El día de hoy 18 de octubre de 2021, la Secretaría de Hacienda y Crédito Público (SHCP) publicó a través del Diario Oficial de la Federación (DOF), los nuevos “Lineamientos para la elaboración del informe de auditoría para evaluar el cumplimiento de las disposiciones de carácter general en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo” ("Lineamientos”).
Los nuevos Lineamientos fueron emitidos por la SHCP, con la finalidad de precisar las características con las que debe contar el auditor, el contenido del informe de auditoría y su envío a la Comisión Nacional Bancaria y de Valores (en adelante “CNBV”), así como dar orden, coherencia y claridad respecto de los procedimientos y requisitos mínimos que deben observar y cumplir las entidades financieras auditadas.
Es importante aclarar que cada entidad financiera tiene por obligación dentro de los 60 (sesenta) días naturales de cada año enviar a la CNBV, un Informe de Auditoría en el que se evalúe el cumplimiento de ha dado a las Disposiciones de carácter general que en materia de prevención de lavado de dinero y financiamiento al terrorismo le aplique, respecto del año inmediato anterior, es decir, cada entidad financiera tendrá hasta el próximo 01 de marzo de 2022, para enviar el multimencionado Informe, respecto del año 2021.
Con base en lo anterior y con la finalidad de darte un panorama más amplio y digerible, te comparto las principales modificaciones que se realizaron respecto de los anteriores lineamientos publicados el pasado 19 de enero de 2017:
Se agrega el índice que divide los lineamientos para la elaboración del Informe de Auditoría (en adelante los “Lineamientos”) en cuatro apartados que son:
Apartado A. Lineamientos preliminares.
Apartado B. Del Auditor.
Apartado C. De la elaboración del Informe de Auditoría.
Apartado D. Del Informe de Auditoría.
Se establece el objeto de los Lineamientos dividido en 3, los cuáles son:
Requisitos mínimos que deberán observar las entidades financieras para la contratación de las personas morales y auditores para la elaboración del Informe de Auditoría en materia de PLD/FT (en adelante el “Informe de Auditoría”).
Establecer los procedimientos y requisitos mínimos para la elaboración del Informe de Auditoría.
Establecer los procedimientos y requisitos mínimos para la remisión a la Comisión Nacional Bancaria y de Valores (en adelante la “CNBV”) del Informe de Auditoría.
Se modificó la definición de “Auditor”.
Se modificó la definición de “Certificado”.
Se incluyó dentro de la definición de “Disposiciones” a las “Disposiciones de carácter general a que se refiere el Artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera”.
Se incluyó dentro de la definición de “Informe de Auditoría” “... y en el artículo 76 de las Disposiciones de carácter general a que se refiere el Artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera”.
Se adicionó la definición de “Persona Moral”.
Se modificó la palabra “Sujetos Obligados” por “Sujetos Supervisados” y se incluye en esta a las “instituciones de fondo de pago electrónico, instituciones de financiamiento colectivo, sociedades autorizadas para operar con modelos novedosos” y se hace la referencia a “reguladas” y “no reguladas” cuando se habla de sociedades financieras de objeto múltiple.
Se indica que la interpretación y consulta del contenido de los lineamientos corresponderá a la Vicepresidencia de Supervisión de Procesos Preventivos de la CNBV.
Se modificaron los requisitos que debe reunir el auditor, agregándose los siguientes:
Contar al menos con un nivel de estudios equivalente a licenciatura y tener experiencia de al menos 3 años en materia de prevención de lavado y financiamiento al terrorismo (en adelante “PLD/FT”), en caso de no tener dicho nivel de estudios, tener experiencia de al menos 5 años en materia de PLD/FT.
No formar parte de la estructura accionaria ni de los órganos de gobierno, ni ser Oficial de Cumplimiento, funcionario, apoderado o empleado de la entidad auditada, con independencia del régimen laboral bajo el que presten sus servicios, en el entendido que este requisito no será aplicable al auditor interno de la entidad auditada.
No tener suspensión vigente, cancelación o revocación de algún registro para fungir como auditor externo independiente, o de alguna certificación emitida por algún organismo autorregulatorio reconocido en términos de las disposiciones legales aplicables.
