales de Seguridad de la Información y Tecnología de la Información
Las políticas de Seguridad de la Información y Tecnologías de la Información están definidas localmente de
acuerdo con las políticas del Grupo, especialmente en lo que respecta a los Estándares de Seguridad de la In-
formación y los Estándares de Gestión de la Crisis y Gestión de la Continuidad del Negocio. Las políticas son
comunicadas a todos los empleados y contratistas.
La política local de Seguridad de la Información y Tecnologías de la Información identifica riegos relevantes y
define todos los autorizados, actividades restringidas o prohibidas. Como mínimo, incluye:
•• Riesgos relacionados con Seguridad de la Información y Tecnologías de la Información.
•• Uso autorizado, restringido o prohibido de computadores de la compañía, emails, internet y telé-
fonos móviles.
•• Las actividades prohibidas, por ejemplo compartir contraseñas, acceso no autorizado a los datos
o divulgación de datos.
•• Políticas sobre el uso de dispositivos personales (trae tu propio dispositivo), incluyendo teléfonos,
llaves USB, discos duros y portátiles.
La política es firmada por todos los empleados, contratistas y terceros (por ejemplo proveedores de servicios)
que trabajan en la compañía. Esta política es actualizada al menos anualmente.

ITN.POA.CO.2 Sensibilización, información y formación

Curso de sensibilización relacionado con Seguridad de la Información y uso de Tecnologías de la Información
es realizado al menos en una base anual para los empleados, incluyendo:
•• Carteles acerca de los riesgos y la responsabilidad de las acciones realizadas.
•• Sesiones de sensibilización con toda la compañía
•• Información específica o sesiones de entrenamiento con equipos específicos o interés específico.
El curso de sensibilización también se incluye en la inducción de los empleados nuevos. Las herramientas
online son preferibles, especialmente para planear, soportar el entrenamiento, monitorear y evidenciar el pro-
greso. Se deben mantener registros de asistencia para los cursos obligatorios. Las evaluaciones son tenidas en
cuenta para asegurar su correcto entendimiento y aceptación.
 40

9.2 Gestión de Accesos y Permisos de Usuario

Las actividades de gestión de permisos y accesos convocan a varios puestos de la organización:
•• Titular de información: Se trata de un puesto comercial y no de fábrica que resulta clave para pro-
teger datos y sistemas sensibles. Este puesto debe estar claramente definido en las políticas. El titu-
lar de la información gestiona el inventario, asigna información a la categoría adecuada y decide el
nivel mínimo de protección. Sin embargo, el personal de seguridad revisa las decisiones del titular
de la información para garantizar el cumplimiento de políticas y normativas.
•• Titular de proceso comercial: Tiene la responsabilidad última del rendimiento de un proceso para
conseguir sus objetivos, así como la autoridad y la capacidad para realizar los cambios necesarios.
•• Gestor o titular de aplicación: Se trata de un puesto comercial y no de fábrica y es responsable de
la aplicación, así como de la definición y la entrega de la dirección y valor agregado de la aplicación.
•• Responsable directo (del usuario): Se trata de un puesto comercial o de fábrica y es el responsable
directo de los usuarios finales (empleados, contratistas, etc.).
•• Administrador de sistemas: Se trata de un puesto técnico/de fábrica y es responsable del manteni-
miento, configuración y funcionamiento fiable de los sistemas electrónicos, especialmente de los
equipos multiusuario, como son los servidores.
•• Responsable de Seguridad de la Información (local): Desarrolla, implementa, prueba y revisa la se-
guridad de la información de una organización para protegerla e impedir el acceso no autorizado.
Informa a los usuarios acerca de las medidas de seguridad, explica potenciales amenazas, instala
software, implementa medidas de seguridad y supervisa las redes.
•• Administrador de seguridad: Se trata de un puesto técnico/de fábrica y es responsable de la imple-
mentación de medidas de seguridad.

ITN.UAR.CO.1 Segregación de funciones para los usuarios de negocios y usuarios técnicos

Una matriz general de Segregación de Funciones es diseñada por el Dueño de la Información, el Dueño del
Proceso de Negocio, el Dueño de la Aplicación o el Administrador del Sistema y aprobada por el Oficial de
Seguridad de la Información. La matriz de segregación de funciones define permisos de acceso incompatibles
para empleados o contratistas.
La matriz de segregación de funciones es revisada al menos anualmente o después de cada cambio significativo del
negocio (por ejemplo, nuevos servicios o nuevos productos, fusiones y adquisiciones, etc). Esta matriz es aprobada
por todos los jefes de departamento antes de su aplicación. Este control aplica para todos los usuarios (empleados y
contratistas) y todas las aplicaciones de negocio incluyendo Adquisiciones, Ventas, Plataformas de red, Facturación,
Finanzas, Recursos Humanos, Nómina, Servicios Financieros Móviles y otras aplicaciones relevantes.
 41

ITN.UAR.CO.2 Aprobación de los permisos de acceso

Creación, modificación o eliminación de permisos de acceso para aplicaciones (y la operación subyacente de
los sistemas y bases de datos) y archivos de datos maestros son aprobados por el dueño de la aplicación (para
creación o modificación) o por el Gerente de Línea (para eliminación).
Todos los cambios de permisos de acceso referentes a administración de la seguridad o permisos de usuarios
poderosos o superusuarios son aprobados por el Oficial de Seguridad de la Información. Las excepciones son
documentadas y aprobadas con la implementación de controles compensatorios. Este control aplica para
todos los usuarios (empleados y contratistas) y todas las aplicaciones de negocio, incluyendo Adquisiciones,
Ventas, Plataformas de red, Facturación, Finanzas, Recursos Humanos/nómina, Servicios Financieros Móviles
y otras aplicaciones relevantes.

Designación de responsabilidades recomendada:

•• RR. HH.: Iniciar la solicitud puntual para la creación o la eliminación de la cuenta de usuario me-
diante el aviso de cambios en el personal (contratación, transferencia o abandono). RR. HH. no es
responsable de aprobar accesos o mantener la segregación de deberes.
•• Titular de proceso comercial, Titular de información o Titular de aplicación: Responsables de iden-
tificar funciones/actividades incompatibles en el proceso y de la definición y aplicación de la ma-
triz de segregación de deberes (tras la aprobación de los permisos de acceso).
•• Responsable directo: Notificar a RR. HH. la contratación de nuevos empleados o contratistas,
transferencias y abandonos. Seleccionar los perfiles concretos para la creación/modificación de
cuentas de usuario siguiendo la descripción del puesto y las matrices de segregación de deberes.
•• Responsable de seguridad de la información: Supervisa que los perfiles nuevos/modificados cum-
plan con las políticas de seguridad y la matriz de segregación de deberes, especialmente durante la
revisión de permisos. Garantiza que la creación/modificación/eliminación se realicen respetando
los plazos correctos.
•• Administrador de seguridad TI: Ejecuta la creación/eliminación una vez recibe la aprobación adecuada.

ITN.UAR.CO.3 Creación oportuna, modificación o eliminación de accesos

Existe un proceso para creación, modificación o eliminación de accesos de usuario (aplicaciones, sistema ope-
rativo y bases de datos) de manera oportuna en el momento de la contratación, cambios de rol o terminación.
Todos los cambios son autorizados por los Gerentes de Línea y se aplican para empleados y contratistas. Los
niveles de servicio son definidos para creación, modificación y eliminación. La eliminación de accesos se hace
de manera oportuna como se describe en el Estándar de Seguridad de la Información.
 42

ITN.UAR.CO.4 Revisión regular de los permisos de acceso individuales a los sistemas y

aplicaciones
Los permisos de acceso individuales a los sistemas operativos, bases de datos y aplicaciones son regulados y
formalmente revisados por el dueño de la aplicación y aprobados por el dueño de la información para asegu-
rar que los permisos otorgados están alineados con las funciones y responsabilidades de cada usuario (relacio-
nados en la descripción de funciones) y no tiene conflictos con la matriz de segregación de funciones definida.
Se da un enfoque específico a la inactividad, las transferencias y tras el fin de la terminación de accesos (para
empleados y contratistas), sobre las cuentas con un límite de tiempo (contratistas), y sobre las cuentas crea-
das para terceros (por ejemplo, proveedores de servicios).
Se hace una revisión trimestral para identificar cambios que no siguen el proceso, incluyendo concesión de
permisos tardíos o eliminación de accesos y aprobaciones erróneas. La revisión es hecha por el Oficial de
Seguridad de la Información. Las revisiones también se hacen después de cada modificación significativa de
la matriz para asegurar que no existan conflictos. El resultado de la revisión es debidamente aprobada por el
Oficial de Seguridad de la Información.

ITN.UAR.CO.5 Identificador Único de Usuario

Identificadores únicos de usuario son necesarios para acceder a información confidencial y activos de cual-
quier sistema de información (aplicable a todos los computadores de escritorio, portátiles, servidores, dispo-
sitivos móviles (teléfonos y tabletas), equipos de red y plataformas, aplicaciones y sistemas de información)
para garantizar la identificación única de los usuarios.
Definición de ID de usuario requiere:
•• El nombre convenido es definido y estrictamente aplicado
•• Todos los ID de usuario están vinculados a una única persona física
•• El Grupo y los usuarios compartidos son evitados en la medida de lo posible, autorizado sólo
cuando sean necesarios por razones operativas o de negocios, y son aprobadas y documentadas.
Las excepciones son debidamente aprobadas y monitoreadas, los controles compensatorios son implementados

ITN.UAR.CO.6 Política de Password

Una política es definida y aprobada por el ISO (Responsable de Seguridad de la Información Local), y aplicada
a todos los activos de información, incluyendo sistemas operativos, aplicaciones, bases de datos, equipos de
red y plataformas, y algún otro activo relevante. Esta política tiene como objetivo asegurar la autenticación y
la contabilidad de los usuarios de acuerdo a las acciones que ellos realizan usando los sistemas de información.
Esta política específica como mínimo:
 43

•• Que las contraseñas son personales, no se debe compartir contraseñas y los dueños de las contra-
señas son responsables de sus acciones
•• La divulgación y almacenamiento inseguro de datos confidenciales está prohibido, y compromete
la responsabilidad de los usuarios que realizan la acción
•• La longitud mínima
•• La complejidad requerida incluyendo minúsculas y mayúsculas, números y caracteres especiales
•• Período de tiempo para cambio de contraseña
•• La imposibilidad de usar valores históricos
•• Envío de contraseña separado del login
•• La contraseña inicial debe ser cambiada en el primer uso
•• El bloqueo de cuenta después de intentos fallidos
•• El desbloqueo manual después de intentos fallidos
•• El cierre de sesión automático por inactividad.
Para aplicaciones sensibles (por ejemplo generación de PIN y E-PIN) un proceso de autenticación de dos
factores, incluidos los datos biométricos o tarjetas inteligentes, debe ser configurado para asegurar acceso
altamente seguro y restringido. Las excepciones debido a limitantes técnicas (especialmente aplicaciones y
sistemas de tercerizados) son documentados en detalle con la implementación de controles compensatorios.

ITN.UAR.CO.7 Monitoreo de cuentas administrativas y cuentas poderosas

Súper usuarios (incluidas cuentas de administrador y cuentas de superusuarios), proporcionadas por terceros
o auto configuradas, son monitoreadas. Cuando sea posible y aplicable, las cuentas administrativas o podero-
sas son otorgadas por un tiempo limitado.
Las cuentas administrativas suministradas por los proveedores (incluyendo sistemas operativos, aplicaciones
y bases de datos) son deshabilitadas, o al menos las contraseñas por defecto son cambiadas. Las cuentas ad-
ministrativas adaptadas a las necesidades del negocio son preferidas para cuentas administrativas por defecto
para proveedores.
Las cuentas de súper usuario sin uso son eliminadas o desactivadas. De otro lado las contraseñas por defecto
son cambiadas siguiendo las políticas de contraseñas. Las excepciones debido a limitaciones técnicas son
documentadas y se implementan controles compensatorios. De acuerdo con los controles (ITN.UAR.CO.3) y
(ITN.UAR.CO.4), las cuentas de superusuarios son revisadas trimestralmente. Las diferencias son corregidas,
las excepciones son documentadas y debidamente aprobadas y se implementan controles compensatorios.
 44

ITN.UAR.CO.8 Segregación de funciones relacionadas con desarrolladores

Los desarrolladores no tienen acceso a los ambientes de producción. Este es para personal autorizado única-
mente y se revisa regularmente. Los chequeos son realizados para asegurar que las acciones están alineadas
con las justificaciones documentadas en ticket.
En caso de solo emergencias, se permiten acceso específico y temporales. Es necesario las aprobaciones de
acuerdo a la matriz de autorización antes de otorgar accesos por tiempo limitado, y los permisos son revo-
cados tan pronto el cambio de emergencia sea realizado. Si no se puede restringir el acceso, el Gerente debe
monitorear las actividades de los desarrolladores en ambientes de producción. Todas las acciones realizadas
en ambiente de producción, incluyendo lectura, copia, extracción, creación, modificación y borrado, son re-
gistradas y luego archivadas en un ambiente seguro.
Además, la modificación en la configuración de las aplicaciones y sistemas operativos son monitoreadas y
revisadas por el gerente, Gerente de TI/Redes o el CTIO local y aprobada por el BPO o dueño de la aplicación.
Las excepciones serán documentadas con aceptación del riesgo.

ITN.UAR.CO.9 Segregación de funciones relacionadas con permisos de súper usuarios

Los permisos de superusuario no son otorgados a los usuarios de negocios, únicamente a los usuarios de redes
o TI. Si se requiere usuarios administradores específicos, o poderosos o superusuarios son definidos para una
lista restringida de usuarios de negocio, siguiendo un listado de tareas autorizadas.

9.3 Soluciones de Terceros y Licenciamiento

ITN.LIC.CO.1 Aplicaciones autorizadas
Solo se instalan aplicaciones autorizadas en servidores o computadores. Una lista de aplicaciones autorizadas
es publicada y regularmente actualizada siguiendo los requerimientos técnicos o de negocio y adquisición de
la solución, y también incluye una lista de software libre autorizado y aplicaciones gratuitas. Esta lista es revi-
sada anualmente por el ISO y aprobada por el CTIO (Responsable de Tecnología)
Dos veces al año es revisado el software instalado por el administrador del sistema, preferiblemente de ma-
nera automática para identificar alguna diferencia con la lista de autorizados. Las excepciones son aprobadas
por el ISO, y el resultado de la revisión es aprobado por el CTIO (Responsable de Tecnología). El software no
autorizado es removido oportunamente.

ITN.LIC.CO.2 Monitoreo de licencias

Debe mantenerse un inventario de las licencias adquiridas de TI y redes y las fechas de expiración son atenta-
mente monitoreadas para asegurar que la compañía y su personal está utilizando solo licencias válidas.
 45

Los usuarios tienen que hacer un requerimiento cuando necesitan adquirir una nueva aplicación para instalar en
su máquina. Este requerimiento es aprobado por soporte TI, de acuerdo a las licencias disponibles (donde aplique).
Una revisión es realizada trimestralmente por el Administrador del Sistema para asegurar que el número de
instancias instaladas para cada aplicación cumple con el número de licencias adquiridas, y es aprobada por el
CTIO (Responsable de Tecnología). Cualquier diferencia es corregida inmediatamente.

9.4 Gestión de Datos Maestros

ITN.MDM.CO.1 Aprobación de cambios a los archivos de datos maestros
Cada adición, modificación o eliminación de archivos de datos maestros (Recursos Humanos y nómina, Clien-
tes, Precios de productos y servicios y precios relativos, Proveedores/Vendedores y contratistas, Inventarios y
otros) es adecuadamente autorizado y soportado por la documentación apropiada, especialmente el usuario,
fecha y hora, valor viejo y nuevo. Los procedimientos están definidos y regularmente actualizados para des-
cribir cómo realizar un cambio a los archivos de datos maestros, de un requerimiento de cambio para realizar
el cambio. Esto incluye información requerida y/o documentos necesarios para crear un nuevo dato maestro
o modificar uno existente, y los procesos definidos y reglas de negocio usadas para eliminar un dato maestro.

ITN.MDM.CO.2 Seguimiento a los cambios en los archivos de datos maestros

Un reporte automático o un requerimiento manual (que puede ser aplicado a la base de datos del sistema) es
ejecutado regularmente para mostrar los cambios a datos sensibles en los archivos de datos maestros. (Recur-
sos Humanos y Nóminas, Clientes, Servicio/Producto y Precio correspondiente, Contratista y Vendedor/Pro-
veedor, Inventario y otros que correspondan). Los cambios son periódicamente revisados bajo autorización
de alguien independiente del proceso de entrada de datos.

9.5 Seguridad Lógica y Física

ITN.LPS.CO.1 Clasificación y manipulación de la información
Un inventario de los datos de activos de información es clasificado de acuerdo a la clasificación de activos
definida en el ISS. (Estándares de seguridad de la información del Grupo).
Los datos de clasificación y soporte de aplicaciones son revisados para la adecuada gestión de seguridad. To-
dos los requerimientos contractuales y regulatorios externos e internos con aplicaciones para seguridad de la
Información son identificados, con el fin de asegurar que todos los requerimientos regulatorios locales sean
considerados cuando manipulen y procesen datos.
 46

ITN.LPS.CO.2 Revisión de los registros de actividad de seguridad

Registros de seguridad de actividad son implementados para monitorear intentos de acceso a los datos. Estos
registros son almacenados y analizados usando alarmas predefinidas con reglas apropiadas y efectivas para
evitar alertas por falsos positivos. Estas alarmas son revisadas por el personal definido en la operación (ase-
gurando la segregación de funciones). Las reglas son actualizadas regularmente. Enfocándose en los intentos
fallidos. Una revisión es realizada regularmente. Acciones preventivas y correctivas son ejecutadas y seguidas.

