LINEAMIENTOS para la elaboración del informe de auditoría para evaluar el cumplimiento de las disposiciones de carácter general en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

LINEAMIENTOS para la elaboración del informe de auditoría para evaluar el cumplimiento de las disposiciones de carácter general en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaría y de Valores.

La Comisión Nacional Bancaria y de Valores con fundamento en lo dispuesto por los artículos 4, fracciones VI y XXXVI, 16, fracción I y 19 de la Ley de la Comisión Nacional Bancaria y de Valores, y 98 Bis de la Ley de Instituciones de Crédito; en relación con la 52ª de las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple; 60ª de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito; 61ª de las Disposiciones de carácter general a que se refiere el artículo 212 de la Ley del Mercado de Valores; 51ª de las Disposiciones de carácter general a que se refiere el artículo 95 de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a las Casas de Cambio; 55ª de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión; 62ª de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley  de Ahorro y Crédito Popular; 48ª de las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a los centros cambiarios a que se refiere el artículo 81-A del mismo ordenamiento; 52ª de las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento; 52ª de las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito; 64ª de  las

Disposiciones de carácter general a que se refieren los artículos 71 y 72 de la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo; 48ª del ACUERDO 04/2015 por el que se emiten las Disposiciones de carácter general a que se refiere el artículo 60 de la Ley Orgánica de la Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero; 51ª de las Disposiciones de carácter general a que se refiere el artículo 95 de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a los Almacenes Generales de Depósito, y el artículo 76 y 106 de las Disposiciones de carácter general a que se refiere el artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera, y

CONSIDERANDO

Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de reducir el costo de cumplimiento de los presentes Lineamientos, la Comisión Nacional Bancaria y de Valores mediante la emisión de la “Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito” y la “Resolución modificatoria de la “Resolución que modifica las Disposiciones de carácter general aplicables a las actividades de las sociedades cooperativas de ahorro y préstamo”, publicada en el Diario Oficial de la Federación el 23 de enero de 2018”, publicadas en el Diario Oficial de la Federación el 26 de abril y 15 de noviembre de 2018 respectivamente, procedió a eliminar las obligaciones para las instituciones de banca múltiple de presentar a la Comisión la Opinión del Auditor Experto Independiente sobre impuestos diferidos y la participación de los trabajadores en las utilidades y sobre beneficios a empleados; y para las Sociedades Cooperativas de Ahorro y Préstamo con niveles de operación I a IV fue ampliado el plazo para que se encontrarán en posibilidades de observar lo previsto por las Normas de Información Financiera emitidas por el Consejo Mexicano de Normas de Información Financiera, A.C.;

Que la Comisión Nacional Bancaria y de Valores es un órgano desconcentrado de la Secretaría de Hacienda y Crédito Público cuyo objeto es supervisar y regular a las entidades integrantes del sistema financiero mexicano, facultada para emitir la normatividad que le permita el eficaz cumplimiento de sus atribuciones;

Que entre las facultades de dicha Comisión está la de emitir la normativa relacionada con las características y requisitos de los auditores que utilizan las entidades supervisadas por la Comisión y los dictámenes que estos emitan, como lo son los auditores o áreas de auditoría responsables de la evaluación  y dictaminación de la efectividad del cumplimiento de las disposiciones que, en materia de prevención y detección de actos, omisiones u operaciones que pudieran ubicarse en las conductas previstas en los artículos 139 Quáter o 400 Bis del Código Penal Federal, emita la Secretaría de Hacienda y Crédito Público;

Que la Secretaría de Hacienda y Crédito Público ha emitido disposiciones que regulan los almacenes generales de depósito, casas de bolsa, casas de cambio, centros cambiarios, instituciones de crédito, instituciones de tecnología financiera, organismos de integración financiera rural, sociedades autorizadas para operar con modelos novedosos, sociedades cooperativas de ahorro y préstamo con niveles de operación del I a IV, sociedades distribuidoras de acciones de fondos de inversión, sociedades financieras comunitarias con niveles de operación del I a IV, sociedades financieras de objeto múltiple reguladas y no reguladas, sociedades financieras populares, sociedades operadoras de fondos de inversión, transmisores de dinero, uniones de crédito y la financiera nacional de desarrollo agropecuario, rural, forestal y pesquero, los cuales deben mantener medidas de control, incluyendo la revisión, evaluación y dictamen por parte de su área de auditoría interna o por un auditor externo o tercero independiente, respecto de la efectividad del cumplimiento de las citadas disposiciones durante el periodo que las mismas establezcan conforme a los lineamientos que para tales efectos emita la Comisión Nacional Bancaria y de Valores;

Que a efecto de permitir a la Comisión Nacional Bancaria y de Valores el eficaz cumplimiento de las facultades antes señaladas, con fecha 19 de enero de 2017 se publicaron en el Diario Oficial de la Federación los Lineamientos para la elaboración del informe de auditoría para evaluar el cumplimiento de las disposiciones de carácter general en materia de prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo, las cuales no contemplan, como sujeto supervisado, a las instituciones de tecnología financiera como nuevas entidades financieras previstas en la Ley para regular las instituciones de tecnología financiera, por lo que es necesario incorporarlas, y

Que dada la importancia que reviste, en el control interno de las entidades, el informe de auditoría sobre la evaluación de la efectividad del cumplimiento de las disposiciones emitidas por la Secretaría de Hacienda y Crédito público en materia de prevención de lavado de dinero y financiamiento al terrorismo, así como para la supervisión que la Comisión Nacional Bancaria y de Valores realiza sobre estas, es necesario precisar las características con las que debe contar el auditor, el contenido del informe de auditoría y su envío a dicha Comisión, por lo que resulta necesario actualizar los lineamientos referidos en el considerando inmediato anterior para dar orden, coherencia y claridad respecto de los procedimientos y requisitos mínimos que deben observar y cumplir los sujetos supervisados en estos aspectos, por lo que ha resuelto expedir los siguientes:

LINEAMIENTOS PARA LA ELABORACIÓN DEL INFORME DE AUDITORÍA PARA EVALUAR EL

CUMPLIMIENTO DE LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA  DE PREVENCIÓN