No encontrarse en las listas oficiales que emitan autoridades mexicanas, organismos internacionales agrupaciones intergubernamentales o autoridades de otros países, de personas vinculadas o probablemente vinculadas con operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, u otras actividades ilegales.
Se adiciona la obligación de la entidad auditada de recabar los siguientes documentos:
Copia del título o cédula profesional o documento equivalente del auditor cuando cuente con este.
Documento con el que se acredite la experiencia profesional del auditor.
Copia del Certificado emitido por la CNBV en materia de PLD/FT.
Carta bajo protesta de decir verdad que cumple con los requisitos señalados en las fracciones III a VIII de los requisitos del auditor, y que la documentación proporcionada es veraz.
Se adicionan los requisitos que debe reunir la persona moral que audite a una entidad financiera:
La persona moral, el auditor y las personas que formen parte del equipo de auditoría, deberán ser y mantenerse independientes de la entidad auditada, a la fecha de celebración del contrato de prestación de servicios de que se trate, durante la auditoría y hasta la emisión del Informe de Auditoría.
Se establecen los supuestos en los que se considerará que no existe independencia de los auditores respecto de la entidad auditada.
La entidad auditada será responsable del cumplimiento de los requisitos de independencia de la persona moral, auditor y personas del equipo de auditoría.
Deberá contar con los recursos técnicos, humanos, financieros y administrativos suficientes para la prestación del servicio correspondiente.
No deberá ejercer el control en la entidad supervisada.
Deberá convenir con la entidad auditada que la documentación y papeles de trabajo propiedad de la persona moral que soporten el Informe de Auditoría, así como toda la información y elementos de juicio utilizados para elaborar el informe, deberán conservarse y mantenerse a disposición de la entidad supervisada para su consulta y, en su caso, presentarlos a la CNBV cuando así lo requiera, por un plazo mínimo de 5 años contados a partir de la presentación del Informe de Auditoría a la CNBV.
Se establece la forma en que el auditor debe de realizar la “Planeación de la auditoría” tomando en cuenta lo siguiente:
El Informe de Auditoría deberá ser elaborado atendiendo a una metodología que sirva al auditor para conocer a la entidad auditada y definir el alcance del programa de trabajo, de acuerdo con las características de esta última, incluyendo como mínimo:
a) Cuestionario inicial de conocimiento de la entidad auditada.
b) Análisis de riesgos basado en la información y documentación proporcionada por la entidad auditada en el cuestionario inicial, en el que se establezcan los riesgos detectados, para atestiguar que el régimen preventivo implementado por la entidad auditada es suficiente y eficaz en su diseño y aplicación, considerando los:
Productos y servicios que ofrece la entidad auditada.
Tipo de clientes y usuarios con los que opera la entidad auditada.
Países y áreas geográficas en las que opera la entidad auditada.
Transacciones y canales de envío o distribución vinculados con las operaciones de la entidad auditada.
Infraestructura Tecnológica con la que cuenta la entidad auditada.
c) Revisión de la información y documentación para la realización de la auditoría, la cual debe quedar asentada y, en su caso, ser presentada a la entidad auditada como evidencia objetiva.
d) El análisis de riesgos deberá servir al auditor para verificar que la metodología de evaluación de riesgos de la entidad auditada es coherente con las características de este último.
Se establece que el programa de trabajo que debe elaborar el auditor contendrá lo siguiente:
Calendario de actividades.
Temas a evaluar, que incluyen:
Realización de pruebas a sistemas automatizados.
Revisiones aleatorias de expedientes de identificación de clientes o usuarios, y recursos materiales, tecnológicos y humanos con que cuenta la entidad auditada.
Forma en que la entidad auditada dará seguimiento a las acciones correctivas implementadas conforme a los riesgos y áreas de oportunidad detectadas.
A continuación se explica de forma general las modificaciones y adecuaciones establecidas para cada sección del Informe de Auditoría:
Respecto de la sección “De las políticas de identificación del Cliente o Usuario”, se desprende lo siguiente:
Se modificó el término “Documento de políticas” por “Manual de Cumplimiento”, así como el término “alto Riesgo” por “Grado de Riesgo alto” en el contenido de los Lineamientos.