ITN.LPS.CO.3 Software antivirus y antispam

Software antivirus y antispam es instalado en computadores, dispositivos móviles y servidores, componentes
de red y son regularmente actualizados (incluyendo teléfonos y tablets). Una herramienta de gestión de dis-
positivos, aprobada por el GISEC (Comité de Seguridad de la Información del Grupo) y alineada con el grupo
ISS, es implementada para gestionar dispositivos móviles y tabletas.
Listas negras y listas blancas son gestionadas y regularmente revisadas para asegurar que los correos regulares
son recibidos y los spam rechazados.

ITN.LPS.CO.4 Gestión de parches

Todos los sistemas operativos y software deben contar con soporte por parte de un proveedor aprobado o
tiene un apropiado y activo parche actualizado y configuraciones actualizadas disponibles especialmente para
solventar las fallas de seguridad.
Todos los parches y configuraciones aprobados son evaluados, planeados en coordinación con el BPO y aplicado
por el Administrador del sistema o el Ingeniero dentro del período de tiempo especificado (cuando es técnica-
mente factible). La gestión de parches es implementada para todos los productos, servicios, aplicaciones, aplica-
ciones móviles, y contenido asociado (incluyendo software comercial, software libre gratis, hardware/firmware
etc.) y todos los componentes de infraestructura (incluyendo servidores, servidores virtuales, bases de datos,
enrutadores y otros componentes de comunicaciones, componentes de seguridad, estaciones de trabajo, etc.).
Los parches son priorizados y aplicados según la criticidad de la plataforma. Cuando el parcheo impacta un
gran perímetro o podría afectar la disponibilidad del sistema, un proyecto específico es definido y priorizado
con el fin de minimizar el impacto en el negocio. Los respaldos apropiados son realizados antes de aplicar un
parche mayor.
Cualquier excepción, donde un producto, un servicio, un software o una infraestructura no puede ser parcha-
da (por ejemplo, debido a limitaciones técnicas o de costos) se documenta en un requerimiento de acepta-
ción del riesgo, indicando la razón para la desviación y los riesgos relacionados por la no adherencia, y siguien-
do el correspondiente proceso de aprobación.
 47

ITN.LPS.CO.5 Protección de datos incluyendo software de encripción para datos sensi-

bles y laptops
Los datos sensibles, especialmente confidenciales y datos de autenticación confidenciales, son fuertemente
protegidos tanto en reposo (bases de datos, archivos de servidores, etc.) como en movimiento (flujos de red,
emails, etc.), asegurando restricción de acceso y encripción:
•• El software de encripción es instalado en todos los dispositivos móviles (incluyendo teléfonos y
tabletas) siguiendo las políticas del grupo y los requerimientos relacionados. Un análisis de riesgo
es realizado para asegurar que los dispositivos móviles sean encriptados. Cualquier excepción es
documentada en un requerimiento de aceptación del riesgo, indicando la razón para la desviación
y no adherencia, y siguiendo el correspondiente proceso de aprobación.
•• Una conexión por VPN es configurada para permitir conexión remota segura al sistema de infor-
mación
•• HTTPS es usado para asegurar conexión segura a sitios web
•• SFTP y SSH son usados para transferencia de datos desde o hacia servidores
•• Conexiones seguras por escritorio remoto

ITN.LPS.CO.6 Gestión de seguridad de los activos de información

Un inventario de los activos de información, incluyendo identificación y dueño de las aplicaciones de negocio
críticas, versiones de software, arquitectura de red (incluyendo segmentación virtual) es preparado y periódi-
camente revisado para la adecuada gestión de seguridad.

ITN.LPS.CO.7 Acceso restringido a los centros de datos y/o cuartos exclusivos de TI/Redes
El acceso a los centros de datos y/o cuartos y equipos de TI/Redes es restringido a personal relevante y debi-
damente autorizado por medio del uso de una llave, tarjeta, lector de huella o con personal autorizado para
entrar al cuarto.

El acceso a los centros de datos y cuartos de TI/Redes se otorga de acuerdo al requerimiento de cambio apro-
bado y ordenes de trabajo relacionados (como se define en el proceso de gestión del cambio), son trazados y
regularmente revisados por el ISO y el oficial de seguridad corporativa (una persona responsable de la segu-
ridad física), para identificar anomalías, accesos no autorizados, puertas que han permanecido abiertas por
mucho tiempo, etc.
 48

ITN.LPS.CO.8 Segregación de red

La arquitectura de red claramente separa:
•• Red pública o de invitados, especialmente en la red Wi-Fi
•• Las redes y sistemas internos, incluidos equipos de empleados, impresoras e intranet
•• Los servicios de cara al exterior, incluyendo sitios web dentro y fuera de la red, dentro de la zona
desmilitarizada (DMZ)
•• El ambiente de desarrollo y evaluación del ambiente de producción (incluyendo ambientes de
continuidad del negocio).
La red IP es adecuadamente segregada, usando segregación física o lógica, para asegurar acceso privado y
restringido a las áreas protegidas, servicios, sistemas y datos.

ITN.LPS.CO.9 Limitación y monitoreo de conexiones remotas

Todas las conexiones remotas (por ejemplo usando VPN) a la red interna y los ambientes de producción están
limitadas a solo usuarios relevantes, y debidamente aprobados por el Gerente de Línea, el ISO, de acuerdo con
la delegación local de autoridad del CTIO.
Se da enfoque específico a terceros (contratistas y proveedores de servicios) usando VPN. Una cláusula de
auditoria es insertada en el contrato de servicio para permitir monitorear y revisar las conexiones (por ejem-
plo, investigación por compartir las credenciales o acciones realizadas fuera de lo definido por el proceso). Las
conexiones son revisadas regularmente, con enfoque especial en los intentos fallidos. Las acciones correctivas
(por ejemplo, listas negras o direccionamiento IP) se toman para mitigar el riesgo de accesos no autorizados.
Los permisos de conexiones remotas son también revisados regularmente. Los usuarios inactivos son desac-
tivados automáticamente.

ITN.LPS.CO.10 Garantía de seguridad de TI para vulnerabilidades técnicas

Toda la infraestructura, productos, servicios, aplicaciones, aplicaciones móviles, y contenido asociado, pro-
porcionado por terceros, debe:
•• Someterse a una evaluación de vulnerabilidades de aplicaciones periódicas (AVA) o la evaluación
de la vulnerabilidad de la infraestructura (IVA)
•• Tiene alguna vulnerabilidad remediados dentro de los plazos establecidos en el proceso de AVA o
IVA, para nuevas aplicaciones y servicios, al menos sobre una base anual o cuando se introducen
cambios importantes en las aplicaciones existentes y servicios.
La corrección de cualquier vulnerabilidad encontrada en una evaluación de vulnerabilidad debe realizarse tan
pronto como sea posible y priorizados según el factor de riesgo asignado. Cualquier vulnerabilidad conocida
que no se solucionará está documentada con un formulario de aceptación de riesgos con las mitigaciones
adecuadas. La aceptación del riesgo ha de ser aprobado por el ISO o por el Gerente de seguridad de TI.
 49

ITN.LPS.CO.11 Información confidencial en un sistema de información en no producción

La información personal identificable (PII) confidencial o los datos de autenticación no serán sometidos a
un sistema de información de no producción, incluso para una empresa o un objeto de prueba, a menos que
este dato haya sido documentado oficialmente, la copia de este dato ha sido aprobado tanto por el ISO y el
propietario de la información, los datos han sido cifrados o redactado de forma irreversible y el sistema de
información de no producción cumple con los mismos controles que el sistema de producción. En este caso
se deben tomar acciones complementarias para restringir y asegurar el acceso a los datos.

ITN.LPS.CO.12 Respuesta a incidentes

Un equipo de respuesta a incidentes de seguridad (SIRT) es conformado, el cual está compuesto por un grupo
de miembros responsables de la toma de decisiones durante los incidentes. Posibles escenarios de incidentes
son definidos y documentados para sistemas críticos. Una respuesta a incidentes en procesos y en la organi-
zación están definidos, documentados e implementados para identificar, contener y escalar incidentes en la
seguridad de la información. Los incidentes son registrados e investigados. Acciones correctivas y preventivas
adoptadas y seguidas.

9.6 Resiliencia, Operaciones y Recuperación

ITN.ROR.CO.1 Equipos en el centro de datos o en cuartos exclusivos de TI o redes
Aplicaciones de negocio y otros equipos técnicos bajo la responsabilidad de TI y redes son ubicadas en centro
de datos o cuartos equipados con dispositivos de seguridad que incluyen como mínimo:
•• Múltiples y redundantes centros de datos y cuartos de TI/Redes, geográficamente distribuidos
(más de 20 millas entre dos sitios), fuera de áreas de riesgo y rutas aéreas.
•• Cuartos apropiados y racks organizados, cableado en colores y documentación
•• Fuentes de potencia redundantes suministradas por proveedor nacional, UPS, rectificadores, ba-
terías, fuentes de potencia alternas o de emergencia (generador diésel y tanques de combustible),
siguiendo las especificaciones técnicas
•• Sistemas de gestión del aire acondicionado de acuerdo a los requerimientos de temperatura
•• Detección de fuego, extintores y supresores de fuego (usando gas, no agua)
•• Detección de agua e inundación
•• Luces de advertencia de aviones, sistema de iluminación y sistema de seguridad.
 50

ITN.ROR.CO.2 Mantenimiento de los equipos de seguridad física

Todo el equipo de seguridad, incluyendo fuentes de potencia, enfriamiento, detección de fuego, detección de
agua, y otro equipamiento relevante, es monitoreado y mantenido en buen estado de acuerdo con las especi-
ficaciones de acuerdo con las especificaciones del equipo o requerimientos regulatorios.
El mantenimiento y reparación de equipos es apropiadamente documentado, incluyendo identificación del
equipo y desempeño.

ITN.ROR.CO.3 Respaldo de los datos y restablecimiento de los servicios de TI y Redes

El respaldo de datos es realizado por el equipo de operaciones de TI y Redes en los servidores de respaldo:
•• Define la estrategia/política de respaldo y requerimientos técnicos relacionados
•• Define los requerimientos regulatorios y del negocio, Punto de recuperación objetivo y tiempo de
recuperación objetivo, basado en el inventario de activos (sistemas, aplicaciones y datos, configu-
ración y archivos de registro) incluyendo frecuencia de respaldo (diario o más frecuentemente),
modo respaldo (completo o incremental) y soporte (replicación en tiempo real, captura en los
cambios de datos, cintas, etc.). Los activos que no están sujetos a respaldo son documentados y
aprobados por el Gerente.
•• Los RTO’s y RPO’s están al menos definidos en el estándar de Gestión de Crisis y Continuidad del
Negocio, en la sección de análisis de impacto al negocio
•• La planeación del respaldo está definida y aplicada de acuerdo con las estrategias de respaldo y los
requerimientos del negocio y regulatorios. Una revisión se hace diariamente para asegurar que los
respaldos fueron ejecutados
•• Las cintas de respaldo son gestionadas y almacenadas en un sitio seguro externo
•• Las pruebas de restauración de copias de seguridad se realizan regularmente

ITN.ROR.CO.4 Plan de recuperación de desastres

Un Plan de Recuperación de Desastres está escrito para cada aplicación crítica o servicio (TI y Redes) de
acuerdo al RPO y RTO, incluyendo redundancia y medidas de recuperación a tomar teniendo en cuenta el
Análisis de Impacto al Negocio y evaluación del riesgo. El DRP cumple con los requisitos del negocio y permite
la pronta recuperación de sistemas y datos.
DRPs son monitoreados y actualizados cada año (o siguiendo cambios significativos en los sistemas, equipos
y plataformas, o nuevos objetivos de recuperación).
 51

ITN.ROR.CO.5 Operación y mantenimiento de TI y Redes

La calidad del servicio de TI y redes es monitoreado en conformidad con los requisitos de la empresa incluyen-
do monitoreo las 24 horas del día para plataformas de red, para asegurar que los posibles fallos y alarmas son
administrados en forma oportuna. Y las operaciones y el mantenimiento de red incluyen:
•• La detección oportuna de los incidentes y cortes de electricidad (por ejemplo, plataformas de vigi-
lancia, el rendimiento, el servicio de atención al cliente desde la disminución de rendimiento hasta
completar la interrupción de un servicio) mediante la vigilancia integral en una base ininterrumpi-
da, incluida la correlación de eventos/Alarmas y causas análisis de las alarmas.
•• Documentar el incidente y el progreso de la resolución a través de un sistema de ticket incluyendo
una categorización de indisponibilidad
•• Realizar el mantenimiento correctivo utilizando el primer, segundo y tercer niveles de soporte y
servicio técnico de terceros cuando sea necesario, respetando el tiempo de reacción acordado y
tiempo de solución, y siguiendo los escalamientos apropiados
•• Realizar mantenimiento preventivo frecuente siguiendo un plan predefinido, a fin de minimizar
la interrupción

ITN.ROR.CO.6 Gestión de incidentes y problemas

Todos los incidentes (aplicaciones, bases de datos o fallos del sistema, el ancho de banda o disminución del
rendimiento, no copias de seguridad y restauraciones, alimentación o incoherencias de refrigeración, etc.) se
registran y son administrados a fin de supervisar los casos abiertos, la gravedad y el impacto en los servicios, la
duración de la incidencia, y el tiempo de resolución.
Las causas se identifican y se definen planes de acción para resolver los problemas. Los incidentes son revisados a
fin de identificar las interrupciones que siguen sin resolver y los problemas (causas) relacionados con los inciden-
tes recurrentes. Se define plan de acción y seguimiento con el fin de prevenir la ocurrencia de estos problemas.
ITN.ROR.CO.7 Gestión del nivel de servicio
Los acuerdos de nivel de servicio son definidos y acordados con el BPO. SLAs cubren servicios internos y ser-
vicios gestionados (tercerizados) y se enfocan especialmente en:
•• Disponibilidad de tiempo de inactividad por ejemplo excluyendo el mantenimiento planificado, el
promedio de tiempo entre la ocurrencia de un incidente y su resolución, el suministro de energía
y la temperatura de las salas…
•• Y desempeño, por ejemplo tiempo de respuesta, latencia.
SLAs describen el alcance de los servicios (nivel de soporte, tiempos de detección y solución, lista de sistemas, apli-
caciones o servicios a gestionar), requerimientos asociados (e.g. número de usuarios concurrentes, horas de servicio
de expertos, disponibilidad o desempeño) y KPIs a medir, y son aprobados por el BPO y Gerente de IT/Redes.
 52

Los niveles de servicio son monitoreados y gestionados con el fin de verificar que los requerimientos técnicos y
de negocio se cumplen de acuerdo con el SLA. Cuando los SLAs no cumplen, se definen planes de acción para
corregir fallas y prevenir nuevas ocurrencias.

ITN.ROR.CO.8 Gestión y Planeación de capacidad

Capacidad de las facilidades técnicas de TI y Redes, incluyendo espacio en centro de datos, almacenamiento
(disco duro, cintas de respaldo, archivos en servidores), recursos en hardware (Procesamiento y memoria),
ancho de banda de transmisión (Wireless, cable, líneas dedicadas y satélite cuando aplica), equipos y plata-
formas de red (crecimiento del tráfico vs capacidad) and fuerza de trabajo (especialmente para Operaciones)
son monitoreados regularmente con el fin de prevenir insuficiencia de recursos que puedan implicar caída del
servicio, y asegurar el desempeño y la calidad de los servicios de acuerdo con los SLAs definidos. Se configuran
alarmas automáticas para cuando se excedan los umbrales. Los sistemas, equipos y plataformas son manteni-
dos sobre una base preventiva para prevenir impacto en los niveles de servicio.
Las proyecciones futuras de uso son actualizadas trimestralmente o antes de cada cambio significativo en el
negocio (incluyendo nuevas ofertas o nuevos productos, fusiones y adquisiciones) y validada por el CTIO.

9.7 Gestión del Cambio

ITN.CMG.CO.1 Políticas y procedimientos para Gestión del Cambio
Existen procedimientos de Gestión del Cambio. Los requerimientos de cambio son documentados, revisados
y aprobados de acuerdo con los procedimientos locales e incluye como mínimo:
•• Definición de que constituye un cambio: menor, mayor, crítico, emergencia, parámetros, restable-
cimiento del respaldo de seguridad
•• Descripción de los cambios incluyendo pero no limitado a: requerimientos de negocio (nuevos re-
querimientos, nuevas ofertas, cambio de tarifas, etc.), gestión de recursos (canales, troncales, enlaces,
etc.), administración del roaming, rutas de interconexión, numeración (incluyendo reciclaje) y admi-
nistración IP, administración de plataformas de red, configuración de alarmas y enrutamiento.
•• Documentación del impacto de los cambios sobre los niveles de servicio
•• Funciones y responsabilidades de los interesados.
•• Planeación de acuerdo a los períodos de tiempo requeridos.
•• Implementación y validación (plan de pruebas incluyendo aceptación de usuarios, uso de ejecu-
ción paralela…) usando un ambiente de pruebas, y aprobado por el BPO.
•• Procesos de despliegue (incluyendo planes de roll-out y roll-back)
•• Matriz de aprobaciones y criterios de rechazo.
 53

Los cambios son realizados siguiendo las órdenes de trabajo planeadas con las prioridades respectivas, inclu-
yendo sitios, sistemas, equipos o plataformas para ser accesadas, planificación de la intervención y el impacto
sobre el nivel de servicio predefinido.

ITN.CMG.CO.2 Procedimiento para cambios de emergencia

Existe un procedimiento para cambios de emergencia que requieren resolución inmediata y explica qué es
lo que constituye los cambios de emergencia, y en qué circunstancias están autorizadas, especialmente para
evaluar la legitimidad y el cumplimiento de las políticas y procedimientos de Gestión del Cambio.

ITN.CMG.CO.3 Seguimiento de las consultas de datos definidos en el almacén de datos

Existen procedimientos para regir la creación y modificación de las consultas de datos en el almacén de datos.
Cubre la revisión de consultas nuevas o modificadas por una persona diferente al preparador (por ejemplo,
aseguramiento del ingreso), almacenamiento seguro e inventario de todas las solicitudes. Los permisos de
acceso al almacén de datos son estrictamente gestionados de acuerdo con ITN.UAR.CO.2.