DE OPERACIONES CON RECURSOS DE PROCEDENCIA  ILÍCITA Y FINANCIAMIENTO AL TERRORISMO

ÍNDICE APARTADO A. LINEAMIENTOS PRELIMINARES

     PRIMERO.      Objeto

     SEGUNDO.     Definiciones

     TERCERO.     Interpretación y consultas

APARTADO B. DEL AUDITOR

     CUARTO.       Requisitos que debe reunir el Auditor

     QUINTO.        Requisitos que debe reunir la Persona Moral

APARTADO C. DE LA ELABORACIÓN DEL INFORME DE AUDITORÍA

SEXTO.Planeación de la auditoría
SÉPTIMO.Programa de trabajo
OCTAVO.Secciones del Informe de Auditoría
 A. Resultados de la Revisión
 B. Cumplimiento regulatorio
 C. Asuntos clave de la auditoría
 D. Hallazgos, acciones correctivas y recomendaciones de mejora

APARTADO D. DEL INFORME DE AUDITORÍA

     NOVENO.       Redacción y estructura del Informe de Auditoría

DÉCIMO.      Pruebas y documentación sustento del Informe de Auditoría DÉCIMO PRIMERO. Conocimiento y remisión del Informe de Auditoría DÉCIMO SEGUNDO. Conservación

APARTADO A

LINEAMIENTOS PRELIMINARES

PRIMERO. Objeto

Los presentes lineamientos tienen por objeto:

  1. Establecer los requisitos mínimos que los Sujetos Supervisados deben observar en la contratación de Personas Morales y Auditores para la elaboración del Informe de Auditoría.
  2. Establecer los procedimientos y requisitos mínimos que deben observar y cumplir los Sujetos Supervisados respecto de la elaboración del Informe de Auditoría que realice el Auditor.
  3. Establecer los procedimientos y requisitos mínimos que deben observar y cumplir los Sujetos Supervisados respecto de la remisión a la Comisión del Informe de Auditoría.

El Informe de Auditoría tiene por objeto brindar a los Sujetos Supervisados la información necesaria para adoptar las medidas que permitan hacer más eficientes sus procesos, mecanismos y herramientas para prevenir Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo, así como para establecer planes de acción que deriven de la revisión materia del Informe de Auditoría.

Los supuestos previstos en los presentes lineamientos son enunciativos y no limitan al Auditor en la elaboración del Informe de Auditoría.

SEGUNDO. Definiciones

En adición a las definiciones contenidas en las Disposiciones que resulten aplicables, para efectos de los presentes lineamientos se entenderá, en singular o plural, por:

  1. Auditor, a la persona física responsable de elaborar y firmar el Informe de Auditoría del Sujeto Supervisado, que puede formar parte de una Persona Moral.
  2. Certificado, al documento expedido electrónicamente por la Comisión, en el que se hace constar la certificación a que se refiere el artículo 4, fracciones X y X Bis de la Ley de la Comisión Nacional Bancaria y de Valores.
  3. Disposiciones, a las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito; Disposiciones de carácter general a que se refiere el artículo 212 de la Ley del Mercado de Valores; Disposiciones de carácter general a que se refiere el artículo 95 de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a las Casas de Cambio; Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión;

Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular; Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple; Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a los centros cambiarios a que se refiere el artículo 81-A del mismo ordenamiento; Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento; Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito;

Disposiciones de carácter general a que se refieren los artículos 71 y 72 de la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo; el ACUERDO 04/2015 por el que se emiten las Disposiciones de carácter general a que se refiere el artículo 60 de la Ley Orgánica de la Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero; Disposiciones de carácter general a que se refiere el artículo 95 de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a los Almacenes Generales de Depósito, y las Disposiciones de carácter general a que se refiere el Artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera.

  1. Financiamiento al Terrorismo, a la conducta prevista y sancionada en el artículo 139 Quáter del Código Penal Federal.
  2. Informe de Auditoría, al documento a que se refiere la 60ª de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito; 61ª de las Disposiciones de carácter general a que se refiere el artículo 212 de la Ley del Mercado de Valores; 51ª de las Disposiciones de carácter general a que se refiere el artículo 95 de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a las Casas de Cambio; 55ª de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión; 62ª de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular; 52ª de las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de

Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple; 48ª de las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a los centros cambiarios a que se refiere el artículo 81-A del mismo ordenamiento; 52ª de las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento; 52ª de las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito; 64ª de las Disposiciones de carácter general a que se refieren los artículos 71 y 72 de la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo; 48ª del ACUERDO 04/2015 por el que se emiten las Disposiciones de carácter general a que se refiere el artículo 60 de la Ley Orgánica de la Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero, 51ª de las Disposiciones de carácter general a que se refiere el artículo 95 de la Ley General de Organizaciones y Actividades Auxiliares del Crédito aplicables a los Almacenes Generales de Depósito, y en el artículo 76 de las Disposiciones de carácter general a que se refiere el Artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera.

  • Operaciones con Recursos de Procedencia Ilícita, a la conducta prevista y sancionada en el artículo 400 Bis del Código Penal Federal.
  • Persona Moral, a la persona contratada por el Sujeto Supervisado para prestarle los servicios de elaboración del Informe de Auditoría.
  • SITI PLD/FT, al Sistema Interinstitucional de Transferencia de Información en materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.
  • Sujetos Supervisados, a los almacenes generales de depósito, casas de bolsa, casas de cambio, centros cambiarios, Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero, instituciones de crédito, instituciones de fondos de pago electrónico, instituciones de financiamiento colectivo, organismos de integración financiera rural, sociedades autorizadas para operar con modelos novedosos, sociedades cooperativas de ahorro y préstamo con nivel de operación de I a IV, sociedades distribuidoras de acciones de fondos de inversión, sociedades financieras comunitarias con niveles de operación I a IV, sociedades financieras de objeto múltiple (reguladas y no reguladas), sociedades financieras populares, sociedades operadoras de fondos de inversión, transmisores de dinero y uniones de crédito.

TERCERO. Interpretación y consultas

La interpretación de los presentes lineamientos y la atención de consultas relacionadas con estos corresponderá a la Vicepresidencia de Supervisión de Procesos Preventivos de la Comisión.

APARTADO B

DEL AUDITOR

CUARTO. Requisitos que debe reunir el Auditor

El Auditor deberá cumplir con los siguientes requisitos:

  1. Contar al menos con un nivel de estudios equivalente a licenciatura y tener experiencia de al menos tres años en materia de prevención, detección y reporte de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.

