GUÍA FINAL CONTROL INTERNO

AUDITORIA BASADA EN RIESGOS.

Auditoria Basada en Riesgos: agrupa los diferentes elementos de la auditoría interna. Es

necesario que quien la lleve a cabo sea alguien conocedor de la empresa a auditar, de modo
que a partir de allí sea capaz de identificar y evaluar los riesgos de una declaración
distorsionada en los estados financieros.
Auditoria interna: actividad independiente y objetiva de aseguramiento y consultoría
diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a lograr sus objetivos al brindar un enfoque sistemático y disciplinado para
evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y gobierno.
(Instituto de Auditores Internos (IIA))
Categorías de tipos de Riesgo Operacional
1. Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a
defraudar, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o
políticas empresariales en las que se encuentra implicada, al menos, una parte
interna a la empresa. Dentro de esta categoría se encuentran tres clases:
a) Actividades no Autorizadas.
b) Hurto y Fraude Internos.
c) Abuso de información privilegiada (no a favor de la empresa).

2. Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a

defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte
de un tercero. En esta categoría se encuentran dos clases de eventos de pérdida:
a) Hurto y Fraude Externos.
b) Seguridad de los Sistemas.

3. Relaciones Laborales y Seguridad en el Puesto de Trabajo: Pérdidas derivadas de

actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o
seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o
sobre casos relacionados con la diversidad/discriminación. Dentro de esta categoría
se encuentran las siguientes clases de eventos de pérdida:
a) Relaciones Laborales.
b) Higiene y Seguridad en el Trabajo.
c) Diversidad y Discriminación.

4. Clientes, Productos y Prácticas Empresariales: Pérdidas derivadas del

incumplimiento involuntario o negligente de una obligación profesional frente a
clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la
 naturaleza o diseño de un producto. Las clases de eventos de pérdida que se
encuentran dentro de esta categoría son:
a) Adecuación, Divulgación de Información y Confianza.
b) Prácticas Empresariales o de Mercado Improcedentes.
c) Productos Defectuosos.
d) Selección, Patrocinio y Riesgos.
e) Actividades de Asesoramiento.

5. Desastres naturales y otros acontecimientos: Pérdidas derivadas de daños o

perjuicios a activos materiales como consecuencia de desastres naturales u otros
acontecimientos. Dentro de esta categoría sólo existe una clase de evento de
pérdida la cual se llama:
a) Desastres y otros Acontecimientos.

6. Incidencias en el Negocio y Fallos en los Sistemas: Pérdidas derivadas de incidencias

en el negocio y de fallos en los sistemas. De igual modo, en esta categoría sólo existe
una clase de evento de pérdida la cual se define como:
a) Sistemas

7. Ejecución, Entrega y Gestión de Procesos: Pérdidas derivadas de errores en el

procesamiento de operaciones o en la gestión de procesos, así como de relaciones
con contrapartes comerciales y proveedores. Esta categoría está compuesta por
siete clases de eventos de pérdida, los cuales son los siguientes:
a) Recepción, Ejecución y Mantenimiento de Operaciones.
b) Seguimiento y Presentación de Informes.
c) Aceptación de Clientes y Documentación.
d) Gestión de Cuentas de Clientes.
e) Pérdidas derivadas del incumplimiento de la Normativa.
f) Contrapartes Comerciales.
g) Distribuidores y Proveedores.

CATEGORÍAS DE RIESGO Y PLAN DE CONTINUIDAD DE NEGOCIO.

Requisitos para la elaboración y actualización de la base de datos histórica que contenga el
registro sistemático de los diferentes tipos de pérdida asociada al riesgo operacional de las
instituciones.
- Las Instituciones deberán generar una base de datos histórica que contenga el
registro sistemático de los diferentes tipos de pérdida y su costo.
 - Este registro debe contener la pérdida económica originada por el evento, todos los
gastos adicionales en los que incurrió la Institución como consecuencia de dicho
evento.
- Debe corresponder con su registro contable, el cual deberá realizarse de forma
global en las cuentas de resultados y, de forma específica, a través de auxiliares en
la contabilidad.
- Los eventos de Riesgo Operacional deberán ser clasificados en cuando menos uno
de los distintos tipos de Riesgo Operacional.