ITN.CMG.CO.4 Evidencias de auditoria

Una auditoria es configurada para cada transacción (incluyendo pero no limitada a ventas, inventario, bitáco-
ra de entradas, etc.) enfocándose primeramente en transacciones críticas y sensibles. Esto incluye realización
de acciones (incluyendo creación, modificación y eliminación de datos), usuario que realiza la acción y tiempo
de la acción. La auditoría es archivada en un servidor seguro con acceso restringido (estrictamente limitado
al OSI, los requerimientos de acceso deben ser precisamente definidos y aprobados por el Gerente Senior).
Las transacciones relacionadas con aplicaciones críticas (por ejemplo, contabilidad) que requieren una audito-
ría son documentadas en una política. La política es aprobada por el ISO y el IO. Se documentan excepciones.

9.8 Gestión del Conocimiento

ITN.KMG.CO.1 Proceso de gestión del conocimiento
Existe un proceso para identificar, crear, representar, distribuir y habilitar la adopción de aprendizajes y ex-
periencias en personas clave, y para asegurar el respaldo y transferencia del conocimiento para identificar
empleados que ocupan puestos clave, que tienen conocimientos específicos o certificaciones técnicas. Esta
lista es revisada anualmente, y es aprobada por el CTIO. Existe un repositorio que almacena políticas, proce-
dimientos, especificaciones funcionales y técnicas, planes de prueba, etc. y otros documentos relevantes e
información que se requiere ser compartida a toda la organización.
 54

10. Comercialización y mercadeo

10.1 Desarrollo de productos y planes promocionales
COM.PPD.CO.2 Aprobación del presupuesto para los subsidios
El presupuesto general para subsidios de terminales, tarjetas de datos y equipos se aprueba en conformidad
con la matriz de autorización local.

COM.PPD.CO.3 Control de los subsidios en los teléfonos o tarjetas de datos

Los subsidios a los teléfonos, equipos y a las tarjetas de datos son monitoreados:
•• Se define por adelantado la estrategia de subsidio y objetivos comerciales
•• Se realiza monitoreo del desempeño contra estos objetivos.
•• La eficacia de los subsidios se revisa a través de análisis del retorno de la inversión / TIR.

COM.PPD.CO.6 Aprobación y seguimiento de los programas de fidelidad

Los programas de fidelización son aprobados de acuerdo con la matriz de autorizaciones. Ellos son monito-
reados periódicamente para determinar la forma en que están afectando a las ventas.

10.2 Selección de los proveedores de contenido

COM.ECP.CO.1 Existe procedimiento para la celebración de contratos con proveedores
de contenido
Existe un procedimiento formal para la celebración de contratos con proveedores de contenidos o provee-
dores de servicios de contenido. Incluye las autorizaciones necesarias de acuerdo con la delegación local de la
matriz de autorizaciones.
Los procedimientos están en línea con las políticas de adquisiciones locales y los controles de adquisición
incluidos en la cuarta sección del manual de control interno.

COM.ECP.CO.2 Caso de negocio y el contrato con el proveedor de contenido

El proceso de selección de los proveedores de contenidos incluye la preparación de un modelo de negocio que
es revisado por los equipos comerciales y financieras.
Antes de comprometerse con un proveedor de contenidos, se requiere un contrato que incluye como míni-
mo: la naturaleza de los servicios, mecanismo de precios, derechos y obligaciones, ingresos, etc.
Los términos del contrato son validados por el área legal.
 55

COM.ECP.CO.4 Pago a los proveedores de contenido

Los acuerdos de proporción de ingresos entre Millicom y los proveedores de contenido son evaluados por una
persona independiente del departamento Comercial (normalmente, por aseguramiento de ingresos).
Los acuerdos de proporción de ingresos y el tratamiento de reconocimiento de ingresos (brutos o netos)
deberían respetar las políticas de contabilidad del Grupo y las NIIF. Los acuerdos de proporción de ingresos
deberían ser revisados por el equipo de Contabilidad del Grupo.

10.3 Marketing
COM.MKT.CO.1 Procedimiento para nuevas campañas de marketing
Existe un procedimiento formal para poner en marcha nuevas campañas de marketing. Incluye revisión por
el departamento legal con el fin de asegurar que las palabras, frases, renuncias, etc. utilizado en el material de
la campaña de marketing sean las adecuadas.

COM.MKT.CO.2 Seguimiento al plan anual de compra de medios

Existe un plan integral de compra de medios, que es preparado y revisado por lo menos anualmente. Se lleva
a cabo el monitoreo de los medios de difusión, ya sea propio o subcontratado.

COM.MKT.CO.4 Uso de datos de clientes en campañas de mercadeo

Las campañas promocionales de marketing y ventas que se basan en el uso de los datos personales de los
clientes están sujetas a revisión y aprobación por el departamento legal. Esto es para asegurar que hay con-
sentimiento del cliente para el uso de los datos y que su uso es de conformidad con las leyes y los reguladores
locales y por lo tanto no violan las reglas de privacidad.

COM.MKT.CO.5 nuevo Riesgos de la marca en sitio web

Cada operación debe mantener un inventario de todas las páginas web de empresas y direcciones web con-
troladas. Cada sitio web debe tener un nombre del propietario del negocio que tiene la responsabilidad de
asegurar que la información en la página web está actualizada y se adhiere a las directrices de la marca. Sitios
web y direcciones de Internet ya no son necesariamente cerradas o redirigidas.
 56

10.4 segregación de Funciones

COM.SoD.CO.1 Existe segregación de funciones para desarrollo de nuevos productos/
servicios / promoción
Las personas que: a) desarrolla un nuevo producto / servicio / promoción (equipos comerciales) b) la aprueba
(en primer lugar, el equipo comercial, el aprobado por las finanzas y otros según sea el caso, de acuerdo con la
matriz de autorizaciones local) c) la ejecuta (por ejemplo fábrica con revisión por el aseguramiento de ingresos).
Son independientes unos de otros. 

11. Ventas y cuentas por Cobrar

Los principales objetivos del control interno sobre el proceso de ventas y cuentas por cobrar son los siguientes:
a. Asegurar la completa y exacta facturación del cliente.
b. Maximizar el flujo de caja y reducir al mínimo la pérdida de ingresos.
c. Asegurar que la fijación de precios y comisiones están en línea con la estrategia y la política de la
empresa.
d. Maximizar la satisfacción del cliente.
Excepto cuando se especifique, todos los controles definidos a continuación son aplicables a cualquier cliente: de
empresa a consumidor (B2C), empresa a empresa (B2B), prepago y pospago, móvil, telefonía fija, cable y otros.
Existen Controles separados para el negocio de servicios financieros móviles.

11.1 Aceptación, Activación y Desactivación de Clientes

STC.CAV.CO.1 Aceptación de Clientes
Están definidos y documentados los procedimientos de aceptación del cliente y se realizan para todos los
clientes prepago o pospago. Como mínimo, estos procedimientos:
•• Definen los criterios de evaluación de riesgo del cliente necesarios para aceptar o rechazar un
nuevo cliente.
•• Definen los datos del cliente (identidad, dirección, datos bancarios, etc.) y documentos (prueba
de identidad, comprobante de domicilio, etc.) necesarios antes de la aceptación del cliente y la
activación.
•• Identifican toda la documentación a ser colectada y mantenida para cumplir con las leyes y regu-
laciones locales
 57

•• Siguen la política de riesgo de crédito para los clientes pospago, en línea con la política de los sus-
criptores de crédito (STC.CRM.CO.1).
•• Define el proceso de concesión y aprobación de descuentos, subsidios e incentivos similares.
Un informe diario se emite con todos los nuevos clientes (incluyendo las activaciones de terceros, en su caso)
y se revisa en especial en relación con la integridad, la consistencia y exactitud de los datos de los clientes. Las
anomalías son analizadas y corregidas. Un análisis de la causa raíz se lleva a cabo con el fin de evitar una mayor
ocurrencia de estas anomalías. Es recomendado la automatización del proceso con gestión de alarmas. Reali-
zando un informe de excepciones cuando se generan anomalías.

STC.CAV.CO.2 Aprovisionamiento y desaprovisionamiento de abonados

El aprovisionamiento (es decir, la activación) y desaprovisionamiento (es decir, la desactivación) de los abo-
nados es ejecutado por medio de una herramienta automatizada siempre que sea posible. Esto garantiza la
exactitud e integridad de los productos y servicios activados y desactivados y los datos relacionados registra-
dos en las plataformas técnicas y de facturación.
Dependiendo del tipo de cliente y las ofertas (fijo o móvil, prepago o pospago, con o sin datos, la oferta con-
vergente, etc.) todos los servicios técnicos requeridos se aprovisionan en las plataformas relacionadas, desde la
red central (HLR, MSC, SMSC, SGSN, plataformas VAS, EN, etc. facturación) para las plataformas (mediación,
almacén de datos, contabilidad, etc.)
Cuando un cliente cancela un producto o servicio o cuando el contrato expira, todos los productos y servicios son
de aprovisionados para asegurarse que la línea, los productos o el servicio se vuelven inutilizables y no facturables.
Un reporte diario que muestra el resultado de aprovisionamiento / de-aprovisionamiento (incluida la lista de
servicios activados o desactivado) se emite de forma sistemática y anomalías entre los servicios acordados y
los servicios proporcionados son analizados y corregidos. Un control específico está en su lugar para asegurar
que las anomalías detectadas se corrigen en el momento oportuno. Un análisis de la causa raíz se ejecuta con
el fin de evitar una mayor ocurrencia de estas anomalías.
Una conciliación diaria se ejecuta entre las plataformas técnicas (HLC, MSC, SMSC, SGSN, VAS, IN etc.) y pla-
taformas de facturación en términos de suscriptores, perfiles y el estado (es decir, estado activo o inactivo), y
se lleva a cabo a nivel de servicio (es decir, servicios otorgados con respecto a su plan de oferta). Las anomalías
son analizadas y corregidas de manera oportuna (una comprobación específica está en su lugar para asegurar
la corrección oportuna).
Un análisis de la causa raíz se lleva a cabo con el fin de evitar una mayor ocurrencia de estas anomalías. Una conci-
liación diaria se lleva a cabo entre la técnica (HLC, MSC, SMSC, SGSN, plataforma de alarma para vehículos, etc.) y
plataformas de facturación en términos de suscriptores, perfiles y el estado (es decir, estado activo o inactivo), y se
ejecuta a nivel de servicio (es decir, servicios otorgados con respecto a su plan de oferta). Las anomalías son anali-
zadas y corregidas de manera oportuna (una comprobación específica está en su lugar para asegurar la corrección
oportuna). Un análisis de la causa raíz se lleva a cabo con el fin de evitar una mayor ocurrencia de estas anomalías.
 58

STC.CAV.CO.3 Definición de clientes

La definición de cliente cumple con la directiva de grupo (es decir, “los Clientes y definiciones RGU (unidad
generadora de revenue). Allí se describe lo que es un cliente y cómo se cuenta, tanto para fines de presenta-
ción de informes comerciales como de informes regulatorios.

STC.CAV.CO.4 Desaprovisionamiento de Suscriptores y recuperación de equipos

En el desaprovisionamiento (desactivación) de los suscriptores, cualquier equipo que necesite ser recuperado se
realiza en forma oportuna. Todos los contratos relevantes son terminados, si aplica. Y los servicios se desaprovi-
sionan, como se describe en el ítem de aprovisionamiento y desaprovisionamiento de abonados (STC.CAV.CO.2).
Un informe de conciliación diaria se genera entre los servicios desactivados por el sistema de aprovisiona-
miento, el sistema de facturación, equipos recuperados, los contratos de terceros (si procede) y el inventario.
Las excepciones son investigadas.

STC.CAV.CO.5 Gestión de fraude de suscripción

Los procedimientos están definidos, documentados y ejecutados para minimizar el fraude por suscripción. En
los casos en que se subsidian equipos a los nuevos clientes, los controles adecuados están diseñados e imple-
mentados para mitigar el riesgo de insolvencia.
Existen controles específicos para prevenir y detectar posibles fraudes de suscripción. El procedimiento des-
cribe todas las comprobaciones que se realizan, entre ellos (reglas aplicadas) cómo y cuándo (frecuencia de los
controles). Estos controles pueden ser automatizados en alarmas o informes diarios e incluyen:
•• Los clientes de pospago que compran muchas conexiones son investigados para asegurar los ries-
gos de fraude de suscripción; Se abordan incluyendo las siguientes comprobaciones:
›› Llamadas de bienvenida / visitas - especialmente para los clientes de alto riesgo identificados.
•• Análisis de nuevos clientes para identificar posibles fraudes de suscripción basado en disparadores
de riesgos tales como:
›› Los clientes que compren teléfonos de gama alta subsidiados.
›› Terminales con subsidio sin uso / no pago por un período después de su activación.
›› Empresas / clientes de origen extranjero que compren muchas conexiones
›› El perfil de la empresa y otras informaciones disponibles de los clientes para identificar cual-
quier riesgo potencial incluyendo chequeo en listas negras.
Un enfoque basado en el riesgo se adopta al activar los servicios de mayor riesgo, tales como servicios de
roaming para nuevos suscriptores. Específicamente, evitar activar el servicio de roaming por defecto.
 59

(STC.CAV.CO.6 Nuevo) Informe de excepciones sobre condiciones comerciales

Se generan alertas o informes de excepciones cuando se facturan nuevos servicios y equipos con precios me-
nores a los establecidos. Se aplican a las facturas manuales y a las automatizadas. Los informes y las alarmas se
revisan para garantizar que estos descuentos estén justificados y han sido aprobados en conformidad con la
matriz de autorización local.

(STC.CAV.CO.7 nuevo, división de STC.CCR.CO.2) Acuerdo contractual para todos los clientes
Existe una relación contractual entre Millicom y todos sus clientes. Antes de la activación de los servicios, se
firma un acuerdo entre el cliente y los representantes de Millicom, siguiendo la matriz de autorización.
El acuerdo firmado por el cliente se archiva electrónicamente para impedir su pérdida, proporcionar una re-
ferencia en caso de disputa y respetar los requisitos normativos y legales. Las copias físicas se mantienen en la
ubicación marcada por la normativa y las leyes locales.
Este acuerdo hace posible la revisión de las condiciones y de los precios por nuestra parte.

11.2 Gestión del cambio en productos y tarificación

STC.PRT.CO.1 Aprobación del cambio de producto
Está documentado el procedimiento para la aprobación de las modificaciones de las nuevas condiciones comercia-
les. Se proporciona una definición clara de cada tipo de cambio (por ejemplo, la nueva oferta, nuevo producto, el
cambio de tarifa, promoción, cambio de emergencia, etc.) y los criterios relacionados (incluyendo la importancia re-
lativa, umbral, etc.) que se utiliza para aprobarlo. Los cambios que no están definidos se reducen al mínimo. Existen
niveles de autorizadores definidos para gestionar la aprobación de las condiciones nuevas y cambios comerciales
(precios específicos, planes, descuentos, comisiones, cuestiones de logística, cobertura geográfica, etc.).

STC.PRT.CO.2 Proceso de gestión del cambio de tarifas

Todos los cambios de tarifas son documentados por un proceso de gestión de cambio, incluyendo los soportes
de los pasos del proceso y la aprobación de los cambios de acuerdo con la matriz de autorización establecida.
•• Un proceso gestión de cambio podría ser diferente dependiendo el tipo de cambio (Como está
definido en la actividad STC.PRT.CO.1 “”Control a la Aprobación de corrección de servicios o nue-
vos productos “”), es ejecutado para cualquier cambio que tiene que ser puesto en práctica. Se
recomiendan la automatización del proceso de cambio.
•• El proceso garantiza la participación de los interesados, incluidos los comerciales, técnicos, finan-
cieros, legales y de equipos de aseguramiento de ingresos.
•• El tiempo de implementación y el despliegue está previamente planificado y aprobado, evitando
la aplicación durante la hora pico, a excepción de los cambios de emergencia.
 60

STC.PRT.CO.3 Revisión contable de todas las nuevas tarifas y modificaciones de tarifas

Como parte del proceso de gestión de cambio de tarifas (STC.PRT.CO.2) El área de contabilidad formalmente
revisa y aprueba todas las ofertas nuevas o nuevos productos, nuevas tarifas y modificaciones de tarifas de
acuerdo con la matriz de la autorización definida. La revisión incluye:
•• Análisis del tratamiento contable (especialmente en relación con el reconocimiento de ingresos de
acuerdo con la política contable del Grupo)
•• Comprensión de la aplicación (núcleo / carpeta promocional, período de validez, etc.)
•• Informe con la implicación de interfaz que se utiliza para registrar los ingresos en el período y los
ingresos diferidos.
Las promociones que conducen a bajar el precio medio son incluidas en alcance de este análisis.

STC.PRT.CO.4 Validación de las tarifas aplicados

Se definen los procedimientos formalmente para que antes de salir a producción, se realicen pruebas y se valide
la aplicación de tarifas (Aplica para todas las nuevas ofertas, productos y servicios, incluyendo productos de no
voz). Estos incluyen un plan formal de prueba, la prueba de aceptación del usuario, y para el ejercicio de re-cali-
ficación; ejemplo con un día de tráfico, el rendimiento de las llamadas de prueba, funcionando en paralelo, etc.
También están definidas y se llevan a cabo las pruebas mínimas requeridas para los cambios de emergencia.
Cada resultado del plan de pruebas es documentado formalmente y aprobado por las partes interesadas.

STC.PRT.CO.5 Análisis del margen para nuevos productos y servicios

Un análisis de los márgenes (incluyendo diferencia entre el precio de venta al por mayor y el costo de un
elemento) se lleva a cabo para todas las nuevas ofertas, productos o servicios, contenido o interconexión
asociadas y del plan de servicio.
La validez de los supuestos (por ejemplo, la cuota de mercado, competidores, el número de clientes, precios
de venta, periodo de recuperación, etc.) que se utiliza para definir el modelo de negocio es aprobado y son
desafiados. El análisis de los márgenes y la implementación de los cambios en el entorno de producción están
aprobados de acuerdo con la matriz de autorización antes de hacerla efectiva. Una revisión posterior a la eje-
cución de los productos / cambios claves se lleva a cabo y se compara con el caso de negocio inicial.