 En caso de no tener el nivel de estudios señalado en el párrafo anterior, tener experiencia de al menos cinco años en materia de prevención, detección y reporte de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.

  1. Contar con el Certificado vigente al momento de elaborar y firmar el Informe de Auditoría.
  2. No haber sido sentenciado por delitos patrimoniales.
  3. No estar inhabilitado para ejercer el comercio o para desempeñar un empleo, cargo o comisión en el servicio público, o en el sistema financiero mexicano, así como no estar en concurso mercantil en los términos de la ley aplicable.
  4. No ser, ni tener ofrecimiento para ser consejero o directivo del Sujeto Supervisado, salvo cuando se trate del auditor interno del propio Sujeto Supervisado.
  5. No formar parte de la estructura accionaria ni de los órganos de gobierno, ni ser Oficial de Cumplimiento, funcionario, apoderado o empleado en el Sujeto Supervisado al que preste sus servicios, con independencia del régimen laboral bajo el que presten sus servicios.

            Este requisito no será aplicable para el auditor interno del propio Sujeto Supervisado.

  • No tener litigio pendiente con el Sujeto Supervisado.
  • No tener suspensión vigente, cancelación o revocación de algún registro para fungir como auditor externo independiente, o de alguna certificación emitida por algún organismo autorregulatorio reconocido en términos de las disposiciones legales aplicables.
  • No encontrarse en las listas oficiales que emitan autoridades mexicanas, organismos internacionales agrupaciones intergubernamentales o autoridades de otros países, de personas vinculadas o probablemente vinculadas con Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo, o con otras actividades ilegales.

Asimismo, será responsabilidad del Sujeto Supervisado de que se trate, recabar los siguientes documentos:

  1. En su caso, copia del título o cédula profesional o documento equivalente del Auditor a que se refiere la fracción I anterior.
  2. Documento con el que se acredite la experiencia profesional señalada en la fracción I anterior.
  3. Copia del Certificado a que se refiere la fracción II anterior.
  4. Carta bajo protesta de decir verdad de que cumple con los requisitos señalados en las fracciones III a VIII anteriores, y que la documentación proporcionada conforme al presente lineamiento es veraz.

QUINTO. Requisitos que debe reunir la Persona Moral

En caso de que el Sujeto Supervisado opte por contratar a una Persona Moral que preste los servicios de elaboración del Informe de Auditoría, cada Sujeto Supervisado deberá observar lo siguiente:

  1. La Persona Moral, el Auditor y las personas que formen parte del equipo de auditoría, que presten sus servicios al Sujeto Supervisado, deberán ser y mantenerse independientes de este último, a la fecha de celebración del contrato de prestación de servicios de que se trate, durante el desarrollo de la auditoría y hasta la emisión del Informe de Auditoría.

            Se considerará que no existe independencia en cualquiera de los supuestos siguientes:

  1. El Auditor o algún socio de la Persona Moral en la que labore, sean o hayan sido durante el año inmediato anterior a la celebración del contrato de prestación de servicios de que se trate:
    1. Oficial de Cumplimiento o auditor interno del Sujeto Supervisado de que se trate o, en su caso, en cualquier otro Sujeto Supervisado que forme parte del mismo grupo financiero o grupo empresarial.
    1. Director general, Representante legal o empleado que ocupe un cargo dentro de los tres niveles inmediatos inferiores a este en el Sujeto Supervisado o, en su caso, en cualquier otro Sujeto Supervisado que forme parte del mismo grupo financiero o grupo empresarial.
    1. Los ingresos que la Persona Moral perciba o vaya a percibir por la prestación de servicios de la elaboración del Informe de Auditoría, dependan del resultado del propio informe o del éxito de cualquier actividad realizada por el Sujeto Supervisado, teniendo como sustento dicho informe.

 El Sujeto Supervisado será responsable del cumplimiento de los requisitos de independencia a que hace referencia la presente fracción.

  1. La Persona Moral de que se trate deberá contar con los recursos técnicos, humanos, financieros y administrativos suficientes para la prestación del servicio correspondiente.
  2. La Persona Moral de que se trate no deberá ejercer el Control en el Sujeto Supervisado al que preste sus servicios.

Adicionalmente, el Sujeto Supervisado deberá convenir con la Persona Moral que la documentación y los papeles de trabajo propiedad de la Persona Moral que soporten el Informe de Auditoría, así como toda la información y demás elementos de juicio utilizados para elaborar dicho informe, deberán conservarse y mantenerse a disposición del Sujeto Supervisado para su consulta y, en su caso, presentarlos a la Comisión en el momento en que esta última así se lo requiera al Sujeto Supervisado. Lo anterior, por un plazo mínimo de cinco años contado a partir de la presentación ante la Comisión del Informe de Auditoría correspondiente.

APARTADO C

DE LA ELABORACIÓN DEL INFORME DE AUDITORÍA

SEXTO. Planeación de la auditoría

El Informe de Auditoría que los Sujetos Supervisados presenten a la Comisión deberá ser elaborado atendiendo a una metodología que sirva al Auditor para conocer al Sujeto Supervisado de que se trate y definir el alcance del programa de trabajo a que se refiere el SÉPTIMO de los presentes lineamientos, de acuerdo con las características del Sujeto Supervisado. Dicha metodología deberá incluir como mínimo los siguientes criterios:

  1. Cuestionario inicial de conocimiento del Sujeto Supervisado de que se trate: El Auditor deberá recabar la información y documentación que considere pertinente para la realización de su trabajo.
  2. Análisis de Riesgos: El Auditor deberá elaborar un análisis de Riesgos con base en la información y documentación proporcionada por el Sujeto Supervisado de que se trate en su cuestionario inicial, mediante la cual se establezcan claramente cuáles son los Riesgos detectados, que a su juicio debe evaluar para atestiguar que el régimen preventivo implementado por el Sujeto Supervisado es suficiente y eficaz en su diseño y aplicación.

            El Auditor deberá considerar en su análisis de Riesgos, entre otras, las siguientes variables:

  1. Productos y servicios que ofrezca el Sujeto Supervisado.
    1. Tipo de clientes y usuarios con los que opere el Sujeto Supervisado.
    1. Países y áreas geográficas en las que opere el Sujeto Supervisado.
    1. Transacciones y canales de envío o distribución vinculados con las operaciones del Sujeto Supervisado.
    1. Infraestructura Tecnológica con la que cuente el Sujeto Supervisado.
  2. Revisión de toda la información y documentación pertinente para la realización de la auditoría. Esta revisión deberá quedar asentada y, en su caso, ser presentada al Sujeto Supervisado de que se trate para efectos de evidencia objetiva.