Consideraciones para la recolección de datos internos de eventos de pérdida por Riesgo

Operacional
1. La Institución debe contar, dentro de sus objetivos, lineamientos y políticas para la
Administración Integral de Riesgos, con criterios, políticas y procedimientos
preestablecidos y documentados bajo los cuales sea posible identificar, clasificar y
registrar contablemente los eventos de pérdida por Riesgo Operacional de las
distintas líneas de negocio de la entidad e incorporarlos a la base de datos de
eventos de pérdida por Riesgo Operacional.
2. En la constitución de la base de datos de eventos de pérdida por Riesgo Operacional,
la Institución deberá identificar eventos sencillos, es decir aquellos que generan un
sólo impacto en la contabilidad, así como eventos múltiples que generen varios
impactos en la contabilidad.
3. La base de datos de eventos de pérdida por Riesgo Operacional se deberá actualizar
al menos de forma trimestral o antes cuando así lo considere la Institución.
4. La base de datos debe incorporar todos los eventos de pérdida por Riesgo
Operacional que surjan en la Institución, así como los montos de pérdida asociados.
5. Además de la información sobre pérdidas brutas, la Institución deberá recopilar
información sobre:
a) La fecha de ocurrencia del evento.
b) La fecha de registro del evento en la herramienta de Riesgo Operacional.
c) La fecha contable del evento.
6. Asegurar que en los eventos de pérdida donde se involucre un proceso legal, se
identifiquen las pérdidas y los gastos legales directamente imputables a dichos
eventos de pérdida, no así los gastos propios de la operación jurídica.
7. Las pérdidas por Riesgo Operacional que estén relacionadas con el riesgo de crédito
y que históricamente se hayan incluido en las bases de datos de riesgo de crédito de
los bancos continuarán recibiendo el tratamiento del riesgo de crédito a efectos del
cálculo del capital regulatorio.
8. Las pérdidas operacionales relacionadas con el riesgo de mercado se consideran
como Riesgo Operacional a efectos de cálculo de capital, por lo que estarán sujetas
 a la exigencia de capital por Riesgo Operacional y este tipo de eventos también
deberán incluirse en la base de datos de eventos de pérdida por Riesgo Operacional.

INFORME DE AUDITORIA.
Proceso en la ejecución de la Auditoría Administrativa.

ETAPAS DE EJECUCIÓN.
1. Planeación: La auditoría administrativa, como actividad técnica, requiere en forma
expresa de un inicio ordenado que permita llevarla a cabo con rapidez y seriedad, ,
bajo un sistema bien definido.
- Definición de la evaluación.
- Análisis y estudio Preliminar.
- Determinación del Alcance.
- Diagnóstico Administrativo.
- Programa de Trabajo y aprobación.
- Designación de Personal

2. Desarrollo: Representa la ejecución de la misma de la Auditoría, es decir, que implica

un trabajo de campo más marcado que en la planeación.
- Aplicación del programa de Trabajo
- Utilización de técnicas de Auditoría
- Evaluación del Control Interno
- Obtención de la Información
- Elaboración de Papeles y Notas de
- Trabajo
- Detección de Hallazgos y su evidencia
- Revisión inicial de la información
- Depuración de la Información
- Análisis de la Información
- Interpretación de la información
- Conclusión del trabajo Operativo

3. Elaboración del Informe: Es la etapa en la que el auditor presenta el producto final

de su trabajo.
- Información periódica preliminar.
- Intercambio constructivo de Opiniones
- Solución de anomalías intrascendentes
- Jerarquía de observaciones de la Auditoría
- Señalamiento de recomendaciones
- Aceptación de deficiencias por el auditado
 - Selección del Modelo de Presentación
- Oportunidad del Informe Final

4. Seguimiento: Representa una actividad cuya función esencial es verificar que se

cumpla con las recomendaciones presentadas en el informe derivado de la auditoría,
además de constatar su contribución a la eficiencia de la organización.
- Decisión de continuar con la actividad
- Confirmación del Cumplimiento
- Nueva Auditoría

LA AUDITORIA Y EL CONTROL.
Distinción de tipos de Auditoría: Las auditorías internas y externas representan la primera
clasificación natural, ya que obedecen a quien las realiza, y comprenden las especialidades
que se enumeran posteriormente.