STC.PRT.CO.6 nuevo Las Normas de conductas y Catálogo de Productos

El departamento comercial tiene una lista de reglas de negocio actuales y un catálogo de productos y ser-
vicios. El catálogo de productos proporciona en cualquier momento los detalles de todos los productos y
servicios válidos, con reglas de negocio correspondiente. El catálogo de productos se actualiza con todos los
cambios en productos, servicios y condiciones.
Aseguramiento de Ingresos cerciora trimestralmente que los productos, los servicios y las reglas activas en las
plataformas están en línea con el catálogo de productos y reglas de negocio.
 61

STC.PRT.CO.7 nuevoProceso de gestión del cambio para los sistemas y las migraciones
Todos los cambios en la red y los sistemas de TI que afectan el ciclo de ingresos son revisados formalmente por
Aseguramiento de Ingresos para identificar su efecto sobre el ciclo de vida de ingresos. Cualquier cambio en
los controles y las alarmas está documentado.

11.3 Relación contractual con la fuerza de Ventas.

Las ventas indirectas se realizan a través de una mezcla de canales en función de cada operativa.
•• Distribuidor: Puntos de venta multimarca.
•• Vendedor: Cadenas de venta multiubicación. Tigo gestiona de forma directa las relaciones comer-
ciales (grandes establecimientos, cadenas, grandes almacenes).
•• Mayorista: Punto de venta multimarca que de forma habitual venden a pequeños vendedores,
agentes freelance, etc.
•• Franquiciado: Ubicaciones independientes y gestionadas de forma exclusiva, utilizando la marca
de Tigo y funcionando de acuerdo con las prácticas de venta y las normas de conducta de Tigo.
Son gestionadas por terceros independientes.
STC.ISF.CO.1 (Anteriormente STC.CCR.CO.1) La selección de socios de ventas indirectas
Existe un procedimiento que explica cómo se organizan los canales de venta indirecta. Proporciona los crite-
rios de selección (comercial, financiera, otros,) que se utiliza para seleccionar nuevos distribuidores, distribui-
dores minoristas o franquicias. Las decisiones de selección se realizan de acuerdo con los criterios definidos
y se formalizan correctamente. Las aprobaciones se realizan de acuerdo con la matriz de autorización local.

STC.ISF.CO.2 (Anteriormente STC.CCR.CO.2) Un acuerdo formal para todos los canales

de venta indirecta.
Se emite un acuerdo de manera formal, sistemática y oportuna para todos los comerciantes, distribuidores,
minoristas y franquiciados, antes de iniciar.
En él se establecen, en particular:
•• Plan de pago de comisión (back y front comisiones )
•• Cálculo detallado, los volúmenes de aplicación y el umbral.
•• Obligaciones exclusivos para los distribuidores
•• Para el distribuidor las condición de distribuidor de publicidad
•• Para el comerciante (antigüedad, situación financiera y competitiva), las restricciones geográficas
o de productos
•• Toda la información relevante.
 62

Este acuerdo está debidamente firmado según la matriz de autorización definida. Permite la revisión a los
precios y demás condiciones, especialmente en relación con el esquema de comisión y el objetivo mensual
utilizado para calcular el bono.

STC.ISF.CO.3 (Anteriormente STC.CCR.CO.4) Comisiones de ventas indirectas

Esta formalmente documentada la política de comisiones y de los incentivos de ventas para los distribuidores,
los distribuidores minoristas y franquiciados. La política cubre las cantidades dadas por adelantado (descuen-
tos, rebajas) y las cantidades pagadas con base en otros criterios de rendimiento y las ventas reportadas.
La política cubre los criterios de la Comisión, registros, la frecuencia y los medios de pago, los valores recupera-
dos y otras normas relacionadas. La estructura de la comisión considera sanciones por la falta de información
necesaria para la CRM o con fines de regulación.
La política es comunicada formalmente.

(STC.ISF.CO.4 nuevos) (STC.ISF.CO.3) (Anteriormente STC.CCR.CO.4) El cálculo, la revi-

sión y aprobación de los pagos de incentivos de ventas y comisiones indirectas
De acuerdo con la política, el pagos de incentivos de ventas y comisiones para los distribuidores, los distribui-
dores minoristas y franquiciados se calculan utilizando datos de origen adecuados. El cálculo de la comisión
de ventas es revisado por alguien independiente de quien lo prepara (por ejemplo Aseguramiento de Ingre-
sos) y los controles se llevan a cabo para validar la integridad y exactitud de los datos de origen, tales como
activaciones de clientes y los ingresos.
Las excepciones son investigadas y resueltas antes de su aprobación. Los cálculos de comisiones de ventas son
aprobados antes del pago, de acuerdo con las normas de la autoridad delegadas locales.

(STC.ISF.CO.5) (Anteriormente STC.CCR.CO.7) Cumplimiento de vendedores o distri-

buidores con las normativas locales, incluyendo la edad mínima de empleo.
Se exige que los vendedores o distribuidores cumplan con las leyes y normativas locales como, por ejemplo,
en temas de seguridad laboral o seguridad social.
Los vendedores o distribuidores reciben información sobre los estándares de Millicom en cuanto a la edad
mínima de los trabajadores. Se firman acuerdos con ellos que son explícitos y claros en cuanto a la necesidad
de cumplir con dicha norma.
 63

11.4 Gestión de la relación contractual con la fuerza de venta directa

Las ventas directas se realizan a través de una mezcla de canales que varía en función de la operativa:
•• Tiendas propias: Una tienda propiedad de Millicom y gestionada por la empresa.
•• FreeLancer/contratistas: Un FreeLancer o contratista es un trabajador independiente (puede tra-
bajar a través de su propia empresa unipersonal) que trabaja en un puesto de venta directa para
Millicom.
•• Empleados: Los empleados de Tigo realizan ventas directas, por ejemplo, en el apartado B2B.

STC.DSF.CO.1 (Anteriormente STC.SFR.CO.1) Los procedimientos de selección de con-

tratistas y profesionales independientes
Existe un procedimiento que explica cómo se organiza la fuerza de ventas directa, lo que es un profesional
independiente y los criterios de selección utilizados para contratarlos. Estos procedimientos contienen niveles
de autoridad para aprobar las condiciones comerciales (precios, comisiones específicas, problemas de logísti-
ca) y los procedimientos utilizados para la verificación de antecedentes (por ejemplo, los contratos anteriores
con Millicom, quejas, antecedentes penales, etc.).
También cumple con las leyes y reglamentos locales de seguridad (por ejemplo, el trabajo, la seguridad social
o los demás requisitos legales pertinentes) y con las normas relativas a la edad mínima para contratar.
El procedimiento describen los criterios utilizados para seleccionar la empresa tercerizada, para la gestión de
los trabajadores independientes cuando se subcontrata con un tercero.

STC.DSF.CO.2 (Anteriormente STC.SFR.CO.2) Las ventas de trabajadores independien-

tes y contratistas en efectivo o crédito
Las ventas de los trabajadores independientes y contratistas son preferiblemente en efectivo. En el caso de
las ventas a crédito, existe una política de crédito que describe los límites de crédito y todas las garantías pre-
ventivas pertinentes, junto con los requisitos para liquidar todas las existencias mensualmente. Los límites de
crédito se siguen de cerca, y se toman acciones correctivas.
Si la gestión de los trabajadores independientes o contratistas se subcontrata por un tercero, el acuerdo firma-
do describe con qué base se gestionan las ventas (en efectivo o crédito) y los límites y garantías necesarias con
el fin de mitigar los riesgos de crédito.

STC.DSF.CO. (anteriormente STC.SFR.CO.3) acuerdo estándar con los trabajadores in-

dependientes y contratistas
Un acuerdo formal y estándar (los términos generales de ventas o un contrato legal) es publicado para todos
los trabajadores independientes o contratistas antes de comenzar el trabajo. Se cumple con las leyes y regula-
 64

ciones locales (por ejemplo, seguridad en el trabajo, la seguridad social o los demás requisitos legales pertinen-
tes). Los acuerdos con los trabajadores independientes o contratistas incluyen, en particular:
•• Actividades asignadas y responsabilidades respectivos
•• Derechos y obligaciones
•• Relación contractual con distribuidores (donde los trabajadores independientes o contratistas tra-
bajen a través de distribuidores, en su caso)
•• Cláusulas clara de terminación (tanto desde el profesional independiente o Millicom)
Si la gestión de los trabajadores independientes y contratistas se subcontrata con un tercero, en el acuerdo firmado
se describen todos los requisitos (actividades delegadas y responsabilidades, derechos y obligaciones, verificación
de antecedentes necesaria antes del empleo, bono o programa de comisiones) y las cláusulas relacionadas (especial-
mente relacionados con terminación) que se incluirán en los contratos de los trabajadores independientes.

STC.DSF.CO.4 (anteriormente STC.SFR.CO.4) comisiones de los agentes de ventas directas

La política de comisiones e incentivos de ventas para los empleados de la fuerza de venta directa, los inde-
pendientes y contratistas, se documenta formalmente e incluyen el porcentaje de la comisión, el cálculo, la
frecuencia y los medios de pago, los valores recuperados y otras normas relacionadas.
La estructura de la comisión considera sanciones por la falta de información necesaria para la CRM o con fines de regulación.
La política es comunicada formalmente a los empleados de la fuerza de ventas directa, independientes y contratistas.

STC.DSF.CO.5 nuevo El cálculo, la revisión y aprobación del agente de ventas directas de

incentivos y comisiones pagos.
De acuerdo con la política, los incentivos de ventas y pagos de comisiones para la fuerza de ventas directa
(trabajadores independientes, contratistas y empleados) se calculan utilizando datos de origen adecuadas. El
cálculo de la comisión de ventas es revisado por alguien independiente del preparador (por ejemplo Asegura-
miento de Ingresos) y los controles se llevan a cabo para validar la integridad y exactitud de los datos de fuen-
tes como las activaciones de los clientes, los ingresos, los ingresos en efectivo. Las excepciones son investigadas
y resueltas antes de su aprobación.
Los cálculos de comisiones de ventas son aprobados, de acuerdo con las normas de la autoridad delegadas
locales, antes del pago.

STC.DSF.CO.6 (Anteriormente STC.SFR.CO.5) Capacitación del contratista o Independiente

El plan de formación se publica y se actualiza semestralmente. Formación para los trabajadores indepen-
dientes y contratistas se planea sobre una base trimestral, para actualizarlos sobre los planes de la compañía,
proporcionándoles información sobre nuevas ofertas o productos (incluyendo la especificación técnica y co-
mercial) o para mejorar sus capacidades de venta.
 65

11.5 La segregación de funciones

STC.SoD.CO.1 Existe segregación de funciones para la creación e-pin
Entre personas que: A) Es responsable de la generación del e-pin. B) Revisa y aprueba el informe sobre e-pin o
pines generados. C) Tiene acceso de escritura al sistema de facturación. D) Concilia los pines generados con el
informe de ventas del distribuidor y la facturación / contabilidad del sistema. E) concilia los saldos de la plata-
forma prepago en el sistema in a GL (tarjetas de prepago y los ingresos diferidos) son independientes entre sí.

STC.SoD.CO.2 Existe segregación de funciones entre creación de Pines electrónicos,

facturación y contabilidad

•• Son responsables de la creación de pines o pines electrónicos.

•• Cuentan con permisos de modificación o eliminación en el sistema de facturación.
•• Tienen permisos de escritura en el sistema de contabilidad principal.
•• Cuentan con permisos de modificación o eliminación en el sistema de facturación del proveedor.
Es independiente el uno del otro.

STC.SoD.CO.3 Existe segregación de para ajustes manuales de crédito

Persona que: a) es responsable de la gestión de cuentas de ventas / cliente b) es quien puede modificar los
saldos de abonado c) prepara y revisa el informe sobre los ajustes de crédito manuales (tanto para clientes de
prepago y pospago) d) aprueba los ajustes.
Son independientes uno de otro.
STC.SoD.CO.4 Existe segregación de funciones para el aprovisionamiento de nuevos usuarios
Persona que:
a. El responsable de la provisión de nuevos usuarios en las plataformas técnicas y de facturación b)
El que prepara el informe y revisa la conciliación de suscriptores activos entre plataformas técnicas
y de facturación.
Es independiente el uno del otro.
 66

12. Ventas y cuentas por cobrar – Contabilidad

Los principales objetivos de control sobre el proceso de ventas y cuentas por cobrar - Contabilidad son los
siguientes:
a. Gestionar el riesgo de crédito.
b. Maximizar la colección de efectivo y reducir al mínimo la pérdida de ingresos.
c. Asegurar la integridad, exactitud y el reconocimiento oportuno de los ingresos.
d. Asegurar la integridad, exactitud y actualización oportuna del libro mayor.

12.1 Análisis de los clientes y la gestión del riesgo de crédito para los
clientes de pospago
STC.CRM.CO.1 Política de crédito a suscriptores
Existe una política de crédito formal para todos los clientes de POSPAGO (móvil, telefonía fija, cable, B2B, etc.)
y se define la estrategia de crédito y reglas para:
•• Evaluar la solvencia de un abonado (incluyendo cuando se utiliza una central de riesgo indepen-
diente para la comprobación de antecedentes de crédito)
•• Establecer los límites de crédito para cada nuevo tipo de abonado o revisar los límites existentes
- tanto en términos de límites de crédito (cantidades) y el número de días de crédito concedido
•• Definir la práctica para la solicitud de los depósitos de clientes en cada caso
•• La política se aplica a todos los nuevos suscriptores y para todas las solicitudes de cambios en los
límites de crédito.
La prestación de servicios de consumo ilimitado y abierto a clientes de POSPAGO sin un historial de crédito
se evita. Cualquier desviación es aprobada por el administrador apropiado. Los límites de crédito se siguen de
cerca, especialmente para los planes de apertura / ilimitadas.

STC.CRM.CO.2 Procedimiento para los ciclos de facturación, funciones de bloqueo y desconexión

Existe un procedimiento formal donde se define, documentada y se registra lo relacionado con la programa-
ción de los ciclos de facturación, las acciones de restricción de crédito, y las reglas de desconexión.
El procedimiento proporciona una línea de tiempo para el ciclo de servicio mensual: expedición de las facturas;
recordatorios SMS; restricciones de uso (de una vía o de dos vías de apoyo) hasta la desactivación final de los
servicios. El procedimiento se adapta según el producto / servicio y también por la segmentación de clientes.
 67

12.2 Interconexión y roaming

(STC.ICF.CO.1) (anteriormente STC.CRM.CO.5) Acuerdos de interconexión con opera-
dores distintos de los grupos internacionales bien conocidos
Se han celebrado acuerdos de interconexión con diferentes entidades (internacionales y nacionales). Existe
una política que describe cómo Millicom gestiona la relación comercial y los riesgos financieros asociados con
la interconexión, especialmente en lo relacionado con la exposición de la cartera.
Se presta especial atención a los operadores locales más pequeños, donde el riesgo de insolvencia es mayor. El co-
mercio con dichos operadores locales está, siempre que sea posible, desarrollado sobre el esquema de prepago.
Los acuerdos/contratos con los transportistas describen todos los requisitos específicos, objetivos y compro-
misos respectivos.

(STC.ICE.CO2) (Anteriormente STC.ARM.CO.6 Seguimiento del riesgo de crédito con la

interconexión y los socios de roaming.
Se supervisa el riesgo de crédito con socios de interconexión y roaming al menos una vez al mes, para así con-
trolar el riesgo de mala deuda.
Se prepara un informe mensual de cuentas por pagar y cuentas por cobrar en función de su antigüedad. Dicho
informe está sujeto a revisión independiente.
Para los acuerdos firmados con condiciones de prepago, se realiza una supervisión detallada para garantizar el
cumplimiento de los términos de prepago.
(STC.CR.CO.3) (Anteriormente STC.BRC.CO.4 Interconexión de las rutas de tráfico de la crítica
Existe un procedimiento que detalla el proceso para el cálculo de las rutas de tráfico de interconexión, para el
tráfico normal y cambios de emergencia. (Por ejemplo, rutas bloqueadas o rutas saturadas). Las rutas del tráfico
de interconexión son revisadas semanalmente, basadas en beneficios óptimos para la compañía y la calidad de
los servicios existentes en cada ruta. Por lo tanto una ruta podría dividirse entre varios operadores de tráfico
(carriers). Cualquier cambio realizado en el switch y / o en el sistema de facturación de interconexión (es decir,
destinos y rutas) son revisados y aprobados por el administrador de facturación antes de su aplicación.
Los datos de referencia (es decir, enlace de rutas y troncales) se concilian entre el swich y el sistema de factura-
ción de interconexión por operador, por ejemplo, validando que la troncal y las rutas de tránsito de enlace están
relacionados con el operador correcto por el sistema de facturación de interconexión. La conciliación incluye la
mediación en caso de reglas de filtrado definidas, basadas en grupos de troncales en el dispositivo de mediación.
Cuando el cálculo se hace por medio de una herramienta automatizada, se ejecuta una revisión mensual para
identificar y analizar variaciones significativas en el enrutamiento.
 68

(STC.ICR.CO.4) (anteriormente STC.ARM.CO.8) Conciliación de los ingresos y los gastos

de interconexión
Los ingresos de interconexión y costes con los operadores nacionales e internacionales se concilian men-
sualmente con la contraparte. Las declaraciones de ingreso y la factura están de acuerdo con los registros
generados internamente (por ejemplo, cambio de datos). Un procedimiento existe para validar la integridad
y exactitud de los datos de origen (EDR, tarifas, etc.). Umbrales de disputa y de tolerancia (porcentaje y can-
tidad) se definen formalmente.
Las diferencias son investigadas y resueltas. Las conciliaciones están sujetas a una revisión independiente.