Adicionalmente, el análisis de Riesgos a que se refiere el presente lineamiento deberá servir al Auditor para verificar que la metodología de evaluación de Riesgos, que conforme a las Disposiciones los Sujetos Supervisados están obligados a realizar, es coherente con las características del Sujeto Supervisado de que se trate.

SÉPTIMO. Programa de trabajo

El Auditor responsable del Informe de Auditoría deberá diseñar un programa que contenga, al menos, el calendario de actividades a realizar, los temas a evaluar, incluyendo, entre otras, la realización de pruebas a los sistemas automatizados, revisiones aleatorias a los expedientes de identificación de los Clientes o Usuarios, y los recursos materiales, tecnológicos y humanos con que cuenta el Sujeto Supervisado; así como la forma en que el Sujeto Supervisado dará seguimiento a las acciones que de forma correctiva se implementen conforme a los Riesgos y áreas de oportunidad detectados en materia de prevención de Operaciones con Recursos de Procedencia Ilícita y de Financiamiento al Terrorismo. Lo anterior, se podrá realizar dentro o fuera de las instalaciones del Sujeto Supervisado, conforme lo determinen ambas partes.

OCTAVO. Secciones del Informe de Auditoría

El Informe de Auditoría, deberá constar al menos de las siguientes secciones:

A. Resultados de la revisión

El Informe de Auditoría debe incluir el resultado de la revisión del cumplimiento de todas las obligaciones previstas en las Disposiciones aplicables al Sujeto Supervisado de que se trate, incluyendo lo siguiente:

  1. De las políticas de identificación del Cliente o Usuario, deberán contener por lo menos, si el Sujeto Supervisado:
    1. Cuenta con un Manual de Cumplimiento con los criterios, medidas y procedimientos internos para la debida identificación del Cliente o Usuario, con base en los servicios, productos u Operaciones que ofrezca.

 Para dar cumplimiento a lo señalado en el presente inciso, el Auditor deberá evaluar y manifestar si el contenido y aplicación del Manual de Cumplimiento es adecuado para los servicios, productos u Operaciones que ofrece el Sujeto Supervisado.

  • Identifica al Cliente o Usuario de conformidad con el perfil, características y tipo de Cliente o Usuario de que se trate, así como con los requisitos establecidos en las Disposiciones y en su Manual de Cumplimiento.

 Para dar cumplimiento al presente inciso, el Auditor deberá realizar la revisión de los registros de los expedientes de identificación del Cliente o Usuario de que se trate, con base en métodos de muestreo para obtener una muestra representativa, a fin de determinar si se encuentran debidamente capturados los datos de identificación en sus sistemas automatizados e integrados los documentos en el expediente de identificación respectivo.

 Sin perjuicio de lo anterior, el auditor deberá considerar llevar a cabo una verificación, con base en el método de muestreo, de la integración de los expedientes de Clientes o Usuarios clasificados como de Grado de Riesgo alto e incluir el resultado en el Informe de Auditoría.

 En todos los casos, el Auditor deberá explicar los criterios de selección de la muestra, señalar el número de registros de expedientes que formaron parte de dicha muestra y el porcentaje que representa del total de los registros o expedientes con que cuenta el Sujeto Supervisado, así como los datos y documentos faltantes en cada registro o expediente revisado.

  • En su caso, si aplica las políticas de identificación y conocimiento del Cliente o Usuario que realiza Operaciones en las Cuentas Concentradoras de las que sea titular dicho Sujeto Supervisado abiertas en algún otro Sujeto Supervisado.
    • Cuenta con los mecanismos de seguimiento y de agrupación de Operaciones señalados en las Disposiciones, y, en su caso, los relativos al escalamiento de aprobación interna. En este caso, se deberá indicar en qué consisten esos mecanismos y determinar la forma en que han sido implementados por el Sujeto Supervisado.
    • Cuenta con políticas, criterios, medidas y procedimientos para verificar los expedientes de identificación del Cliente o Usuario de conformidad con su Grado de Riesgo, así como para reclasificarlos en el Grado de Riesgo superior que corresponda en caso de detectar cambios significativos en su comportamiento transaccional.

 El Auditor deberá indicar si las políticas, criterios, medidas y procedimientos a que se refiere el párrafo anterior han sido implementados conforme al Manual de Cumplimiento del Sujeto Supervisado.

  • Ha realizado las visitas al domicilio del Cliente o Usuario de conformidad con las Disposiciones aplicables, los casos en que ha realizado dichas visitas, los resultados obtenidos de estas, así como la programación de futuras visitas.
  • De la elaboración de una metodología con enfoque basado en riesgos, deberá contener por lo menos, si el Sujeto Supervisado:
    • Estableció en su Manual de Cumplimiento, o bien, en algún otro documento o manual elaborado por el Sujeto Supervisado, todos los procesos que se llevarán a cabo para la identificación, medición y mitigación de los Riesgos tomando en cuenta, los factores de Riesgo que para tal efecto haya identificado.
    • Diseñó e implementó una metodología para llevar a cabo una evaluación de Riesgos a los que se encuentra expuesto derivado de sus productos, servicios, Clientes, y/o Usuarios, países o áreas geográficas, transacciones y canales de envío o distribución con los que operan.
    • Consideró, dentro del proceso de identificación de los indicadores de Riesgo, el total de productos, servicios, tipos de Clientes y/o Usuarios, países o áreas geográficas, transacciones y canales de envío o distribución con los que opera el Sujeto Supervisado.
    • Utilizó un método para la medición de los Riesgos que establezca una relación entre los indicadores de Riesgo y el elemento al que pertenecen, así como si asignó un peso a cada uno de ellos de manera consistente en función de su importancia para describir dichos Riesgos.
    • Identificó los Mitigantes que tenía implementados al momento del diseño de la metodología, considerando todas las políticas, criterios, medidas y procedimientos señalados en su Manual de Cumplimiento, así como su efectiva aplicación, a fin de establecer el efecto que estos tendrán sobre los indicadores y elementos de Riesgo.
    • En su caso, modificó las políticas, criterios, medidas y procedimientos que correspondan, contenidos en el Manual de Cumplimiento, o bien, en algún otro documento o manual elaborado

por el Sujeto Supervisado, a fin de establecer los Mitigantes que consideró necesarios en función de los Riesgos identificados, así como para mantenerlos en un nivel de tolerancia aceptable de conformidad con lo establecido en el Manual de Cumplimiento, derivado de los resultados de la implementación de la metodología de evaluación de Riesgos.