Auditoria financiera: Representa el primer tipo de evaluación formal y su repercusión e

influencia con las demás es trascendente.
DICTAMEN
En donde se hace referencia a la situación financiera, estado de resultados, variaciones en el
capital contable y los cambios en la situación financiera, lo cual resulta de especial
importancia para los inversionistas y medio externo. Opinión del auditor financiero externo.

Auditoría Fiscal: Este tipo de Auditoría es practicada por las organizaciones como una
ampliación de la Auditoría Financiera. Es aplicada como una medida administrativa (con sus
repercusiones fiscales) por parte de firmas privadas de contadores públicos o por auditores
fiscales (cuando es efectuada por la autoridad).
Auditoría Operacional: Representa en forma general un examen de la gestión de
administración y su proceso. Para desarrollar este tipo de Auditoría resulta pertinente
identificar las metas, misión, visión y filosofía de la organización.
Auditoría Administrativa: Representa en forma general un examen de la gestión de
administración y su proceso.

TIPOS DE CONTROL

Los objetivos de control interno son:

- Protección de Activos
- Información Contable y Oportuna
- Promoción de Eficiencia
- Adhesión a Políticas de la Administración

En este campo es imprescindible ubicar cuatro actividades básicas:

1. La elaboración
2. La instalación
3. El mantenimiento
4. Supervisión

PLANES DE ACCIÓN.
Es un tipo de plan que prioriza las iniciativas más importantes para cumplir con ciertos
objetivos y metas. De esta manera, un plan de acción se constituye como una especie de guía
que brinda un marco o una estructura a la hora de llevar a cabo un proyecto. Dentro de una
empresa, un plan de acción puede involucrar a distintos departamentos y áreas.
 ¿PARA QUÉ SIRVE?
Cuando necesitamos organizar nuestro trabajo y no sabemos por dónde empezar es
recomendable hacer un plan de acción y así distribuir las actividades y optimizar nuestro
tiempo, un plan de acción sirve para definir las acciones y tareas a realizar, se asignan
responsables y fechas de inicio y término.
Es recomendable revisarlo con tu jefe cada semana o cada quince días para saber el grado
de avance y corregir las desviaciones al plan. Primero tenemos que definir cuáles son las
actividades fundamentales o tareas principales después las vamos a desglosar por tareas más
pequeñas ya que todas implican tiempo.
La Gestión Empresarial, es un término utilizado para describir el conjunto de técnicas y la
experiencia de la organización en procesos como planificación, dirección y control eficiente
de las operaciones y de las otras actividades de la empresa.
Mientras que El control es una actividad que forma parte de la vida cotidiana de la del ser
humano, conscientemente o no. Es una función que se realiza mediante parámetros
establecidos con anterioridad, y el sistema de control es el fruto de la planificación y, por
tanto, apunta al futuro El control se refiere a la utilización de registros e informes para
comparar lo logrado con lo programado.

OBJETIVOS

Es una parte crucial de nuestro plan de acción ya que necesitamos conocer qué es lo que
queremos lograr con este plan. Algunos de los objetivos son:

1. ¿Qué deseo obtener exactamente?

2. ¿Para qué quiero alcanzarlo?
3. ¿Qué conseguiré al alcanzarlo?
4. ¿Es alcanzable? ¿Es retador?
5. ¿En qué me voy a fijar para saber qué he conseguido mi objetivo?
6. ¿Cuándo quiero lograr mi objetivo?
7. ¿Cómo afectará a mi entorno?