(ST.CR.CO.5 nuevo Gestión y solución de Conflictos

Se tiene un archivo o registro con las diferencias entre ingresos de interconexión y los costos. El registro trimes-
tral de las diferencias es revisado y firmado por la administración.
Se realiza el análisis de causa raíz para identificar el motivo de la disputa y que se tomen medidas correctivas
en forma oportuna. La solución de la diferencia de interconexión fuera de los umbrales de tolerancia definidos
está sujeta a la revisión y aprobación del director financiero o de su delegado.

(STC.CR.CO.6 nuevo) Conciliación de los ingresos por roaming, costos y cuentas por cobrar
Mensualmente se concilian de los ingresos de roaming, los costos, los asentamientos de cobro / pago, con un
informe de datos de intercambio. Las conciliaciones están sujetas a una revisión independiente. Las diferencias
de exactitud o integridad en los datos son revisados, las acciones se toman y se realiza un seguimiento para
corregirlos, y evitar que vuelvan a presentarse estos casos.

STC.ICRCO.7 (anteriormente MFS.SCE.CO.9) Conciliación entre la billetera del tiempo

al aire (Airtime) de la plataforma MFS y Prepago.
Para la compra /Venta de tiempo al aire realizado a través de MFS:
•• Se realiza conciliación diaria entre la billetera del tiempo al aire (Airtime) de la plataforma MFS y
la plataforma Prepago / E-pin, para asegurar que todas las transacciones en la plataforma MFS re-
flejan transacciones sobre la plataforma de prepago/ E-pin IN. Cualquier diferencia es investigada
y aclarada. Si las diferencias existen desde hace más de 30 días, se escalan a RA Millicom / Finanzas
/ Equipos de MFS Equipos y son cerradas.
•• Reutilización de saldo de tiempo al aire en billeteras, para otras actividades de MFS, tales como:
pago de comisiones, pago de salarios, el pago de gastos de viaje, deben ser aprobado desacuerdo
con la matriz local de autorizaciones de MFS.
•• Existe una política que define la mínima frecuencia o valor del tope máximo. Define también que el di-
nero electrónico debe ser eliminado de la billetera de compra de tiempo aire y otras billeteras similares
donde se acumula el dinero electrónico. La Frecuencia recomendada es al menos una vez por semana.
 69

•• A una frecuencia definida se elimina el saldo de la billetera de tiempo en el aire y el efectivo co-
rrespondiente se transfiere de la cuenta de fideicomiso MFS a la cuenta bancaria Tigo Móvil. Esta
transferencia debe ser aprobada por el CFO de acuerdo con la matriz de autorización.

12.3 Facturación, ingresos y procesamiento de notas de crédito

STC.BRC.CO.1 proceso de facturación
Se han establecido procedimientos para garantizar que, en cada ciclo de facturación, las facturas se envían a
los clientes en la fecha acordada. Se asegura de que todos los movimientos de ingresos en el ciclo de factura-
ción son capturados y que las tarifas pendientes de cada suscripción (por ejemplo, los servicios de cuota fija
y paquetes) más las recargas (mensuales o puntuales) están incluidos en la liquidación de la factura. También
se asegura de que todo POSPAGO (Factura fija) con mezcla de suscriptores se incluya en al menos uno de los
ciclos de facturación mensual.
Existe una revisión tanto para las facturas emitidas impresas y electrónicas.
Se prepara y revisa una lista de clientes no facturados. Las facturas que se emiten de forma manual se concilian diaria-
mente, adjuntando la aceptación de los clientes y cualquier otra documentación de respaldo antes de la grabación.

STC.BRC.CO.2 Conciliación de Principio a Fin

El diseño de cada punto de control dentro del proceso de ingreso se verifica de manera rotativa (cada flujo
de ingresos clave para ser revisado por lo menos una vez al año) por aseguramiento de ingresos y facturación
para garantizar la coherencia de extremo a extremo y mitigación de riesgos. Esta opinión está documentada.
Si se identifican nuevos riesgos, se introducen controles específicos. Si los riesgos son inexistentes o si los con-
troles existentes no sirven a un propósito comercial, se retiran, modifican o son reemplazados.

(STC.BRC.CO.3 interfaz entre el sistema automatizado de facturación y contabilidad

Existe una interfaz (preferentemente automatizado) entre la facturación y el sistema de contabilidad para
garantizar la integridad y exactitud de los datos de los ingresos registrados en el libro mayor. La conciliación se
realiza mensualmente entre plataformas de facturación y la contabilidad general. La conciliación está sujeta a
una revisión independiente y las discrepancias se resuelven de manera oportuna.

STC.BRC.CO.5 Procedimiento para devoluciones y / o reclamaciones de los clientes

Existe un procedimiento formal documentado que se realiza para asegurar la rentabilidad y / o reclamaciones
relacionadas con los teléfonos y equipos (que nunca funcionaron, que dejaron de funcionar tras la compra,
con garantía, sin garantía, etc.) son manejados de manera adecuada y en el momento oportuno. Se incluyen
en el procedimiento el flujo de aprobación, el flujo de procesamiento, el proceso de reclamación con el pro-
veedor / fabricante, la grabación de las entradas de inventario y libro mayor.
 70

STC.BRC.CO.6 Proceso de aprobación para la emisión de notas de crédito, dado de baja y castigos
Las notas crédito son aprobados adecuadamente de conformidad con la matriz de autorización local antes
de la emisión. Las notas crédito están respaldados por la documentación apropiada y hacen referencia a una
factura o un conjunto de facturas.

STC.BRC.CO.7 La numeración de las facturas y notas de crédito

Todas las facturas y notas de crédito tienen un número único, generado por el sistema. Las reglas de negocio
y técnicas (por ejemplo, numeración únicas o separada, la cancelación de las facturas o notas de crédito) y los
criterios utilizados para la numeración se documentan formalmente.
Se lleva a cabo una revisión después de cada ciclo de facturación para detectar deficiencias en la secuenciación. Se
identifican las causas de raíz y se toman acciones correctivas se realiza un seguimiento para evitar nuevas lagunas.

STC.BRC.CO. 8 informe de seguimiento de notas de crédito

Como una forma de control se prepara un informe mensual detallado de notas de crédito. El informe se
analiza para identificar las causas fundamentales de la emisión de notas de crédito e incluye un análisis de
tendencia de causa, además del plan de mejora (en su caso).

(STC.BRC.CO.9 nuevo) Los saldos de suscriptores de prepago

Todos los saldos de abonado son revisados en cuanto a su exactitud, especialmente en relación con:
•• Validación y aprobación de todos los ajustes y cambios manuales en saldos de abonado prepago
(por ejemplo, con respecto a las tarjetas defectuosas) antes de la aplicación.
•• Revisión para todos los suscriptores con saldo negativo.
Cualquier inconsistencia se revisa, se explica y se documenta en detalle. Se toman acciones y se realiza un
seguimiento para corregir y evitar que se vuelvan a presentar más casos.

STC.BRC.CO.10 nuevo Conciliación de la generación de tráfico

Existen unos procedimientos para asegurar la exactitud y consistencia de la generación y reporte de tráfico
(incluyendo servicios móviles, líneas fijas y cable, y MFS). En particular:
•• Se ejecuta la conciliación de principio a fin del tráfico, desde el swich al libro mayor (incluyendo
MSC, SMSC, MMSC, SGSN, plataformas VAS, prepago, facturación, mediación, etc.) para asegurar
la integridad del tráfico.
•• La conciliación se ejecuta por flujo de ingresos (de voz, SMS, datos, VAS, nacionales y de roaming,
y especialmente las transacciones MFS) y en términos de volúmenes y registros (conteo EDR,
incluidos los registros que faltan en relación con el número de secuencia, registros duplicados,
EDR´s rechazados, archivos TAP-in y TAP-out), por minutos, bytes o transacciones.
 71

•• La conciliación sigue los lineamientos del framework provisto por el equipo de aseguramiento de
ingresos Global.
El procedimiento garantiza la supervisión del tráfico libre (voz, datos, paquetes, etc.)

STC.BRC.CO.11 nuevo Tarificación de Tráfico

Existen procedimientos para garantizar la exactitud de la calificación para todos los tipos de tráfico (incluyen-
do móviles, de voz y datos, telefonía fija y de cable), especialmente en relación:
•• Informe oficial sobre todo el tráfico libre, cero tráfico de puntuación, clasificar el tráfico por de-
fecto.
•• Muestra de re-calificación del tráfico.
•• Revisar los abonados con tráfico no facturables (es decir, el tráfico de los abonados que no necesi-
tan pagar por ciertos o todos los servicios, incluido el personal y las líneas de prueba) y/o garanti-
zar que se clasifican correctamente como tráfico no facturable, lo no facturable se excluye de los
ingresos reconocidos.
•• Proporcionar un informe de excepción / alarma en los cambios de tarifas para todas las platafor-
mas de facturación
•• Validar facturas generadas para los suscriptores pegado en el sistema de facturación de prepago
para asegurarse de que la recarga (top-up) a principios del mes coincida con las facturas generadas
en el final del mes
•• Informes diarios para revisar de alta de uso de Roaming. Cualquier acción tomada sobre la base de
este informe se comunica y ejecutada por el departamento de facturación
•• Conciliación (de abonados itinerantes salientes) de tomas de entrada y de salida del grifo (abona-
dos itinerantes entrantes) vs. Sistema de facturación.
Cualquier diferencia se revisa adecuadamente, se explica y se documenta en detalle. A Las acciones correctivas
que se toman se les realiza un seguimiento para evitar que vuelvan a presentarse casos.

STC.BRC.CO.12 nuevo Exactitud de las ventas prepago

Existen procedimientos para garantizar la exactitud de las ventas de prepago, especialmente en lo relacionado con:
•• La conciliación de la salida del sistema e-Pin contra la entrada de la plataforma de prepago. La con-
ciliación debe incluir la cantidad total de recargas a nivel de cada cuenta por suscriptor.
•• Una conciliación a nivel de cuenta se ejecuta de acuerdo a lo siguiente: Saldo de Apertura - con-
sumos + Recargas +/- Ajustes (si aplica) = Saldo de Cierre. Aseguramiento de Ingresos revisa y
asegura que las acciones correctivas han sido tomadas.
•• El uso de PINes o tarjetas prepago duplicados son reportados y revisados mensualmente.
 72

•• Conciliación entre el valor de las tarjetas prepago recibidas en inventario contra el Valor de E-PIN
generado por la plataforma de prepago o por el generador de Pines. Además, esto se compara
contra la so aprobada de Pines o HRN (Hidden record number) . El Gerente de Bodega, ejecuta este
control, mientras que el responsable del área financiera debe revisar y aprobar esta conciliación.
Esto se realiza cada vez que nuevas tarjetas prepago son recibidas.
•• Una revisión automática para conciliar las tarjetas prepago cargadas por suscriptor Vs las tarjetas
prepago registradas en el sistema de inventarios.
Cualquier diferencia se revisa adecuadamente, se explica y se documentan en detalle. Se toman las acciones
de corrección y se realiza un seguimiento para evitar que vuelvan a presentarse casos.

STC.BRC.CO.13 nueva Agrupación de servicios

Productos y funciones dadas a los suscriptores como parte de un paquetes son conciliados con lo contrato
(derecho del clientes). Esto se lleva a cabo a través de alarmas automatizadas con excepciones identificadas.
Se realizó un análisis de causa raíz para identificar las acciones correctivas.

STC.BRC.CO.14 nuevo Conciliación contable vs Plataforma (IN)

Todos los saldos en el sistema de facturación de prepago (IN / CBS) se concilian mensualmente en el libro ma-
yor (ingresos diferidos y las tarjetas de prepago). Se presta especial atención a los ajustes manuales publicados
de los ingresos diferidos. Como mínimo, la conciliación contiene los datos que se especifican en el formato
estándar del equipo de aseguramiento de ingresos del Grupo.
Todas las diferencias son investigadas y resueltas de manera oportuna. La conciliación está sujeta a una revi-
sión independiente.

STC.BRC.CO.15 nuevo El seguimiento de los ingresos diferidos de carteras no core

Revisión analítica a nivel de abonado se lleva a cabo mensualmente sobre el movimiento saldo del cierre, la
expiración de carteras no core (es decir, los que se utilizan para las promociones, bonos, paquetes, etc.) movi-
mientos inusuales, saldos y caducidad se analizan para determinar posibles ajustes.

12.4 Cuentas de gestión de cobros, la recogida y la morosidad

STC.ARM.CO.1 Conciliación diaria entre el informe de ventas, cobros y la Contabilidad General
Se lleva a cabo una conciliación diaria entre el informe de ventas desde el sistema de facturación / sistema de punto
de ventas, tiempo en el aire acreditado en la plataforma, la colección de dinero en efectivo del banco y ventas /
colección registrado en el libro mayor. Cualquier diferencia se explica correctamente y documentado en detalle.
Cada ajuste registrado en el libro mayor se documenta en detalle, incluyendo el cálculo completo, las fuentes
de datos utilizados existentes y las nuevas cantidades.
 73

STC.ARM.CO.2 conciliación diaria entre el informe de ventas, cobros y la Contabilidad General

Todos los saldos de las cuentas por cobrar (incluidos los de pospago, B2B, se prestan-Me productos, ventas
directas e indirectas, roaming y de interconexión) son revisados mensualmente para los propósitos precisión
y consistencia. La revisión incluye una revisión específica de la antigüedad de los saldos.
Las diferencias más importantes o movimientos inusuales se explican y documentan en detalle.

STC.ARM.CO.3 La conciliación de cuentas por cobrar de sistema de contabilidad y el

sistema de facturación
Los saldos de las cuentas por cobrar en el libro mayor se concilian mensualmente contra los saldos en el otro
sistema de sistema de facturación / tercero para identificar las diferencias y garantizar que se tomen medidas
correctivas. Todas las diferencias son investigadas y resueltas. Todas las conciliaciones están sujetas a revisión
Esto cubre todos los tipos de saldos, como POSPAGO, B2B, productos en préstamo (lend -me), ventas direc-
tas e indirectas, roaming y de interconexión.

STC.ARM.CO.4 Aprobación de la cuenta por cobrar la provisión y castigo

Todas las deudas malas y de dudoso recaudo están previstas en línea con la política de contabilidad Millicom.
Los castigos relacionados con la morosidad se procesan a tiempo, son justificados y aprobados de acuerdo con
la matriz de la autorización definida.
Se notifican todos los casos excepcionales y son revisados con el equipo de contabilidad.

STC.ARM.CO.5 El análisis de las cuentas de ventas

Cuentas de ventas (las tendencias de ingresos, productos y servicios de análisis, el ARPU etc) se analizan men-
sualmente para la verificar la exactitud, integridad y consistencia de los datos (por ejemplo, análisis de los
márgenes, el seguimiento del presupuesto, etc.).
Las diferencias más importantes en artículos inusuales son investigadas y documentadas. Las diferencias de
los datos son revisados para lograr exactitud o integridad, a las acciones correctivas que se toman se realiza
seguimiento para evitar nuevas ocurrencias.

STC.ARM.CO.7 La conciliación de cuentas por cobrar de clientes de POSPAGO con la

recaudación de efectivo
Las cuentas por cobrar a los clientes de pospago (móvil, telefonía fija y de cable, etc.) se concilian mensual-
mente con los cobros en efectivo para garantizar la asignación precisa y oportuna del dinero recogido.
La antigüedad de los saldos de efectivo no asignados se revisa mensualmente para garantizar la asignación
oportuna de los ingresos en efectivo.
 74

STC.ARM.CO9 El seguimiento de los clientes de depósito

Si los clientes están obligados por la política de crédito (STC.CRM.CO.1) exige que proporcionen un depósito
de garantía, entonces estos depósitos en el sistema de facturación se concilian mensualmente con la contabi-
lidad general y tesorería. Las discrepancias son investigadas y corregidas.

STC.ARMCO.11 nuevo La conciliación de Comisiones

Comisión de ventas y los informes de pago de incentivos (como se define en STC.ISF.CO.4.1 y STC.DSF.CO.4)
se concilian mensualmente contra el libro mayor y los centros de costos. Esta reconciliación abarca todo tipo
de comisiones y pago de incentivos (distribuidores, autónomos, empleados, etc.). Esta reconciliación cubre
las comisiones pagadas a todos los canales (nómina, MFS, etc.). Los pagos realizados se reconcilian en el libro
mayor mensualmente.
Todas las diferencias son investigadas y resueltas. Todas las conciliaciones están sujetas a revisión.

12.5 Aseguramiento de Ingresos y Fraude.

STC.RAF.CO.1 (Anteriormente STC.ARAMCO.10) El seguimiento de los flujos de ingre-
sos y el tráfico
Todas las cadenas de ingresos (voz, SMS, datos, EVA, etc. MFS tanto para móviles y fijas) y el tráfico (on-net,
x-red, itinerancia) se determinan con tableros de instrumentos y alarmas. Las tendencias inusuales se investi-
gan y se emprenden acciones de mejora.

STC.RAF.CO.2 nuevo marco de aseguramiento de datos

El aseguramiento de los datos se lleva a cabo para detectar y prevenir las fugas de los flujos de ingresos de datos.

STC.RAF.CO.3 (Anteriormente STC.ARAMCO.11) Fraude en las redes móviles

El equipo de aseguramiento de ingresos se asegura de que todos los controles definidos en los marcos de
aseguramiento de ingresos en la detección y prevención del fraude en las redes móviles se aplican y controlan
de manera efectiva para minimizar participación internacional en los ingresos Fraude (IRSF), el fraude SMS, el
bypass internacional o los datos correctamente.