  • En la etapa de implementación, el sujeto supervisado puso en funcionamiento la metodología de evaluación de riesgo, asegurándose de que no existan inconsistencias entre la información que incorporen a esta y la que obre en sus sistemas automatizados y utilizó, al menos, la información correspondiente al total del número de Clientes, número de operaciones y monto operado correspondiente a un periodo que no podrá ser menor a doce meses.
    • Realizó la valoración de la Metodología, revisando la eficiencia y eficacia de esta.
  • De las políticas de conocimiento del Cliente o Usuario, deberá contener por lo menos, si el Sujeto Supervisado:
    • Cuenta con el Manual de Cumplimiento que contenga los criterios, medidas y procedimientos para el debido conocimiento del Cliente o Usuario conforme a las Disposiciones.
    • Cuenta con criterios, medidas y procedimientos para determinar el perfil y el comportamiento transaccional del Cliente o Usuario. En este caso, el Auditor deberá indicar en qué consisten los criterios, medidas y procedimientos referidos y determinar la forma en que estos han sido implementados por el Sujeto Supervisado.
    • Cuenta con un modelo de evaluación de Riesgos para determinar el Grado de Riesgo en que deba ubicarse a los Clientes o Usuarios o, en su caso, con los criterios, medidas y procedimientos para clasificar a los Clientes o Usuarios en función de su Grado de Riesgo.  El Auditor deberá señalar si el modelo o los criterios, medidas y procedimientos permiten al Sujeto Supervisado realizar una adecuada clasificación de acuerdo con lo establecido en las Disposiciones.
    • Cuenta con un sistema de alertas que le permite dar seguimiento y detectar oportunamente cambios en el comportamiento transaccional del Cliente o Usuario. El Auditor deberá señalar si el sistema de alertas es acorde a los productos, servicios, tipos de Clientes y/o Usuarios, países o áreas geográficas, transacciones y canales de envío o distribución con los que opera el Sujeto Supervisado.
    • Cuenta con criterios, medidas y procedimientos para la supervisión del comportamiento transaccional del Cliente o Usuario clasificados como de Grado de Riesgo alto. El Auditor deberá indicar en qué consisten los criterios, medidas y procedimientos señalados y determinar la forma en que estos han sido implementados por el Sujeto Supervisado.
    • Cuenta con criterios, medidas y procedimientos relacionados con los Clientes o Usuarios considerados Personas Políticamente Expuestas. El Auditor deberá indicar si los criterios, mecanismos, medidas y procedimientos a que se refiere este inciso han sido implementados por el Sujeto Supervisado conforme al Manual de Cumplimiento.
    • Ha realizado Operaciones con Clientes o Usuarios considerados Personas Políticamente Expuestas y además de Grado de Riesgo alto, que hayan sido aprobadas de conformidad con las Disposiciones. En este caso, se deberá indicar en qué consiste el procedimiento de aprobación de dichas Operaciones, cómo se realiza tal procedimiento y si este se aplicó adecuadamente.
    • Ha realizado Operaciones, que por sus características pudieran generar un alto Riesgo para el propio Sujeto Supervisado, que hayan sido aprobadas de conformidad con las Disposiciones. Para efectos de lo anterior, se deberá indicar en qué consiste el procedimiento de aprobación de dichas Operaciones, la forma en que se realiza tal procedimiento y si este fue aplicado adecuadamente.
    • Cuenta con políticas y procedimientos para identificar al Propietario Real de los recursos, así como al beneficiario de estos. Adicionalmente, deberá indicar la forma en que dichas políticas y procedimientos han sido implementados por el Sujeto Supervisado.
    • En su caso, cuenta con criterios, medidas y procedimientos para identificar el número, monto y frecuencia de Operaciones que realiza con Sujetos Supervisados cuando estos tengan la calidad de Cliente o Usuario, debiendo indicar la forma en que dichas políticas y procedimientos han sido implementados por el Sujeto Supervisado.
    • Cuenta con políticas y procedimientos para identificar a los Clientes o Usuarios que se encuentren dentro de la Lista de Personas Bloqueadas emitida por la Secretaría, a cualquier tercero que actúe en nombre o por cuenta de dichas personas, así como las Operaciones que hayan realizado. Igualmente, se deberá indicar la forma en que las políticas y procedimientos han sido implementados por el Sujeto Supervisado.
  • De la presentación de los reportes de Operaciones a la Secretaría por conducto de la Comisión, el cual contendrá, por lo menos, si el Sujeto Supervisado:
    • Presentó en tiempo y forma, los reportes de Operaciones Relevantes, de acuerdo con las Disposiciones y en el formato oficial expedido para tal efecto. En el Informe de Auditoría se deberá indicar si los reportes incluyeron todas las Operaciones Relevantes celebradas por el Sujeto Supervisado en el periodo reportado, así como las que, en su caso, fueron realizadas a través de sus Cuentas Concentradoras.
    • Presentó en tiempo y forma los reportes por cada Operación Inusual alertada por su sistema, modelo, proceso o empleado, de acuerdo con las Disposiciones y en el formato oficial expedido para tal efecto. Igualmente, se deberá indicar si dichas Operaciones fueron dictaminadas por el Comité o, en su caso, por el Oficial de Cumplimiento.

 Asimismo, se deberá señalar si el Comité o, en su caso, el Oficial de Cumplimiento realizó, de conformidad con las Disposiciones y el Manual de Cumplimiento, el análisis de aquellas Operaciones presentadas para su valoración y que no fueron dictaminadas como Operaciones Inusuales.

  • Presentó en tiempo y forma los Reportes de 24 horas, de acuerdo con lo establecido en las Disposiciones y en el formato oficial expedido para tal efecto.
    • Presentó en tiempo y forma el reporte de cada Operación Interna Preocupante alertada por su sistema, modelo, proceso o empleado, de acuerdo con lo establecido en las Disposiciones y en el formato oficial expedido para tal efecto. En este caso se deberá indicar si dichas Operaciones fueron dictaminadas por el Comité o, en su caso, por el Oficial de Cumplimiento.