Se especifica que el auditor deberá determinar si se encuentran debidamente capturados los datos de identificación de los clientes o usuarios en los sistemas automatizados e integrados los documentos en el expediente de identificación respectivo.
En el inciso b), segundo párrafo, se especifica que la revisión de la aplicación de políticas de identificación y conocimiento del cliente o usuario será en las cuentas concentradoras de las que “sea titular” la entidad auditada abiertas en otro sujeto supervisado.
Se agrega la sección denominada “De la elaboración de una metodología con enfoque basado en riesgos” y se establecen los puntos que debe revisar el auditor y plasmar en el Informe de Auditoría.
Respecto de la sección “De las políticas de conocimiento del Cliente o Usuario”, se desprende lo siguiente:
En el inciso c), se especifica que el auditor deberá determinar si la entidad auditada cuenta con un modelo de evaluación de riesgos para determinar el grado de riesgo de sus clientes o usuarios o, en su caso, con criterios, medidas y procedimientos para clasificarlos en función de su grado de riesgo, además de señalar si el modelo o los criterios, medidas y procedimientos permiten a la entidad auditada realizar una adecuada clasificación de acuerdo con las Disposiciones.
En el inciso d), se especifica que el auditor deberá señalar si el sistema de alertas es acorde a los productos, servicios, tipos de clientes y/o usuarios, países o áreas geográficas, transacciones y canales de envío o distribución con los que opera la entidad auditada.
Respecto de la sección “De la presentación de los reportes de Operaciones a la Secretaría por conducto de la Comisión”, se desprende lo siguiente:
En el inciso b), segundo párrafo se modificó el término “examen” por “valoración”, en el apartado en que el auditor debe señalar si el Comité o el Oficial de Cumplimiento realizaron el análisis de las operaciones presentadas para ser dictaminadas.
En el inciso e), se agregaron los términos “Activos Virtuales” y “operaciones en efectivo en moneda extranjera””, en el apartado en que el auditor debe señalar si se presentaron en tiempo y forma los demás reportes que establecen las Disposiciones.
Respecto de la sección “De la integración de las estructuras internas”, se desprende lo siguiente:
En el inciso c), se modificó la redacción respecto de la obligación de presentar en tiempo y forma, a la SHCP por conducto de la CNBV, la información correspondiente a la integración y cambios del Comité de Comunicación y Control, ya que antes se establecía que debía ser dentro de los primeros 15 días hábiles del mes de enero de cada año.
En los incisos d) y e) se agregó el término “Oficial de Cumplimiento interino” respecto de la designación y revocación de este, así como la obligación de comunicarlo en tiempo y forma a la SHCP por conducto de la CNBV.
Respecto de la sección “De la capacitación y difusión”, se desprende lo siguiente:
En el inciso a), se establece que el auditor deberá precisar si los temas de capacitación son coherentes con los resultados de la implementación de la metodología de evaluación de riesgos y si se adecuan a las responsabilidades de los miembros del consejo de administración, directivos, funcionarios, empleados, entre otros, dependiendo de la entidad auditada de que se trate.
En la sección VII, se hace referencia al término “Infraestructura Tecnológica”, para que el auditor revise lo concerniente del sistema automatizado.
Respecto de la sección “De la conservación de la información”, se desprende lo siguiente:
En el inciso a), se especifica que el auditor debe informar si la entidad auditada cuenta con los mecanismos para conservar y conserva por un periodo no menor a 10 años, copia física o, en su caso, versión digital de los reportes de Operaciones previstos en las Disposiciones, así como los datos y documentos que integran los expedientes de identificación de clientes o usuarios.
Respecto de la sección “De las listas” se desprende lo siguiente:
Se especifica que el auditor debe informar si los mecanismos que utiliza la entidad auditada para identificar a las personas que se encuentran en cada una de las listas, son efectivos.
Se establece un apartado específico para que el auditor señale el grado de cumplimiento de las obligaciones en materia de “Intercambio de información”.
Se establece un apartado específico para que el auditor señale el grado de cumplimiento de las obligaciones en materia de “Modelos Novedosos”.