STC.RAF.CO.4 (anteriormente STC.ARMS.CO.12) Notificación de sucesos de Asegura-

miento de Ingresos
Todos los incidentes de fraude o pérdida de más de USD 50 mil se comunicarán inmediatamente al área de ase-
guramiento de ingresos y a los equipos de fraude dentro de los 5 días del incidente utilizando el formato definido.
 75

13. Servicios financieros móviles

Los principales objetivos de los controles internos de MFS son:
a. Exactitud e integridad de los ingresos y los costes directos MFS
b. Cumplimiento de las normas locales y las normas contra el lavado de dinero
c. Mitigar el fraude

13.1 Aprobación regulatoria

MFS.REG.CO.1 Lista de chequeo de la regulación de los SFM
Existe una lista de chequeo local que contiene todos los requerimientos y obligaciones regulatorias clave, tales
como licencias y fechas de expiración, reportes regulatorios, conservación de grabaciones, procedimientos
para Conocimiento de sus Clientes y Conocimiento de sus Agentes, requerimientos AML/CFT y algunas otras
regulaciones externas de obligatorio cumplimiento.
Esta lista de chequeo debe ser revisada y actualizada al menos dos veces al año y aprobada por el principal
encargado local de los SFM y el Jefe de Finanzas Principal (CFO).

MFS.REG.CO.3 Delegación de la matriz de autoridad de los SFM

Una delegación local de la matriz de autoridad de los SFM es documentada con asignación de niveles de autoridad
claros para todas las transacciones y actividades de los SFM. La Matriz de autoridad de SFM debe estar alineada con
la otra matriz de autoridad para la operación local. Debe ser actualizada periódicamente y aprobada por el cuerpo
de Directores de SFM (donde SFM es una entidad legal separada) o por el Gerente General nacional.

13.2 Gestión de ventas

MFS.SAL.CO.1 Política comercial de los SFM
Existe una política comercial local de SFM que incluye como mínimo: detalles de los productos y servicios SFM
(catálogo de productos), reglas de negocio de los productos SFM, estructura de comisiones para los agentes,
estructura de tarifas para los clientes, KPIs para monitorear clientes y agentes, etc.
Esta política debe cumplir con la Política AML/CFT de Millicom y debe ser revisada al menos anualmente por
el Gerente General nacional y el principal encargado de SFM.
El departamento de aseguramiento del ingreso debe hacer una revisión al menos una vez al año para asegurar
que los parámetros del sistema y las reglas están de acuerdo con los productos y servicios SFM (catálogo de
 76

productos) y las reglas del negocio. Cualquier inconsistencia debe investigarse y cualquier regla de negocio
inusual en el sistema debe removerse.

MFS.SAL.CO.2 Contratación de agentes de SFM

Existe y está documentado un proceso de contratación de agentes SFM en todas las categorías incluyendo
Súper Agentes, Agentes de Retail, Comerciantes, Cajas, Freelancers, Promotores y Entrenadores y debe incluir
como mínimo:
•• Un contrato entre el Agente y TigoUne aprobado por la delegación SFM local de la Matriz de autoridad.
•• La información de Conocer tu Agente está definida y recopilada en un formato estándar (que in-
cluye el origen de los fondos del Agente).
•• El contrato del Agente y la información recopilada de Conocer tu Agente debe cumplir mínimo
con el estándar definido en la política AML/CFT y las regulaciones locales.
Los Agentes solamente pueden ser creados y activados en plataforma después de cumplir los tres pasos ante-
riores y con la aprobación del Jefe local AML.

MFS.SAL.CO.3 Verificación de Agentes en la plataforma SFM y KYA

Los nuevos Agentes activados en la plataforma SFM se revisan al menos semanalmente con la documentación
definida en el proceso de contratación.
Todos los perfiles de los Agentes activos en la plataforma son revisados al menos anualmente para asegurar que
se cuenta con la información KYA y la documentación de soporte requerida en el proceso de contratación:
•• Se debe generar un reporte como evidencia de la verificación hecha, excepciones identificadas,
causas principales y maneras de prevenir futuros incidentes similares.
•• Cualquier información o documentación faltante debe ser conseguida en 30 días calendario (o
antes si las regulaciones locales lo requieren) de lo contrario la cuenta del Agente será bloqueada.

MFS.SAL.CO.4 Incorporación de clientes SFM

El proceso de incorporación de clientes está documentado para cualquier tipo de cliente SFM (clientes indivi-
duales, clientes socios de producto, clientes corporativos, etc.) e incluye como mínimo:
•• La información KYC está definida y cumple con la política estándar AML/CFT de Millicom y las
regulaciones locales.
•• La información KYC está recopilada en un formato estandarizado.
•• Para el auto registro digital, debe estar recopilada y almacenada la información requerida.
•• Si los procedimientos por niveles KYC son permitidos por la regulación local, la información re-
querida para cada nivel debe estar documentada, recopilada y almacenada.
 77

Los Clientes solamente pueden ser creados y activados en plataforma después de cumplir los pasos anteriores
y con la aprobación del Jefe local AML.

MFS.SAL.CO.5 Verificación de Clientes en la plataforma SFM y KYC

Todos los clientes nuevos activados en la plataforma de MFS se comprueban al menos una vez a la semana
para compararlos con los requisitos de información de clientes y con la documentación de respaldo estable-
cida por el proceso de incorporación de clientes.
Todos los perfiles de los Clientes activos en la plataforma son revisados al menos anualmente para asegurar que
se cuenta con la información KYC y la documentación de soporte requerida en el proceso de incorporación:
•• Se debe generar un reporte como evidencia de la verificación hecha, excepciones identificadas,
causas principales y maneras de prevenir futuros incidentes similares.
•• Cualquier información o documentación faltante debe ser conseguida en 90 días calendario (o
antes si las regulaciones locales lo requieren) de lo contrario la cuenta del Cliente será bloqueada.

MFS.SAL.CO.6 Cambio de tarifas y comisiones en la plataforma SFM

El análisis de ingresos y costos (análisis del margen) es realizado antes de la implementación de algún cambio
en la estructura de tarifas y comisiones para los SFM en la plataforma SFM para confirmar el criterio de reco-
nocimiento contable y prevenir fuga de ingresos.
Se debe hacer chequeos específicos en los potenciales huecos en la estructura de comisiones que podrían dar
lugar a fraudes y fugas tales como desviación de transacciones, depósitos directos, activaciones falsas, etc.
Este análisis debe ser revisado y aprobado de acuerdo a la matriz de autoridad antes de la implementación en
la plataforma SFM.

MFS.SAL.CO.7 Protección de cuentas de Clientes/Agentes

Encripción de todos los pines de usuario SFM en la plataforma SFM. Un control automático previene los
accesos de los usuarios a sus billeteras SFM antes del cambio de su PIN por defecto. Un control automático
previene los accesos de los usuarios a sus billeteras SFM cuando un PIN del cliente no se ha cambiado después
de que una acción ha sido realizada por personal Tigo usando el PIN del usuario.

MFS.SAL.CO.8 Creación de dinero electrónico

El dinero en efectivo debe ser depositado en una cuenta de fideicomiso SFM antes de la creación de algún dinero electrónico.
Cuando la creación de dinero electrónico se hace manualmente debe estar evidenciado por un depósito de
caja de banco antes de que el requerimiento de creación del dinero electrónico esté aprobado. Cuando la crea-
ción de dinero electrónico es un proceso automático, el sistema está configurado para asegurar el depósito de
dinero efectivo antes de la creación del dinero electrónico.
 78

MFS.SAL.CO.9 Segregación de funciones para creación y asignación de dinero electrónico

Existe un sistema basado en flujo de trabajo y segregación de funciones y está documentado para la creación
y asignación de dinero electrónico.
Creación manual de dinero electrónico: Cuando la creación y asignación de dinero electrónico es un proceso manual:
•• La creación y asignación de dinero electrónico debe ser iniciada por el equipo SFM.
•• La creación y asignación de dinero electrónico debe ser verificada y aprobada por el equipo de
Finanzas.
Creación automatizada de dinero electrónico: Cuando la creación de dinero electrónico es un proceso auto-
mático, el acceso al banco y a la plataforma de integración SFM debe estar restringido con estricta segregación
de funciones implementada para asegurar que no se tengan conflictos con los permisos de accesos para crea-
ción y asignación de dinero electrónico. El sistema de permisos de accesos y segregación de funciones se debe
revisar al menos cada cuatro meses.
El proceso de conciliación entre SFM y GL debe ser realizado por el personal que no sea iniciador y responsable
de aprobación de creación y asignación de dinero electrónico. Alguna excepción a esta segregación de funcio-
nes debe ser escalada y aprobada por el CFO.

MFS.SAL.CO.10 Asignación de dinero electrónico

Cuando la asignación de dinero electrónico es un proceso separado de la creación, entonces la evidencia del
depósito debe ser suministrado por el requirente/usuario (Agentes, socios de pagos de facturas, Tigo Mobile,
Empleados Tigo, etc.) antes de aprobar la colocación del dinero electrónico en la cuenta del usuario.

MFS.SAL.CO.13 Sistema basado en requerimientos y aprobaciones de retiro de dinero electrónico

Está implementado un sistema basado en flujo de trabajo y está documentado el proceso de segregación de
funciones para todos los requerimientos de retiro de dinero electrónico. El retiro debe estar causado por un
criterio predefinido tal como un requerimiento de retiro por parte de un agente, transferencia de fondos a
socios de contrato de pagos, transferencia de fondos de venta de tiempo al aire mediante SFM, etc.
Todos los requerimientos de retiro de dinero electrónico deben ser aprobados por el Jefe principal de SFM de
acuerdo con la matriz de autoridad SFM. Los retiros de dinero de la tercera parte de la cuenta de fideicomiso
SFM debe ser aprobada por el CFO de acuerdo con la matriz de autoridad.

MFS.SAL.CO.14 Conciliación diaria del dinero electrónico creado, asignado y balance de

cuenta bancaria de fideicomiso
Realizar conciliación diaria entre:
•• Dinero electrónico creado en la billetera electrónica y el dinero depositado en la cuenta de fidei-
comiso SFM.
 79

•• Dinero electrónico asignado desde la billetera electrónica y la correspondiente evidencia de soli-

citud del usuario.
•• Dinero electrónico borrado de la billetera electrónica (evidenciado por el requerimiento de retiro
aprobado) y el dinero retirado de la cuenta de fideicomiso SFM.
Cualquier saldo no conciliado de dinero electrónico creado o borrado en la billetera electrónica debe ser
claramente documentado, investigado, y aprobado con el equipo de SFM local, Finanzas, y el equipo de ase-
guramiento del ingreso dentro de 5 días hábiles.
Cualquier saldo no conciliado por más de 30 días debe ser escalado al CFO local y aclarado en menos de 60 días.
Esta conciliación debe ser realizada por alguien diferente al encargado de la creación del dinero electrónico,
de la asignación, del borrado y del proceso de aprobación y de quien asienta en el libro mayor. La conciliación
debe estar sujeta a revisión.

MFS.SAL.CO.16 Transacción SFM de anulación y ajuste manual de dinero electrónico

El proceso de anulación de transacciones SFM se encuentra documentado y disponible para manejo de reque-
rimientos de clientes/Agentes y para manejo de anulación de transacciones de socios de productos.
Como mínimo, el proceso debe definir: máximo número de días para iniciar la anulación de la transacción a
cerrarse, tipos de transacciones no anulables y las tarifas/comisiones/impuestos que no serán anulados, tran-
sacciones anulables automáticamente (por ejemplo ATM sin dinero), etc.
Todos los ajustes manuales de dinero electrónico como: corrección de transacciones, transacciones anuladas,
etc. debe estar aprobado por el CFO de acuerdo con la delegación local SFM y la matriz de autorizados.

MFS.SAL.CO.17 Reconciliación de ajuste manual de dinero electrónico

Realizar la conciliación entre todos los ajustes manuales de dinero electrónico por ejemplo débitos y créditos no
estándar (incluyendo ajustes en la billeteras de socios de producto) y la documentación de soporte aprobada.
Esta conciliación debe ser revisada y aprobada por una persona independiente como se define en la matriz de
autorizados SFM local.

MFS.SAL.CO.18 KPIs del negocio SFM

Los KPIs están definidos y usados para el monitoreo del desempeño del negocio SFM. Estos KPIs deben incluir
pero no limitarse a:
•• KPIs de Agentes y clientes (agentes/clientes activados por día/semana/mes, cantidad de transaccio-
nes por agente/cliente por día, valor de las transacciones por agente/cliente por día)
•• Saldo de efectivo y de dinero electrónico de los agentes.
•• KPIs de servicio de los clientes (tiempo de reseteo de PIN, tiempo de anulación de transacciones, etc.)
 80

•• KPIs técnicos (TPS -Sistema de Procesamiento de Transacciones- en horas pico, tiempo de caídas
por semana, fallas en entrega de SMS, etc.)
Estos KPIs son supervisados preferiblemente a través de alertas automáticas (por ejemplo, sistema distribuido
de gestión).

MFS.SAL.CO.19 Política de cuenta inactiva de Agente/Cliente SFM

Está documentado el proceso de cuentas sin uso o inactivas de clientes y agentes. El proceso define:
•• Que es un Agente/Cliente activo o sin movimientos/inactivo.
•• Un proceso de revisión periódica para identificar cuentas sin uso de agentes/clientes (las mejores
prácticas recomiendan que sea mensual).
•• Acciones clave para manejar las cuentas de agentes/clientes identificadas como sin uso tales como
reciclado de número móvil, cuarentena de la cuenta y el balance, procedimientos de reclamo de
parientes cercanos, etc.
•• Anulación de transacciones de cuentas sin uso.
Este proceso debe estar alineado con las regulaciones locales, política AML/CFT de Millicom, política de reci-
clado de números móviles Tigo y las definiciones de negocio SFM de Millicom.

MFS.SAL.CO.22 Conciliación diaria entre el balance de dinero en la cuenta de fideicomi-

so SFM, el dinero electrónico en la plataforma SFM, y el libro mayor.
Realizar una conciliación diaria entre todos los balances de efectivo de las cuentas de fideicomiso SFM, cuen-
tas de banco/pasivos del libro mayor y todo el dinero electrónico pendiente en la plataforma SFM. Esta conci-
liación debe ser realizada usando los formatos estándar de aseguramiento del ingreso.
Cuando el banco es responsable del efectivo y creación del dinero electrónico, la conciliación debe ser hecha
entre el balance de cuenta de fideicomiso, el dinero electrónico y cuentas de orden fuera de balance.
Cualquier diferencia identificada debe ser investigada y aclarada en colaboración con el equipo de asegura-
miento del ingreso local en 5 días hábiles, y escalada al CFO local de acuerdo con la matriz de autorizados si la
diferencia continúa por 30 días. La conciliación debe ser realizada por alguien independiente del proceso de
transacciones de cuentas de banco y de la creación de dinero electrónico, asignación, borrado y del proceso
de aprobación. La conciliación debe estar sujeta a revisión.

MFS.SAL.CO.23 Límite de la cuenta SFM

El límite de las transacciones está definido tanto por número como por monto para cada cuenta SFM (esto
con un único ID de referencia tal como MSISDN) activada en la plataforma SFM para un período de tiempo
definido, por ejemplo: diario, semanal, mensual.
 81

Los límites de las transacciones deben estar configurados de acuerdo a los límites aprobados por regulación o
definidos en una política local por referencia al perfil de los usuarios donde no hay límites regulatorios.
El monitoreo está definido para identificar alguna desviación de los límites definidos.

MFS.SAL.CO.24 Cambio de información de Agentes/Clientes en la plataforma SFM

El sistema de alarmas existe para detectar y tener trazabilidad de cambios críticos para la información de
Agente/Cliente (datos maestros) en la plataforma SFM por ejemplo límite de cuenta SFM, información perso-
nal, cambios en el perfil de impuestos y el IVA, etc.
Alguna anomalía o cambio injustificado es investigado por la operación back office en colaboración con el
área de aseguramiento del ingreso y la oficina local contra el lavado de dinero y corregida.

MFS.SAL.CO.25 Reclutamiento y entrenamiento de los empleados SFM

Todos los empleados Tigo SFM (cualquier individuo que proporciona servicios SFM en alguna proporción de
acuerdo a la política AML/CFT de MIC) están sujetos a un control de reclutamiento y entrenamiento adicio-
nal el cual incluye lo siguiente:
•• Todos los nuevos empleados SFM son analizados (verificación de referencias con los empleadores
anteriores, antecedentes criminales, etc.) antes de la aprobación final de reclutamiento.
•• Todos los empleados SFM deben recibir entrenamiento inicial en AML después de la contratación
y actualizar su entrenamiento en AML al menos anualmente. Este entrenamiento debe completar-
se cumplirse con la política AML/CFT de Millicom.
•• Los empleados Tigo SFM que manipulan dinero electrónico tales como, cajeros/cliente personal
de servicio/ventas en tiendas Tigo debe ser evaluado también (verificación de referencias con em-
pleadores anteriores, antecedentes penales, etc.) antes de la contratación o de que le sea asignado
dinero electrónico bajo su responsabilidad. Ellos deben también recibir entrenamiento AML de
acuerdo con la política AML de Millicom.

MFS.SAL.CO.26 Cambio de SIM SFM

Existe un proceso de cambio de SIM SFM (cuando la SIM card está perdida, es robada, etc), incluyendo segre-
gación de funciones de personas y sistemas está disponible y documentado.
Como mínimo el proceso debe incluir:
•• El paso a paso de las actividades para realizar cambio de SIM remotamente y en tiendas Tigo.
•• Configuración de preguntas de seguridad para identificar clientes durante el proceso de cambio
de SIM en línea o remoto.
•• Control automático para limitar cambio de SIM remoto. Por ejemplo bloqueo de SIM card que
están activas o al aire, limitación automática para prevenir reset de PIN sobre algún número que
 82

ha sido cambiado para un período definido de tiempo (las mejores prácticas recomiendan los
últimos 3 días), configuración del umbral para saldo de dinero electrónico sobre el cual la SIM
card no puede ser cambiada remotamente por ejemplo alguna SIM card con saldo de $5 de dinero
electrónico no puede ser cambiada en línea.
•• Los clientes deben visitar la tienda Tigo para la identificación física.
•• Bloqueo del acceso a la cuenta SFM por un periodo definido de tiempo después del cambio de SIM
(las mejores prácticas recomiendan 4 horas).
•• Restricciones para cambio de SIM de agentes remotamente.
•• Formación de agentes de servicio al cliente sobre los riesgos de cambio de SIM en línea.
•• Apropiarse de las alarmas de aseguramiento del ingreso con los cambios de SIM.
El proceso de cambio de SIM SFM debe estar sincronizado con el proceso de cambio de SIM móvil antes de
una aprobación.