 Asimismo, deberá señalar si el Comité o, en su caso, el Oficial de Cumplimiento realizó, de conformidad con las Disposiciones y con el Manual de Cumplimiento, el análisis de aquellas Operaciones presentadas para su examen y que no fueron dictaminadas como Operaciones Internas Preocupantes.

  • Presentó en tiempo y forma los demás reportes que, en su caso, se prevean en las Disposiciones, tales como los reportes de transferencias internacionales de fondos, de operaciones en efectivo con dólares de los Estados Unidos de América, cheques de caja, Activos Virtuales, operaciones en efectivo en moneda extranjera, así como el reporte de montos totales de divisas extranjeras. En el Informe de Auditoría respectivo, el Auditor deberá manifestar si dichos reportes fueron presentados cumpliendo con lo señalado en las Disposiciones y si se presentaron en el formato oficial expedido para tal efecto.

El Auditor deberá señalar en el Informe de Auditoría las Operaciones que el Sujeto Supervisado omitió reportar, las que fueron presentadas fuera del plazo señalado en las Disposiciones y las que en su opinión pudieran contravenir estas.

  • De la integración de las estructuras internas, el cual contendrá, al menos, si el Sujeto Supervisado:
    • Integró el Comité de conformidad con las Disposiciones.
    • Comunicó en tiempo y forma a la Secretaría, por conducto de la Comisión, la integración inicial de su Comité conforme a las Disposiciones.

 En caso de no contar con dicho Comité, el Auditor deberá verificar que el Sujeto Supervisado cumple con las excepciones establecidas en las Disposiciones aplicables para no constituir el citado Comité y que así lo haya comunicado, en tiempo y forma, a la Secretaría por conducto de la Comisión.

  • Presentó en tiempo y forma, a la Secretaría por conducto de la Comisión, la información correspondiente a la integración y cambios del Comité a que se refieren las Disposiciones.
    • Realizó la designación o revocación del Oficial de Cumplimiento o del Oficial de Cumplimiento interino conforme a las Disposiciones y atendiendo los requisitos señalados en estas.
    • Comunicó en tiempo y forma, a la Secretaría por conducto de la Comisión, la designación o revocación de su Oficial de Cumplimiento u Oficial de Cumplimiento interino.

Adicionalmente, el Auditor deberá incluir en el informe un reporte de las funciones y obligaciones que realizaron el Comité, el Oficial de Cumplimiento u Oficial de Cumplimiento interino conforme a las Disposiciones, así como conforme a los mecanismos, procesos, plazos y procedimientos señalados en su Manual de Cumplimiento, o bien, en algún otro documento o manual elaborado por el Sujeto Supervisado.

En caso de que el Auditor detecte que el Sujeto Supervisado no se apegó a lo que prevé la presente fracción o las Disposiciones, deberá incluir en su informe los posibles incumplimientos y las razones por las que considera que estos se dan.

  • De la capacitación y difusión deberá contener, si el Sujeto Supervisado:
    • Cuenta con un programa anual de capacitación. Deberá precisarse si los temas de capacitación son coherentes con los resultados de la implementación de la metodología de evaluación de Riesgos y si se adecuan a las responsabilidades de los miembros de sus respectivos consejos de administración, directivos, funcionarios, empleados, entre otros, dependiendo del Sujeto Supervisado de que se trate.
    • Impartió cursos de capacitación a los miembros del Comité, al Oficial de Cumplimiento, directivos, funcionarios, empleados, apoderados y demás personas, en términos de las Disposiciones aplicables y a su Manual de Cumplimiento.
    • Difundió al personal citado en el inciso anterior, las Disposiciones y sus modificaciones, así como información sobre técnicas, métodos, procedimientos y tendencias para prevenir, detectar y reportar Operaciones con Recursos de Procedencia Ilícita y de Financiamiento al Terrorismo.
    • Expidió constancias que acreditan la participación de sus funcionarios o empleados en los cursos de capacitación.
    • Cuenta con medidas para el caso de aquellos funcionarios o empleados que no obtengan una calificación satisfactoria en las evaluaciones de conocimientos a que se refieren las Disposiciones. Para tal efecto, deberá indicar cuáles son dichas medidas y si, en caso  de haberse presentado este supuesto, las llevó a cabo de conformidad con su Manual de Cumplimiento.
  • De la Infraestructura Tecnológica, deberá incluir si el Sujeto Supervisado cuenta con sistemas automatizados que desarrollen la totalidad de las funciones señaladas en las Disposiciones, así como la forma en que se cercioró de que el sistema desarrolla sus funciones.
  • En relación con los empleados que laboren en áreas de atención al público o de administración de recursos, se deberá informar si el Sujeto Supervisado:
    • Cuenta con procedimientos de selección de empleados que cumplen con lo señalado en las Disposiciones. Se deberá indicar la forma en que dicho procedimiento ha sido implementado por el Sujeto Supervisado.
    • Cuenta con expedientes de cada uno de los empleados, indicando si dichos expedientes se encuentran integrados de acuerdo con sus procedimientos de selección.
    • Cuenta con constancias o algún otro documento que acredite que sus empleados han recibido capacitación en la materia, de manera previa o simultánea a su ingreso o al inicio de sus actividades en dichas áreas.
  • De la conservación de la información que contendrá al menos si el Sujeto Supervisado:
    • Cuenta con mecanismos para conservar, por un periodo no menor a diez años de acuerdo con lo establecido en las Disposiciones, copia física o, en su caso, versión digital de, entre otros, los reportes de Operaciones previstos en las Disposiciones, así como los datos y documentos que integran los expedientes de identificación de Clientes o Usuarios.
    • Conserva por el periodo mencionado en el inciso anterior, copia física o, en su caso, versión digital de los reportes de Operaciones previstos en las Disposiciones, así como los datos y documentos que integran los expedientes de identificación de Clientes o Usuarios, entre otros.
    • Cuenta con mecanismos para conservar por un periodo no menor a cinco años, de acuerdo con lo establecido en las Disposiciones, los Informes de Auditoría.
    • Conserva por el periodo mencionado en el inciso anterior, los Informes de Auditoría. X.         De las listas, deberá contener al menos, si el Sujeto Supervisado:
    • Cuenta con las listas oficialmente reconocidas que emitan autoridades mexicanas, agrupaciones intergubernamentales o autoridades de otros países, de personas vinculadas con Operaciones con Recursos de Procedencia Ilícita o Financiamiento al Terrorismo, o con otras actividades ilegales.