IMPORTANCIA
Bueno en general y ya citando la información que se obtuvo, podemos observar que el tener
un plan de acción es de mucha importancia y que no solo lo pueden implementar las
empresas, sino cualquier persona lo puede desarrollar y modificar a su gusto, lleva un orden
y básicamente esa es su importancia el cumplir nuestras metas y objetivos que son todas
aquellas cosas que quieres lograr, que además, deben ser motivadores para que te activen y
te mantengan con una actitud positiva. Crear un compromiso interno de cumplirlos te
ayudara a rendir más y a lograrlos.

VENTAJAS DE UN PLAN DE ACCIÓN

- Establece indicadores para verificar el avance de nuestras metas

- Facilita el proceso para evaluar las tareas o a la organización
- Este enfoca esfuerzos para lograr resultados
- Se detallan actividades específicas paso a paso
- Promueve la innovación
- Minimizan riesgos y evitan la improvisación
- El plan de acción por ende genera ventajas competitivas
- Se especifican tiempo para el cumplimiento de las metas
- Crea autonomía
- Objetivos a corto plazo

DESVENTAJAS DE UN PLAN DE ACCIÓN.

- La organización no se acopla a las metas
- Poco tiempo de implementación
- Dificultades de aplicación con poca paciencia
- No hay participación completa de los empleados
- Al final no obtener los resultados esperados
 1. Auditoria Basada en Riesgos
Probablemente una de las más importantes y relevantes para las organizaciones por agrupar los
diferentes elementos de la auditoría interna; quien la lleve a cabo sea alguien conocedor de la
empresa a auditar, de modo que a partir de allí sea capaz de identificar y evaluar los riesgos de una
declaración.

De acuerdo con el Instituto de Auditores Internos (IIA), la auditoría interna se define como: Una
actividad independiente y objetiva de aseguramiento y consultoría diseñada para agregar valor y
mejorar las operaciones de una organización. Además, ayuda a una organización a lograr sus
objetivos al brindar un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de
los procesos de gestión de riesgos, control y gobierno.

El modelo de auditoría basado en riesgos, agrega valor a una organización de diferentes maneras.

• Enfoque centrado en el negocio que ayuda a la organización a lograr sus objetivos.

• Enfoque de auditoría inclusivo que facilita la gestión de la gerencia.
• Nivel óptimo de aseguramiento que respalda el logro de los objetivos del negocio.
• Mejor priorización de hallazgos y recomendaciones.
• Mejora de la mitigación de riesgos.
• Uso más efectivo de los recursos de auditoría.

Categorías de tipos de Riesgo Operacional

Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse
de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales en las que se
encuentra implicada, al menos, una parte interna a la empresa.

a) Actividades no Autorizadas.
b) Hurto y Fraude Internos.
c) Abuso de información privilegiada (no a favor de la empresa).

Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse
de bienes indebidamente o soslayar la legislación, por parte de un tercero.

a) Hurto y Fraude Externos.

b) Seguridad de los Sistemas.

Relaciones Laborales y Seguridad en el Puesto de Trabajo: Pérdidas derivadas de actuaciones

incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre
el pago de reclamaciones por daños personales, o sobre casos relacionados con la
diversidad/discriminación.

a) Relaciones Laborales.
b) Higiene y Seguridad en el Trabajo.
c) Diversidad y Discriminación.
Clientes, Productos y Prácticas Empresariales: Pérdidas derivadas del incumplimiento involuntario
o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos
fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

a) Adecuación, Divulgación de Información y Confianza.

b) Prácticas Empresariales o de Mercado Improcedentes.
c) Productos Defectuosos.
d) Selección, Patrocinio y Riesgos.
e) Actividades de Asesoramiento.

Desastres naturales y otros acontecimientos: Pérdidas derivadas de daños o perjuicios a activos

materiales como consecuencia de desastres naturales u otros acontecimientos.

a) Desastres y otros Acontecimientos.

Incidencias en el Negocio y Fallos en los Sistemas: Pérdidas derivadas de incidencias en el negocio

y de fallos en los sistemas.

a) Sistemas.