MFS.SAL.CO.27 Reseteo de PIN SFM

Existe un proceso de reset de PIN SFM (incluyendo segregación de funciones de personas y sistemas) y está
documentado.
Como mínimo el proceso debe incluir:
•• Conjunto de preguntas de seguridad para identificar a los clientes durante el proceso de reset de
PIN en línea.
•• Proceso de reset de PIN para cuentas de agentes.
•• Entrenamiento para los agentes de servicio al cliente sobre los riesgos en el proceso de reset de PIN.
•• Apropiarse de las alarmas de aseguramiento del ingreso con el reset de PIN.

13.3 Gestión del servicio

MFS.SCE.CO.1 Monitoreo de parámetros de la plataforma SFM
Hay alertas automatizadas para monitorear la configuración de parámetros clave de la plataforma SFM tales como:
•• Prevenir y detectar todas las cuentas SFM con balance negativo.
•• Asegurar que las tasas de comisiones de los agentes estén alineadas con lo definido y aprobado y
que sean hechas únicamente después de que la transacción ocurra.
•• Detectar modificaciones a los parámetros de comisiones.
•• Detectar modificaciones a los parámetros de tarificación y facturación.
•• Asegurar que las transacciones no puedan ser ejecutadas si el saldo no es suficiente.
 83

El departamento de Aseguramiento del Ingreso debe hacer una revisión anual para asegurar que los paráme-
tros y reglas del sistema estén de acuerdo con las reglas de negocio y catálogos de producto documentadas.
Cualquier inconsistencia debe investigarse y cualquier regla de negocio inusual en el sistema debe removerse.

MFS.SCE.CO.2 Cálculo de comisiones SFM y pagos

Para todas las comisiones y honorarios SFM definidos en la política comercial SFM:
•• Cálculo automático de comisiones y honorarios en la plataforma SFM utiliza fuentes de datos
apropiadas. Cuando la automatización completa no es posible, se asegura con controles compen-
satorios para garantizar la exactitud de los cálculos de acuerdo con lo definido en la política de
honorarios y comisiones.
•• El cálculo de comisiones SFM es revisado por alguien diferente al preparador (por ejemplo asegu-
ramiento del ingreso) y los chequeos son realizados para validar la completa exactitud de los datos
fuente. Las excepciones son investigadas y resueltas antes de la aprobación.
•• Todos los pagos de comisiones SFM son aprobados de acuerdo con la delegación local SFM de la
matriz de autorizados antes de los desembolsos de la plataforma SFM.

MFS.SCE.CO.5 Monitoreo de transacciones sospechosas

Revisión y monitoreo de transacciones sospechosas SFM (como está definido en la política AML/CFT de Mi-
llicom y de acuerdo a las reglas locales AML) es hecha automáticamente usando alarmas y herramientas AML
automáticas. Esto incluye como mínimo:
•• Revisión del uso de valores altos, límite de la tarjeta SIM, cantidad de transacciones (cantidades
pequeñas vs cantidades altas), frecuencia, e intervalos de tiempo entre el dinero que ingresa y el
que sale.
•• Revisión de movimientos inusuales e irregulares tales como transferencia de dinero electrónico de
la compra de tiempo al aire desde la billetera electrónica (paquetes), Pagos de facturas desde la
billetera electrónica, Cancelación de la billetera, Billeteras de los clientes y de los agentes o Dealers
(cupos asignados y disponibles).
•• Cualquier anomalía identificada durante la revisión es investigada y aclarada dentro de 5 días há-
biles. Si tales diferencias continúan por más de 30 días, son escaladas al MFS Global AML Officer
para cierre.
•• Pueden tomarse otras acciones tales como contactar al suscriptor para alguna explicación o inclu-
so bloquear al suscriptor.
 84

MFS.SCE.CO.7 Conciliación diaria del balance total de dinero electrónico abierto y ce-
rrado en la plataforma SFM
Realizar conciliación diaria entre el total de dinero electrónico al cierre del saldo y el total de dinero electró-
nico al abrir el saldo con la suma de todos los movimientos diarios de dinero electrónico en la plataforma
SFM (El saldo al cierre debe ser igual al saldo inicial menos las transferencias salientes más las transferencias
entrantes más/menos algún ajuste).
Esta conciliación debe hacerse usando el formato estándar de aseguramiento del ingreso. La conciliación debe
hacerla alguien independiente de la creación de dinero electrónico, del proceso de asignación y borrado y
estar sujeto a revisión.
Se debe prestar especial atención a todos los sistemas de billetera y cualquier transferencia no estándar entre
sistemas de billetera debe ser investigada.
Cualquier cantidad desconciliada debe ser investigada en colaboración con el área de aseguramiento del in-
greso local dentro de 5 días hábiles y escalada al CFO de acuerdo con la delegación de la matriz de autorizados
si la diferencia persiste por 30 días para ser cerrada.

MFS.SCE.CO.8 Conciliación mensual de los balances de billeteras electrónicas y las co-

rrespondientes cuentas del libro mayor
Realizar conciliación mensual entre todos los saldos de las billeteras electrónicas en la plataforma SFM sus
correspondientes cuentas de libro mayor.
Todas las transacciones del libro mayor son verificadas con las transacciones registradas en la plataforma SFM.
Todas las diferencias identificadas deben ser investigadas y aclaradas en 5 días hábiles después del cierre de fin
de mes. Cualquier diferencia que persista por más de 30 días debe ser escalada al CFO. La conciliación debe
ser preparada por alguien independiente de la creación de dinero electrónico, del proceso de asignación y
borrado y estar sujeto a revisión.

MFS.SCE.CO.16 Integridad de los datos de pagos y recaudos masivos

Para los diversos productos de pago tales como pagos de salarios, pagos de comisiones, recaudo de facturas Tigo pospago:
•• El almacenador de datos (tal como número móvil del cliente, nombres, cantidad a pagar) está en-
criptada para asegurar confidencialidad e integridad cuando los datos son transferidos del cliente
a Tigo. Los datos encriptados deben ser restringidos para el personal aprobado como se define en
la matriz de autorizados local SFM.
•• Cuando SFM proporciona una herramienta de pagos varios para clientes que hacer transacciones
ellos mismos, el acceso a las cuentas de clientes está garantizada que se concede por consentimien-
to escrito del cliente o agregada en el contrato. El acceso de usuarios debe ser restringido y debe
estar sujeto a revisiones periódicas.
Este control debe cubrir también los pagos de productos de las compañías Tigo (Tigo Mobile, B2B, Cable, Home etc.).
 85

MFS.SCE.CO.17 Asignación y conciliación de los pagos y recaudos masivos de dinero electrónico

Para pagos de productos varios (incluyendo servicios de las unidades de negocio Tigo) tales como electrici-
dad, agua, cable, pagos de salarios, pagos de comisiones, recaudos pospago Tigo y otros:
Cuando Tigo realiza el pago de dinero electrónico a nombre del cliente:
•• La asignación del dinero electrónico debe ser soportada por un lista de pago (nombres, MSISDN,
etc.) y aprobada por el cliente que ordena debe hacerse antes y después de los pagos varios por
alguien independiente al proceso.
•• Fondos sin pago debido a transacciones fallidas debe devolverse al cliente mensualmente (o de
acuerdo al contrato) y debe estar aprobado por el CFO de acuerdo con la matriz de autorizados.
Cuando Tigo provee acceso a los clientes para hacer transacciones ellos mismos:
•• El control de acceso de usuarios debe estar implementado y revisarse periódicamente (las mejores
prácticas recomiendan que sea trimestralmente).
•• Se define un proceso y se contrata con el cliente para confirmar que todos los movimientos de
dinero electrónico mensual de las billeteras de socios están autorizados.

MFS.SCE.CO.20 Monitoreo de canales de transacciones en la plataforma integrada SFM

Para los canales transaccionales que están integrados con la plataforma SFM como ATMs, Tigo Matic, integra-
ción billetera a banco y banco a billetera, aplicaciones SFM y otras aplicaciones, integración de transferencias
internacionales de dinero (Tigo a Tigo, Western Unión, Skrill, World Remit, etc.).
Las alarmas están definidas para detectar automáticamente transacciones que han fallado o se han devuelto.
Estas transacciones deben ser investigadas y aclaradas en 5 días hábiles después del cierre de fin de mes y es-
calada al CFO si persiste por más de 30 días.
Realizar conciliación diaria entre la plataforma SFM y reportes de sistemas de terceros tales como reportes
proporcionados por ATM y otros canales similares a través de los cuales las transacciones SFM son habilitadas.
Esto es para asegurar que todas las transacciones en la plataforma SFM reflejan transacciones de plataformas
de terceros. Cualquier diferencia es investigada y aclarada dentro de 5 días hábiles. Si la diferencia existe por
más de 30 días, debe escalarse al CFO (Responsable Financiero).

MFS.SCE.CO.21 Contrato con socios de producto SFM

Para los productos y servicios SFM proporcionados a los socios de productos (incluyendo unidades de ne-
gocio Tigo) tales como pagos varios de productos (por ejemplo electricidad, agua, cable, pagos de salarios,
recaudos Tigo pospago y otros pagos asociados). Un contrato es acordado y firmado entre SFM y socios de
producto el cual claramente define roles y responsabilidades. Tal contrato debe incluir como mínimo:
 86

•• Clausula que indica que los pagos pueden ser hechos solo para recipientes cuyos números móviles
han sido suministrados.
•• Estructura de comisiones y cuotas.
•• Frecuencia definida para que el dinero sea reembolsado/retirado de la billetera del cliente (se re-
comienda una vez por semana).
•• El proceso de conciliación y liquidación a seguir con el socio de producto. Este debe incluir la re-
ferencia de quien es responsable por la conciliación (normalmente esperamos que los socios de
producto asuman esta responsabilidad), frecuencia de conciliación, como manejar los elementos
desconciliados, y el límite de tiempo para que los socios de productos hagan reclamaciones.
•• Propiedad de la información, confidencialidad de datos y protección de datos.
•• Principios para comunicaciones con los clientes.
•• Publicidad y marcación de productos.
Tales contratos deben ser revisados y aprobados de acuerdo con la delegación local de la matriz de autoridad
SFM y el contrato es firmado después de realizar los procedimientos de Conozca a su Cliente.
Las revisiones deben realizarse anualmente para asegurar que los parámetros del sistema SFM estén alineados
con el contrato.
Este control también aplica para los pagos/cobros de los diversos productos de las compañías Tigo (Tigo
Mobile, B2B, Cable, Home etc.). Por favor referirse al proceso SFM de tesorería para más adelante controlar las
relaciones bancarias.

MFS.SCE.CO.22 Conciliación de productos SFM, facturación y liquidación

Existe un proceso de liquidación y está documentado para todos los productos y servicios SFM con todos los
socios de productos (incluyendo las unidades de negocio Tigo) y agentes que aseguran:
•• Conciliación mensual hecha entre todas las actividades/transacciones en las billeteras con los del
socio (a menos que la conciliación este definida contractualmente para ser realizada por el socio
de producto - ver control MFS.SCE.CO.21, Contrato con socios de producto SFM).
•• Las facturas son enviadas y recibidas al menos mensualmente de conformidad con los acuerdos de
transacción con los socios de productos o de acuerdo con las leyes fiscales. El proceso de genera-
ción de facturas está automatizado para asegurar la liberación oportuna y precisa de la factura. Si
no es posible emitir facturas de forma automática, se levantan las facturas manuales.
•• Después de la conciliación de liquidación de los pagos/cobros deben ser revisados y aprobados de
acuerdo con la delegación SFM local de la matriz de autoridad.
•• La aprobación para liquidación o transferencia de fondos de la cuenta de fideicomiso debe darla el
CFO o de acuerdo con la delegación SFM local de la matriz de autoridad.
 87

Todos los productos de la billetera deben ser clareados mensualmente (borrado de dinero electrónico de las
billeteras de producto/socios) o de acuerdo con el contrato o cuando se alcanza un umbral predefinido. La
segregación de funciones de personas y sistemas es implementado de acuerdo a la delegación SFM de la ma-
triz de autoridad.

MFS.SCE.CO.23 Alarmas del sistema SFM

Implementar todas las alarmas SFM clave definidas por el Grupo de Aseguramiento de Ingresos (detalles en
el apéndice del MCI):
•• Cada alarma debe signarse a un responsable, quien es el encargado de investigar y cerrar el inci-
dente.
•• Cualquier investigación de alarma que no sea cerrada en 30 días debe reportarse vía e-mail al equi-
po de aseguramiento del ingreso corporativo.
•• El grupo de aseguramiento del ingreso local es el responsable de asegurar que las alarmas estén
implementadas y tenga definido un responsable.

14. Seguridad Corporativa

Los principales objetivos de los controles internos para Seguridad Corporativa son:
a. Asegurar la seguridad física, de activos y la seguridad de las personas
b. Que existe un proceso para gestionar la continuidad del negocio y de atención de crisis a los ries-
gos de acuerdo con las Políticas de Millicom

14.1 Salud y Seguridad en el trabajo

CSS.HSS.CO.1 anteriormente HSE.HSS.CO.2 Existe Control de los contratados/servicios
gestionados
Existen Controles disponibles para demostrar la debida y efectiva diligencia a la hora de seleccionar los servi-
cios contratados o gestionados. Se implementan Controles de gestión eficaces de acuerdo con los requisitos
del Manual de HSE y HSE 002 (Seguridad, Salud y Medio Ambiente) de control WI008 (Control de Contratis-
tas). Las operaciones deberán proporcionar al área de seguridad, informes trimestrales sobre la selección y
observaciones de los 20 principales riesgos, identificados en los proveedores de servicios
 88

CSS.HSS.CO.2 anteriormente HSE.HSS.CO.3 Las evaluaciones de salud y de evaluación

de riesgos de seguridad
Existen evaluaciones de salud y de los riesgos de seguridad, incluida la gestión de los servicios contratados,
que se han implementado y están disponibles. Las evaluaciones de riesgo, incluyen medidas de control que se
implementan, se comunican y se revisan anualmente.
Las actividades que se consideran para la evaluación del riesgo en salud y en seguridad incluyen: seguridad
de personas, seguridad en viajes, seguridad para conductores, trabajo en alturas, trabajo eléctrico, trabajo en
zonas violentas y/o áreas peligrosas, incendios, etc. Existen actividades de respuesta ante una emergencia. En
el caso de evacuación de edificios, este deberá ser probado como mínimo 2 veces al año.

CSS.HSS.CO.3 anteriormente HSE.HSS.CO.4 La notificación de accidentes e incidentes

Todos los accidentes e incidentes, como se definen en el Manual de instrucciones de HSE 002 y de Trabajo, se
informa a Seguridad Corporativa y a gestión de la Seguridad de Campo. Son grabados en el Sistema de Ges-
tión de Incidentes Enablon (IMS). Los informes que muestran los costos asociados de forma significativa, son
plenamente investigados y relacionados en el negocio como pérdidas.
La Seguridad de cada País debe proporcionar actualizaciones de calificaciones cada trimestre al administrador
de Seguridad Corporativa.

CSS.HSS.CO.4 anteriormente HSE.HSS.CO.5 programa de salud y entrenamiento de seguridad

Existe un programa de educación, formación y sensibilización que se lleva a cabo de acuerdo con los requisitos
mínimos de HSE WI 004 matriz de entrenamiento. Todo el personal de los departamentos y personal operativo
completa la formación. Existe evidencia de la formación realizada con número de horas. Se presentará en la eva-
luación periódica (cada trimestre). Se realiza actualización del Entrenamiento de forma completa cada tres años.

14.2 Seguridad Física (nuevo)

CSS.PS.CO.1 nuevo Protección perimetral y de Seguridad
Todas las instalaciones, con exclusión de los Centros de experiencia, tienen una suficiente protección de pe-
rímetro para detener la intrusión física y visual. Esto incluye las cercas, puertas y cerraduras, iluminación de
protección, circuito cerrado de televisión, casetas y control tanto de la entrada de peatones y vehículos.

CSS.PS.CO.2 nuevo El uso de sistemas de circuito cerrado de televisión

Todas las instalaciones cuentan con circuito cerrado de televisión para cubrir áreas operativas específicas y ase-
gurar una cobertura visual necesaria. El exterior de los edificios y la línea cerco perimetral se ilumina lo suficiente
como para asegurarse que el circuito cerrado de televisión puede capturar toda la actividad alrededor del sitio.
 89

CSS.PS.CO.3 nuevo Sistemas de alarma

Todas las instalaciones tienen alarmas de detección de intrusos como parte del plan general de protección de
la instalación. Este sistema debe estar integrado con control de acceso y el circuito cerrado de televisión. Este
sistema es monitoreado forma local y de forma remota en un centro de monitoreo que asegura una respuesta
inmediata ante cualquier activación.

CSS.PS.CO.4 nuevo Seguridad de Edificios y controles de acceso

Todas las instalaciones (Almacenes, centros técnicos, tiendas) tienen reglas de seguridad y controles de acceso
apropiados para todos los puntos de ingreso dentro de los edificios. Las áreas asignadas para el público en
general, visitantes y algunos miembros del personal han sido diseñados y están adecuadamente controladas. El
acceso a los activos de la empresa se limita adecuadamente para evitar el robo. Todas las instalaciones tienen
un sistema de control de acceso con el fin de evitar la intrusión no autorizada.