 El informe respectivo deberá indicar si el Sujeto Supervisado cuenta con mecanismos, los cuales permitan identificar a las personas que se encuentren en las referidas listas, y si dichos mecanismos son efectivos.

  • Cuenta con la lista de Personas Políticamente Expuestas que los Sujetos Supervisados deben elaborar conforme a las Disposiciones. El informe respectivo deberá indicar si el Sujeto Supervisado cuenta con mecanismos que le permitan identificar a las personas que se encuentren en las referidas listas, y si dichos mecanismos son efectivos.
    • Cuenta con las listas de países o jurisdicciones que la legislación mexicana considera que aplican regímenes fiscales preferentes, señalando si el Sujeto Supervisado cuenta con mecanismos que le permitan identificar los países y jurisdicciones que se encuentren en las referidas listas, y si dichos mecanismos son efectivos.
    • Cuenta con las listas de países o jurisdicciones que a juicio de las autoridades mexicanas, organismos internacionales o agrupaciones intergubernamentales en materia de prevención de Operaciones con Recursos de Procedencia Ilícita o Financiamiento al Terrorismo de los que México sea miembro, no cuenten con medidas para prevenir, detectar y combatir dichas operaciones, o bien, cuando la aplicación de dichas medidas sea deficiente.

 El informe deberá señalar si el Sujeto Supervisado cuenta con mecanismos que le permitan identificar los países y jurisdicciones que se encuentren en las referidas listas, y si dichos mecanismos son efectivos.

  • Cuenta con la Lista de Personas Bloqueadas. Se deberá indicar si el Sujeto Supervisado cuenta con mecanismos que le permitan identificar a las personas que se encuentren en la referida lista, y si dichos mecanismos son efectivos.
    • Ha implementado las medidas establecidas en las Disposiciones en caso de identificar a un Cliente o Usuario en dichas listas.
  • Del intercambio de información, deberá contener al menos, si el Sujeto Supervisado:
    • Intercambió información de conformidad con la forma y términos que se establecen en las Disposiciones, así como si comunicó o presentó a la Secretaría, por conducto de la Comisión, o a esta última, según corresponda, la información y documentación que así lo acredite.
  • De los Modelos Novedosos, deberá contener al menos, si el Sujeto Supervisado:
    • Obtuvo la autorización de la Comisión para operar con Modelos Novedosos.
    • Identificó y evaluó el Riesgo al que está expuesto, previo al lanzamiento del producto o servicio de que se trate a través de Modelos Novedosos.
    • La evaluación a que se refiere el inciso b) anterior se realizó conforme al de enfoque basado en Riesgo de las Disposiciones que le resultan aplicables.
    • Presentó a la Comisión, junto con su solicitud de autorización, el resultado de la evaluación a que se refieren los incisos b) y c) anteriores.
    • Se ajustó a las Disposiciones que le resultan aplicables, conforme a los casos, formas, términos, plazos, condiciones y excepciones que en su autorización señaló la Comisión, previa opinión de la Secretaría.
    • Lleva a cabo las Operaciones señaladas en las Disposiciones que le sean aplicables, a través del Modelo Novedoso autorizado.
  • De otra información:
    • En su caso, comunicó en tiempo y forma, a la Secretaría por conducto de la Comisión, la información inicial sobre la identidad de la persona o grupo de personas que ejercen el Control, así como cualquier cambio en dichas personas, de conformidad con las Disposiciones.
    • En su caso, comunicó en tiempo y forma, a la Secretaría por conducto de la Comisión, sobre la transmisión de acciones o partes sociales por más del dos por ciento de su capital social pagado, de conformidad con las Disposiciones.
    • Tratándose de transmisores de dinero, si se presentó en tiempo y forma, el aviso que contenga la lista de los agentes relacionados y las personas jurídicas coadyuvantes con los que cada transmisor de dinero tenga una relación contractual y los terceros con los que operen los agentes relacionados y las personas jurídicas coadyuvantes.
    • Cualquier otra información que haya sido requerida al Sujeto Supervisado por la Comisión.
    • En su caso, el Auditor deberá informar si el Sujeto Supervisado subsanó las observaciones, recomendaciones y acciones correctivas que la Comisión le notificó.
    • Si cuenta con oficinas, sucursales, agencias y filiales, en territorio nacional o en el extranjero.  En su caso, el Auditor deberá verificar si el Sujeto Supervisado cumple con las obligaciones establecidas en las Disposiciones, en cada una de ellas.
  • De los comisionistas a que se refieren las Disposiciones. Manifestando si el Sujeto Supervisado lleva a cabo Operaciones a través de comisionistas facultados para celebrar Operaciones a nombre y por cuenta de los propios Sujetos Supervisados. En caso afirmativo, deberá contener, al menos:
    • Los resultados de la revisión de las obligaciones relacionadas con comisionistas, establecidas en las Disposiciones.
    • Si el Sujeto Supervisado permite que los expedientes de identificación sean integrados y conservados por sus comisionistas.
    • Los resultados de la revisión que, en su caso, haya hecho el Auditor a uno o más de los comisionistas a través de los cuales el Sujeto Supervisado lleva a cabo Operaciones, a fin de conocer su régimen de prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo. En caso de que no se llevare a cabo dicha revisión, debe incorporarse, en su lugar, la justificación respectiva que exponga las razones por las que el Auditor no la consideró necesaria.

B. Cumplimiento regulatorio

La evaluación de cada una de las obligaciones a que se refiere la sección A anterior deberá ser en cualquiera de los cinco sentidos siguientes:

  1. Cumple. Cuando la eficacia sea demostrada con el cumplimiento de las obligaciones previstas en las Disposiciones.

 La evaluación solo podrá ser en este sentido cuando se demuestre que no se requieren ni recomiendan mejoras para el cumplimiento de la obligación de que se trate.

  • Cumple Mayoritariamente. Cuando la eficacia no puede ser completamente demostrada con el cumplimiento de las obligaciones previstas en las Disposiciones.