Se reubica al apartado denominado “De otra información” la obligación del auditor de informar si la entidad:
Comunicó en tiempo y forma, a la SHCP por conducto de la CNBV, la información inicial sobre la identidad de la persona o grupo de personas que ejercen el Control, así como cualquier cambio en dichas personas,
Comunicó en tiempo y forma, a la SHCP por conducto de la CNBV, sobre la transmisión de acciones o partes sociales por más del dos por ciento de su capital social pagado.
Cuenta con oficinas, sucursales, agencias y filiales, en territorio nacional o en el extranjero y en su caso, deberá verificar si la entidad auditada cumple con las obligaciones establecidas en las Disposiciones, en cada una de ellas.
Se establece un apartado específico para que el auditor señale el grado de cumplimiento de las operaciones que la entidad auditada haya realizado a través de comisionistas.
Se establecen los parámetros de cumplimiento regulatorio de la entidad auditada en 5 sentidos, los cuales son:
Cumple. Cuando la eficacia sea demostrada con el cumplimiento de las obligaciones, solo podrá ser en este sentido cuando se demuestre que no se requieren ni recomiendan mejoras para el cumplimiento de la obligación de que se trate.
Cumple Mayoritariamente. Cuando la eficacia no puede ser completamente demostrada con el cumplimiento de las obligaciones y el auditor deberá incluir al menos una recomendación de mejora y, en su caso, algún hallazgo.
Cumple Parcialmente. Cuando la eficacia no puede ser demostrada con el cumplimiento de las obligaciones por no contar con evidencia objetiva que permita demostrar el mismo y el auditor deberá incluir al menos un hallazgo y, en su caso, una o más recomendaciones de mejora.
No cumple. Cuando el cumplimiento no cubre los elementos necesarios o bien, se trata de un incumplimiento que actualiza una sanción y el auditor deberá incluir al menos un hallazgo.
No aplica. Cuando el requisito no surte vigencia debido a las características estructurales, legales o institucionales de la entidad auditada.
Se establece que en caso que se requiera, el auditor desarrollará una sección en la que describa con claridad los aspectos, condiciones o información preocupante que consideró al realizar la auditoría y se indica que se considera como “preocupante”.
Se señala que el auditor deberá incluir en la sección de hallazgos, además de la acción o acciones correctivas, “recomendaciones de mejora” que se requieran, así como especificar los plazos, personas responsables para su implementación y supervisión de estas.
Se especifica que en el escrito firmado por el representante legal, administrador único u Oficial de Cumplimiento con el que se envía el Informe de Auditoría a la CNBV, se deberá de informar la fecha en que la dirección general y el Comité o, en su caso, el Oficial de Cumplimiento conocieron el contenido del Informe, el periodo de revisión, el nombre completo sin abreviaturas del auditor, así como el número y fecha de su certificado, al igual que, en su caso, el nombre de la persona moral que se hubiere contratado para la realización del informe.
Se especifica que el Informe de Auditoría debe ser presentado a la CNBV, con apego a la forma y términos contenidos en los lineamientos, en formato de documento portátil PDF, con configuración de accesibilidad que permita la selección del texto y búsqueda de datos en el contenido del documento, y de acuerdo con las especificaciones para su envío que se contengan en el apartado de "Avisos" del portal SITI PLD/FT.
Se establece la obligación de la entidad auditada de conservar toda la información y documentación generada por la auditoría, por un periodo no menor a 5 años contados a partir de que se remita el Informe de Auditoría a la CNBV y mantenerla a disposición de esta última.
Se señala que quedarán abrogados los “Lineamientos para la elaboración del informe de auditoría para evaluar el cumplimiento de las disposiciones de carácter general en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al Terrorismo”, publicados en el Diario Oficial de la Federación el 19 de enero de 2017.
En caso que quieras consultar el contenido de los nuevos Lineamientos, te comparto el siguiente link https://www.dof.gob.mx/nota_detalle.php?codigo=5632969&fecha=18/10/2021.
Es importante que el Oficial de Cumplimiento de tu entidad, así como el Auditor Interno o Externo tengan conocimiento de los nuevos Lineamientos, con la finalidad de que el Informe de Auditoría se apegue a estos y evites que la autoridad emita algún oficio de recomendaciones a su contenido.
Si tienes alguna duda o comentario, no dudes en contactarme por este medio o a través de correo electrónico o redes sociales.
Comments