CSS.PS.CO.5 nuevo Los guardias de seguridad: Dotación y Tareas

Los guardias de seguridad están provistos de suficientes uniformes, accesorios, equipos y apoyo técnico para
desempeñar sus funciones. Los guardias tienen una formación completa y han sido debidamente autorizados
antes de su despliegue en el contrato. Existen procedimientos e instrucciones adecuadas y formalizadas para
la ejecución de las funciones generales y específicas.

CSS.PS.CO.6 nuevo Denuncia de las infracciones de seguridad física

Todos los incidentes de seguridad, emergencias, problemas de mantenimiento, lesiones o algo fuera de lo co-
mún son reportados al CCSM (Gerente de Seguridad Corporativa) en el momento oportuno, dentro de las 24
horas siguientes al incidente. Se mantiene un registro de todos los incidentes reportados.

14.3 Continuidad del Negocio y Gestión de Crisis

(CSS.BCM.CO.1 nuevo) Planes de acción para los procesos críticos y la Continuidad del
Negocio - no de fábrica
Todos los procesos críticos que no son de fábrica disponen de un plan formal de continuidad de negocio apro-
bado por los dueños del proceso y por el Gerente de Continuidad del Negocio. Cada equipo de continuidad
de negocio tiene entrenamiento formal en relación con el plan.

CSS.BCM.CO.2 nuevo Planes de acción para los procesos críticos y la Continuidad del
Negocio - De fábrica
Todos los procesos críticos de fabricación tienen en marcha un plan formal de continuidad de negocio apro-
bado por el Jefe de Operaciones y Gerente de Continuidad de Negocio. Cada equipo de continuidad de nego-
cio tiene entrenamiento formal en relación con el plan.
 90

CSS.BCM.CO.3 nuevoAnálisis de Impacto para procesos Corporativos ( no de fábrica)

Existe un análisis de Impacto para el Negocio (BIA) para los procesos que no son de fábrica; es actualizado por
lo menos anualmente y existe una lista clara de los procesos críticos, con su respectivo objetivo de tiempo de
recuperación (RTO).

CSS.BCM.CO.4 nuevo Evaluación de Servicios BIA ( IT & OT )

Existe un Análisis de Impacto para el Negocio (BIA) para operaciones de la fábrica; es actualizado por lo
menos anualmente. Existe una lista clara de los procesos críticos, con su respectivo objetivo de tiempo de
recuperación (RTO).

CSS.BCM.CO.5 nuevo Evaluación para los edificios críticos BIA

Existe un análisis del impacto de negocios (BIA) para los edificios críticos. Cubre el 75% de todos los edificios
que soportan el total del negocio en el país

CSS.BCM.CO.6 nuevo Plan de Gestión de Crisis

Existe un plan formal de gestión de crisis, aprobado por el director general. Una clara estructura de respuesta
a la crisis está en su lugar para hacer frente a los diferentes niveles de impacto de acuerdo con la matriz de
categorización Crisis Group (consulte la Continuidad del Negocio Global Standard y gestión de crisis).

CSS.BCM.CO.7 nuevo Planes de Recuperación de Desastres (DRP) para servicios críticos

Existe un plan de recuperación de desastres (DR) aprobado por el director general, específicamente para el
NOC, Servicios críticos y edificios críticos. Cada equipo de recuperación de desastres ha sido entrenado for-
malmente en el Plan de DR. IT DR está cubierta en un control separado en ITN.ROR.CO.4.

CSS.BCM.CO.8 nuevo Política de Continuidad del Negocio

Existe una Política de Continuidad de Negocio (BC) aprobada formalmente por el Director General y las par-
tes pertinentes se distribuyen a los empleados.

CSS.BCM.CO.9 nuevo Evaluación del riesgo al riesgo de Continuidad

Existe un informe formal de riesgos que incluye la evaluación de las amenazas de continuidad de negocio y
una matriz de riesgos de acuerdo con el Global Business Continuity y Manejo de Crisis (BCCM) Estandarizado
y está preparado por lo menos anualmente y se mantiene documentado. El informe considera todos los acti-
vos críticos, como se define en el Análisis de Impacto al Negocio (BIA).
 91

CSS.BCM.CO.10 nuevo Se implementan controles a los riesgos de continuidad de negocio

Existen controles para mitigar los riesgos, que son monitoreados en forma regular (al menos anualmente)
para verificar que: · La continuidad del negocio está en su lugar y es eficaz · Que los supuestos de riesgo siguen
siendo válidas · Los resultados de la evaluación de riesgos están en línea con las expectativas y · que el riesgo
residual es aceptable a nivel.

CSS.BCM.CO.11 nuevo Está definida una estrategia para el tratamiento de riesgos

Existe un tratamiento formal para todos los riesgos y se define un plan de acción que está en su lugar. El regis-
tro de riesgos está documentado. Para los riesgos aceptados ( retener estrategia ) existe un plan de contingen-
cia , con miras a la posible reducción del impacto

CSS.BCM.CO.12 nuevo La continuidad de Negocios es evaluada

Existe una evaluación al plan de continuidad del negocio anual. Está definido y documentado. Comprende: ·
Al menos una prueba general · una prueba individual o colectiva para todos los procesos críticos · 5 Tecnología
de la Información (IT) · 5 Tecnología Operacional (OT) las pruebas de recuperación de desastres (DR).

CSS.BCM.CO.13 nueva Resultados de la evaluación de la Continuidad del Negocio

Los resultados de las evaluaciones de la continuidad del Negocio(BC ) se documentan formalmente en un
informe , donde todas las acciones de mejora se identifican claramente , la titularidad de las acciones se ha
establecido y hay un calendario claro para cada una de las acciones
 
15. Controles a Nivel de la Entidad
Las actividades de control del nivel de la entidad se ocupan del ambiente de control cuyo objetivo es estable-
cer y promover una actitud colectiva hacia el logro de un control interno efectivo. Factores del entorno de
control incluyen la integridad, los valores éticos y la competencia de las personas; formas de asignar autoridad
y responsabilidad; y el riesgo y la gestión del fraude.

15.1 Integridad y valores éticos

ELC.ETH.CO.1 Código de Conducta Millicom
Existe un código de conducta y una política de las buenas prácticas en el negocio, lineamientos para el
conflicto de intereses, y los estándares esperados de comportamiento ético y moral. Estos documentos se
mantienen actualizados, debidamente comunicados y disponibles para todo el personal. El Código de con-
ducta es socializado a todos los empleados como parte de su inducción al unirse al grupo Millicom. Se revisa
periódicamente y todos los empleados deben completar una formación anual sobre el Código de conducta.
 92

ELC.ETH.CO.2 Lineamientos de la Alta Dirección

El Presidente y el Vicepresidente financiero han establecido una voz ética, dando una orientación explícita sobre
lo que es correcto e incorrecto. Este tono se comunica a través de la comunicación oral y escrita (por ejemplo,
anuncios por correo electrónico, mensajes en las carteleras, en el Comité Ejecutivo, en las reuniones de personal,
fortaleciendo el apoyo a la formación en el comportamiento de la integridad, carteles en las salas comunes y con
anuncios en línea sobre el código de Ética), es practicado por los ejecutivos y de gestión en toda la organización.
Toda los directivos y de gestión demuestran continuamente, a través de palabras y acciones, un compromiso
con altos estándares éticos. Ellos personalmente cumplen con el Código de Conducta del grupo Millicom y
otros requisitos éticos como la verificación de antecedentes y declaración de conflicto de intereses.

ELC.ETH.CO.3 Notificación de irregularidades

Se establecen canales de comunicación, por ejemplo, la línea ética de Millicom o un número de denunciantes,
los gerentes de línea de confianza, los canales de comunicación a través de recursos humanos, donde la gente
informe (de forma anónima cuando sea apropiado) las sospechas de las irregularidades, las desviaciones a las
políticas y procedimientos aprobados o las violaciones del código de conducta. La dirección promueve estos
canales y anima a los empleados a utilizarlos cuando sea necesario.

ELC.ETH.CO.4 Canales para informar de un comportamiento poco ético para externos

La línea de Ética y todos los canales para informar de un comportamiento poco ético o de desviación de polí-
ticas y buenas prácticas, son accesibles a terceros, proveedores y consultores.

ELC.ETH.CO.5 Las investigaciones sobre situaciones reportados

Las situaciones reportadas (sospechas y / o confirmados) vinculados a la mala conducta incluyendo el fraude
se investigan de manera oportuna y se toman las medidas disciplinarias cuando sea necesario.

ELC.ETH.CO.6 Los premios de compensación en línea con los valores éticos

Las bonificaciones individuales están en línea con los valores éticos de la empresa, y fomentan un tono ético
apropiado. Es decir, el cálculo de las primas y otros premios de compensación para todos los empleados,
incluyendo la alta dirección, deben tener en cuenta los valores éticos descritos en el Código de Conducta de
Millicom. EL tratamiento a las personas, en cualquiera de los casos, debe darse de manera respetuosa e iguali-
taria, en el cumplimiento de la ley, actuando a manera de caja fuerte. Deben existir informes en caso de distor-
sión de la información financiera (libros y registros) y otros esquemas de sospecha de fraude que hayan sido
probados y que revelen conflictos de intereses. Se denuncia y se rechazan los intentos de las partes internas y
externas que actúen para ofrecer y/o recibir sobornos. Las situaciones en las que se intenta ejercer presión, no
existen o son controlados adecuadamente.
 93

15.2 Compromiso con la Competencia

ELC.CTC.CO.2 La gestión por competencias
El personal cuenta con la competencia y la formación necesaria para sus funciones asignadas. El área de Forma-
ción y Entrenamiento apoya cuando sea necesario para mantener el nivel de competencias de los empleados

ELC.CTC.CO.3 Planificación de la planta de Empleados

La planificación del personal se lleva a cabo durante el ejercicio de planeación del presupuesto anual, allí se iden-
tifican las necesidades laborales futuras con respecto a la evolución del negocio y los cambios organizacionales.

15.3 Estructura organizacional

ELC.ORG.CO.1 Flujo efectivo de la información
Existe una estructura organizacional eficaz con organigramas claros, lo que facilita la gestión de la empresa y acla-
ra las relaciones, roles, responsabilidades, niveles de autoridad y supervisión, o las líneas de responsabilidad. Se
identifican en la organización canales de comunicación claros, con informes periódicos y reuniones particulares
de este asunto, que permiten dar a conocer a los empleados esta información de manera oportuna y efectiva.

ELC.ORG.CO.3 Delegación de autoridad

Existe una matriz de autorización formal, en la que se definen los límites de autoridad, incluidas: autorizacio-
nes estratégicas, estructurales, financieras, de relaciones laborales y de sistemas de información. Allí se delimi-
ta cuando la información deba comunicarse o ser aprobada por el siguiente nivel. El propósito general detrás
de la creación de la Matriz de autorizaciones es reconocer y limitar los riesgos potenciales, los riesgos de las
disposiciones contractuales y las diversas transacciones financieras y propuestas a través de la entidad Milli-
com. Los roles, las responsabilidades y la delegación de autoridad en la matriz de autorizaciones se encuentra
debidamente formalizadas y actualizadas de forma oportuna.

ELC.ORG.CO.4 Los planes de negocios y presupuestos

La dirección establece los planes de negocio y los presupuestos con objetivos realistas. Se establece un proceso
para revisar y actualizar periódicamente los planes estratégicos y los objetivos globales de la entidad.
 94

15.4 gestión de riesgos

ELC.RMT.CO.1 Identificación y mitigación de riesgos
La Alta Dirección tiene mecanismos para identificar y analizar los riesgos relacionados con los objetivos esta-
blecidos, los riesgos de negocio, riesgos de cumplimiento, los riesgos de información financiera, los riesgos de
reputación y los riesgos de fraude. Los riesgos identificados se documentan en un registro de riesgos, se evalúan y
se desarrolla un plan de gestión de riesgos que detalla los controles de seguridad aplicable y eficaz para la gestión
del riesgo. Cada control de seguridad se etiqueta a una persona (s) responsable de las acciones de control.

ELC.RMT.CO.2 La criticidad de los riesgos

Los riesgos son revisados por lo menos anualmente con las diversas áreas responsables para asegurar la exac-
titud e integridad de los planes de mejora y la gestión del riesgo.

15.5 Comunicación, la disponibilidad de información

ELC.COM.CO.1 Comunicación Externa de las normas éticas de la entidad
Se publican externamente las normas Éticas de la entidad. Como mínimo, el Código de Conducta Millicom y el Código
de conducta para proveedores, que estará disponible en el idioma local, publicado en el sitio web de la organización

ELC.COM.CO.3Clasificación de la información externa relevante y el impacto en la entidad

La administración monitorea la dinámica del sector y la información externa relevante, considerando el im-
pacto en la entidad. Esto incluye, pero no se limita a: el seguimiento de los cambios en las leyes y regulaciones
que afectan significativamente el negocio, y pone en práctica los cambios necesarios en las políticas de la
empresa o las prácticas de negocio de una manera oportuna.

15.6 Fraude
ELC.FRA.CO.1 Política de fraude
Existe una Política de Fraude que ha sido comunicada por el Presidente y el CFO y puesta a disposición de
todos los empleados. Se definen los responsables de las iniciativas de prevención ante el riesgo de fraude (Ej.:
Evaluación de riesgos, formación contra el fraude, etc). Responsables de Reporte de fraude y Responsables
del trabajo de investigación. Cada empresa del grupo realiza un monitoreo para evaluar su alineación con la
Política de Fraude en términos de prevención, denuncia e investigación.
 95

ELC.FRA.CO.2 La investigación de los casos de fraude

Todos los casos de fraude interno deben ser investigados. Cada operación tiene una persona especialmente designada
responsable de las investigaciones que lidera la implementación de la Norma del Grupo para Investigaciones.

ELC.FRA.CO.3 Evaluación de los riesgos de fraude y la respuesta

Cada operación realiza una evaluación de los riesgos de fraude de acuerdo con la Política de Fraude del grupo
como mínimo una vez al año. Esta evaluación está documentada (Documento de referencia y herramientas
de Gestión del Riesgo de Fraude establecido por los controles grupo empresarial).Para cada riesgo residual
de fraude identificado, se ha diseñado, implementado y supervisado una respuesta a los riesgos de fraude.
Específicamente, en la respuesta a los riesgos de fraude pueden estar una, o la combinación de los siguientes:
1. Aplicación de controles adicionales,
2. Diseño de técnicas de auditoría proactivas, y/o
3. Reducir el riesgo excluyendo la actividad.

ELC.FRA.CO.5 nuevoLa presentación de informes

Todos los incidentes de fraude interno u otro delito de más de $ 10.000 deben ser reportados inmediatamente
al Director de Investigaciones Global y el director global de los controles comerciales. Todos los incidentes de
fraude externo, el robo o el crimen por encima de $ 50.000 u otros incidentes significativos deben ser repor-
tados inmediatamente al Investigaciones Director Global, al director internacional de controles de negocio
y al Director Global de Aseguramiento de Ingresos (si el fraude impactó el ciclo de ingresos). Se utilizan las
plantillas de informes proporcionados en el kit de herramientas de Gestión de Riesgos de Fraude, establecidas
por los controles grupo empresarial.

15.7 Medio ambiente y gestión de residuos

ELC.ENV.CO.1Plan de acción para desechos electrónicos
Un plan de gestión de aparatos eléctricos y electrónicos (e-waste) está en su lugar y alineado con el plan de
grupo emitido por el Administrador Global HSE. El plan describe los procedimientos para la recogida de equi-
pos de redes obsoletas, de desechos electrónicos de los sitios, la separación de los desechos electrónicos de la
chatarra, y contempla llevar a cabo un proceso de venta de los desechos electrónicos en forma conjunta con
el equipo de logística inversa. La operación sólo vende los desechos electrónicos a proveedores autorizados y
responsable de residuos, registra el peso y el valor monetario de las ventas.
 96

ELC.ENV.CO.2 anteriormente HSE.ENV.CO.2Reducción del consumo de energía

Un plan para reducir el uso de energía está definido, con recuperación de la energía que consumen las áreas
de negocio y/o sitios identificados, se consideran fuentes de energía alternativa, las iniciativas de reducción
tiene objetivos claros.

ELC.ENV.CO.3 anteriormente HSE.ENV.CO.3 Evaluación del riesgo de contaminación

Se realiza una completa evaluación del riesgo medioambiental. Es examinado y revisado en forma anual para
todas las actividades del negocio, incluyendo la respuesta de emergencia y de continuidad de negocio (BCM).
Se establecen medidas de control de la contaminación sobre la base de la evaluación del riesgo para las activi-
dades del negocio que son relevantes. Como mínimo, la operación tiene un plan de respuesta de emergencia
en el lugar para derrames de aceite, combustible, suelo y la contaminación del agua.

ELC.ENV.CO.4 anteriormente HSE.ENV.CO.4 La notificación de accidentes e incidentes

relacionados con el Medio Ambiente.
Son notificados todos los accidentes e incidentes relacionados con el medio ambiente, tal como se define en
el Manual de HSE 002. Se informa a Salud y Seguridad en el trabajo y queda asentado en el Sistema de Gestión
de Incidencias Enablon (IMS) con informes significativos que se investigan exhaustivamente y se asocian los
costos identificados en el negocio, como pérdidas.

ELC.ENV.CO.5 anteriormente HSE.ENV.CO.5 Formación concerniente al medio ambiente

Se lleva a cabo una educación, formación y sensibilización de acuerdo con los requisitos mínimos de HSE
WI 004 matriz de entrenamiento. Los registros de capacitación deben ser conservados y compartidos con
recursos humanos (Área de formación y Dirección de Talento) con regularidad. Los registros, como mínimo,
deben incluir los títulos de la formación llevada a cabo, los nombres de las personas que asistan y las horas de
entrenamiento cada uno reciben.

(ELC.ENV.CO.6 nuevo) Gestión de otros residuos

Existe un proceso para gestionar los residuos en lo que respecta a reducir, reutilizar, reciclar y eliminar. Esto
incluye papel, cartón, madera, plásticos, metales, aceites y minerales, sustancias y materiales peligrosos.
Se registra la Cantidad de residuos reciclados.