 En este caso, el Auditor deberá incluir al menos una recomendación de mejora y, en su caso, algún hallazgo, los cuales deberán ser identificados en la obligación evaluada.

  • Cumple Parcialmente. Cuando la eficacia no puede ser demostrada con el cumplimiento de las obligaciones previstas en las Disposiciones por no contar con evidencia objetiva que permita demostrar el mismo.

 En este caso, el Auditor deberá incluir al menos un hallazgo y, en su caso, una o más recomendaciones de mejora, los cuales deberán ser identificados en la obligación evaluada.

  • No cumple. Cuando el cumplimiento no cubre los elementos necesarios de conformidad con las Disposiciones, o bien, se trata de un incumplimiento que actualiza una sanción.

 En este caso, el Auditor deberá incluir al menos un hallazgo, el cual deberá ser identificado en la obligación evaluada.

  • No aplica. Cuando el requisito no surte vigencia debido a las características estructurales, legales o institucionales de un determinado Sujeto Supervisado, situación que el Auditor deberá verificar para determinar si la exclusión del requisito no actualiza algún incumplimiento y que deberá ser consistente con el análisis de Riesgos elaborado por el Auditor.

C. Asuntos clave de la auditoría

En caso de requerirse, el Auditor desarrollará una sección en la que describa con claridad los aspectos, condiciones o información preocupante que consideró al realizar la auditoría al Sujeto Supervisado.

Se considera preocupante cuando en el curso de la auditoría, el Auditor conozca o determine que las medidas implementadas no son acordes al tipo de servicios, productos u Operaciones que ofrezca y realice el Sujeto Supervisado; cuando operativamente considere que no existe una eficacia en los controles implementados para mitigar los Riesgos; cuando existan hallazgos que se sitúen en alguna infracción grave en términos de las Leyes aplicables; o cuando detecte irregularidades que con base en su juicio profesional pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de los delitos previstos en los artículos 139 Quáter o 400 Bis del Código Penal Federal.

D. Hallazgos, acciones correctivas y recomendaciones de mejora

El Informe de Auditoría deberá contener una sección en la que se incluyan los hallazgos con su correspondiente acción o acciones correctivas, así como las recomendaciones de mejora que a juicio del Auditor se requieran para dar cabal cumplimiento a las Disposiciones, incluyendo los plazos, las personas responsables para su implementación, así como para la supervisión de estas.

Adicionalmente, deberá contener el seguimiento que llevó a cabo el Sujeto Supervisado respecto de los hallazgos y acciones correctivas relacionadas con el Informe de Auditoría presentado en el año inmediato anterior.

En su caso, también deberá contener una sección en la que se indique el seguimiento que llevó a cabo el Sujeto Supervisado respecto de las observaciones, recomendaciones o acciones correctivas que le hayan sido formuladas por la Comisión en el año inmediato anterior.

APARTADO D

DEL INFORME DE AUDITORÍA

NOVENO. Redacción y estructura del Informe de Auditoría

El Informe de Auditoría debe estar redactado en idioma español, con una tipografía de al menos 10 puntos, contar con un índice y estar dividido en secciones, capítulos, apartados, incisos o cualquier otro formato que facilite su lectura y comprensión, lo cual deberá estar resaltado en negrillas para diferenciar las divisiones respectivas y, en su caso, tener anexa la documentación que sirvió de base para su elaboración.

DÉCIMO. Pruebas y documentación sustento del Informe de Auditoría

Las manifestaciones y datos contenidos en el Informe de Auditoría deberán estar sustentados en pruebas que permitan acreditar su veracidad, por lo que el Auditor deberá justificar cada uno de ellos e indicar específicamente y relacionar las pruebas, así como, en su caso, la documentación que fue analizada, procurando citar el texto íntegro del documento al cual se haga referencia y señalar los datos de identificación de este.

DÉCIMO PRIMERO. Conocimiento y remisión del Informe de Auditoría

La dirección general y el Comité o, en su caso, el Oficial de Cumplimiento, de los Sujetos Supervisados deberán conocer el contenido del Informe de Auditoría, a fin de evaluar la eficacia operativa de las medidas implementadas y dar seguimiento a los programas de acción correctiva.

El Informe de Auditoría deberá hacerse del conocimiento de la Comisión a través del SITI PLD/FT, mediante un escrito firmado por el representante legal, administrador único u Oficial de Cumplimiento, en el que se informe la fecha en que la dirección general y el Comité o, en su caso, el Oficial de Cumplimiento conocieron el contenido del Informe de Auditoría, el periodo de revisión, el nombre completo sin abreviaturas del Auditor designado para su elaboración, así como el número y fecha de su Certificado, al igual que, en su caso, el nombre de la Persona Moral que se hubiere contratado para la realización del informe.

Los Sujetos Supervisados deberán remitir a la Comisión al momento de la entrega del Informe de Auditoría a través del SITI PLD/FT, la carta a que se refiere el lineamiento CUARTO, segundo párrafo, inciso d).

Los Sujetos Supervisados deberán presentar a la Comisión el Informe de Auditoría con apego a la forma y términos contenidos en los presentes lineamientos, en formato de documento portátil PDF (siglas del inglés Portable Document Format), con configuración de accesibilidad que permita la selección del texto y búsqueda de datos en el contenido del documento, y de acuerdo con las especificaciones para su envío que se contengan en el apartado de “Avisos” del portal SITI PLD/FT en la página de Internet de la Comisión.

DÉCIMO SEGUNDO. Conservación

Los Sujetos Supervisados deberán conservar toda la información y documentación que se genere con motivo de los presentes lineamientos por un periodo no menor a cinco años, contados a partir de que remitan su Informe de Auditoría y mantenerla a disposición de la Comisión, a requerimiento de esta última.

TRANSITORIOS

PRIMERO. Los presentes Lineamientos entrarán en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.

SEGUNDO. Se abrogan los “Lineamientos para la elaboración del informe de auditoría para evaluar el cumplimiento de las disposiciones de carácter general en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al Terrorismo”, publicados en el Diario Oficial de la Federación el 19 de enero de 2017.

Atentamente

Ciudad de México, a 4 de octubre de 2021.- Presidente de la Comisión Nacional Bancaria y de Valores, Juan Pablo Graf Noriega.- Rúbrica.