Para Grupo SURA, la arquitectura de control se considera fundamental dentro del marco del Buen Gobierno Corporativo. Engloba aspectos relacionados con el Sistema de Control Interno y Proceso de Gestión de Riesgos. Su propósito es asegurar una estructura de gobierno coherente, así como políticas y directrices internas que se alineen con la consecución de nuestros objetivos estratégicos y reflejen nuestra cultura organizacional.

Arquitectura de control interno
Para Grupo SURA, el Sistema de Control Interno (SCI) se concibe como el conjunto de actividades de gobierno, gestión de riesgos y control, que, ejecutadas de manera sistemática y articulada, confieren a la Compañía seguridad razonable en sus interacciones con sus grupos de interés, al igual que en el cumplimiento de sus objetivos de manera legítima y transparente. Por tanto, el SCI se encuentra estructurado en línea con el marco de referencia internacional COSO9, que a su vez, es considerado como referente por entes reguladores locales e internacionales como la Superintendencia Financiera de Colombia (SFC) y la Comisión de Valores de Estados Unidos. Para asegurar su adecuado funcionamiento, el SCI debe ser monitoreado constantemente por las tres líneas de responsabilidad: su primera línea estando integrada por las áreas de negocio; su segunda línea integrada por las áreas de Riesgos, Seguridad Informática y Cumplimiento, y la tercera línea por la Auditoría Interna.

Comité de Auditoría y Finanzas
Los resultados de las evaluaciones periódicas del SCI son analizados por el Comité de Auditoría y Finanzas y presentados a la Junta Directiva. A partir de los hallazgos, se definen los planes de mejoramiento respectivos con el propósito de fortalecer la gestión de riesgos, el gobierno corporativo y el control interno; cuyo cumplimiento es verificado por la Auditoría Interna Corporativa. Además, esta última cuenta con la Certificación Internacional del Instituto de Auditores Internos (IIA Global), que confirma su adhesión a normas internacionales de la profesión. Conforme a estándares globales, la Auditoría Interna reporta directamente al Comité de Auditoría y Finanzas, integrado en su totalidad por miembros independientes de la Junta Directiva.

Proceso de gestión de riesgos
Con el objetivo de establecer los estándares de gestión de riesgos para Grupo SURA y garantizar que esta sea integral y efectiva, se ha implementado una Política Marco de Gestión de Riesgos (MGR). Grupo SURA, en su calidad de Holding, tiene la responsabilidad de garantizar el cumplimiento de esta política en todo el Conglomerado Financiero, considerando el alcance y la variabilidad en la capacidad de control que tiene sobre sus filiales y asociadas.  El MGR da directrices y mecanismos para una gestión de riesgos estratégica en filiales y asociadas, definiendo responsabilidades para las entidades del Conglomerado Financiero de establecer sus propios sistemas de gestión de riesgos, que podrán integrarse y respaldarse por Grupo SURA en los casos pertinentes. Asimismo, todos los colaboradores son responsables de gestionar los riesgos derivados de sus funciones, establecer los mecanismos de control pertinentes y, junto con los líderes de procesos, mantener actualizadas sus matrices de riesgos. Además, deben informar a la Gerencia de Riesgos Corporativos en caso de cambios significativos en los riesgos, controles o materialización de eventos.

Gerencia de Riesgos Corporativos 
El Área de Gestión de Riesgos de Grupo SURA, encabezada por un ejecutivo independiente, juega un papel crucial en la gestión de riesgos. Sus responsabilidades incluyen desarrollar y supervisar el Marco de Gestión de Riesgos (MGR) y el Marco de Apetito de Riesgos (MAR). Esto implica diseñar políticas, procedimientos, controles, límites y sistemas de alerta para gestionar los riesgos del conglomerado financiero y evaluar su impacto en el apetito de riesgo del Holding Financiero (HF). Además, se encargan de consolidar información sobre exposiciones y riesgos, informar sobre asuntos que puedan afectar la sostenibilidad del HF y notificar sobre desviaciones en los límites del MAR. También tienen la tarea de informar y proponer soluciones a problemas identificados en el MGR y de diseñar procedimientos para su actualización continua. 

Comité de Riesgos 
El Comité de Riesgos se encarga de supervisar tanto el Marco de Apetito de Riesgos (MAR) como el Marco de Gestión de Riesgos (MGR). Esto incluye la detección temprana de riesgos, la gestión de excesos en los límites de riesgo, y la comunicación a la Junta Directiva. También se encarga de asegurar que el MAR sea coherente con la estrategia y la estructura de capital, proponer políticas de gestión de riesgos y evaluar anualmente la efectividad del MGR. Además, recomienda procedimientos para la implementación y actualización del MGR y el MAR, garantiza su cumplimiento, y notifica a la Junta Directiva sobre cambios materiales en las exposiciones de riesgo y desviaciones del apetito de riesgo definido en el MAR.