Ejecución, Entrega y Gestión de Procesos: Pérdidas derivadas de errores en el procesamiento de

operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y
proveedores.

a) Recepción, Ejecución y Mantenimiento de Operaciones.

b) Seguimiento y Presentación de Informes.
c) Aceptación de Clientes y Documentación.
d) Gestión de Cuentas de Clientes.
e) Pérdidas derivadas del incumplimiento de la Normativa.
f) Contrapartes Comerciales.
g) Distribuidores y Proveedores.

2. Requisitos para la elaboración y actualización de la base de datos histórica

que contenga el registro sistemático de los diferentes tipos de pérdida
asociada al riesgo operacional de las instituciones.
Las Instituciones deberán generar una base de datos histórica que contenga el registro sistemático
de los diferentes tipos de pérdida y su costo, el cual deberá incluir:

a) La pérdida económica originada por el evento.

b) Los gastos adicionales en los que incurrió la Institución como consecuencia de dicho evento.

Deberá realizarse de forma global en las cuentas de resultados y, de forma específica, a través de
auxiliares en la contabilidad. Los eventos de Riesgo Operacional deberán ser clasificados en cuando
menos uno de los distintos tipos de Riesgo Operacional.
Consideraciones para la recolección de datos internos de eventos de pérdida por
Riesgo Operacional
1. La Institución debe contar, dentro de sus objetivos, lineamientos y políticas, con criterios y
procedimientos preestablecidos y documentados bajo los cuales sea posible identificar,
clasificar y registrar contablemente los eventos de pérdida por Riesgo Operacional de las
distintas líneas de negocio de la entidad.
2. En la constitución de la base de datos de eventos de pérdida por Riesgo Operacional, la
Institución deberá identificar eventos sencillos.
3. La base de datos de eventos de pérdida por Riesgo Operacional se deberá actualizar al
menos de forma trimestral.
4. La base de datos debe incorporar todos los eventos de pérdida por Riesgo Operacional que
surjan en la Institución.
5. Además de la información sobre pérdidas brutas, la Institución deberá recopilar información
sobre:
a) La fecha de ocurrencia del evento.
b) La fecha de registro del evento en la herramienta de Riesgo Operacional.
c) La fecha contable del evento
6. Asegurar que en los eventos de pérdida donde se involucre un proceso legal, se identifiquen
las pérdidas y los gastos legales directamente imputables a dichos eventos de pérdida.
7. Las pérdidas por Riesgo Operacional que estén relacionadas con el riesgo de crédito y que
históricamente se hayan incluido en las bases de datos de riesgo de crédito, continuarán
recibiendo el tratamiento del riesgo de crédito a efectos del cálculo del capital regulatorio.
8. Las pérdidas operacionales relacionadas con el riesgo de mercado se consideran como
Riesgo Operacional a efectos de cálculo de capital, por lo que estarán sujetas a la exigencia
de capital por Riesgo Operacional.

Plan de Continuidad de Negocio

SECCIÓN PRIMERA-DISPOSICIONES GENERALES

ADMINISTRACION: Al Consejo de Administración o Administrador único de los Emisores,

Adquirentes y Titulares de Marca.

CONTIGENCIA OPERATIVA: A cualquier evento fortuito que dificulte o inhabilite a las Sociedades a
prestar sus servicios o realizar sus procesos, que derive en daño o pérdida para sus clientes, para el
público en general.

PLAN DE CONTINUIDAD DE NEGOOCIO: Al conjunto de estrategias, procedimientos y acciones que

permitan, ante la verificación de Contingencias Operativas, la continuidad en la prestación de los
servicios o en la realización de los procesos críticos de las Sociedades.

SOCIEDADES: A los Emisores y Adquirentes distintos a las Instituciones de Crédito, y a los Titulares
de Marca.

Del Plan de Continuidad de Negocio. Las Sociedades deberán contar con un Plan de Continuidad
del Negocio cuyo objeto será el restablecimiento de los procesos en caso de presentarse una
Contingencia Operativa.
Del Director General. La Dirección General será la responsable de la debida implementación del
Plan de Continuidad de Negocio, por lo que tendrá a su cargo la elaboración, revisión y actualización
de dicho plan. Al efecto, deberá proponer la actualización, por lo menos una vez al año dicho Plan
de Continuidad de Negocio a la Administración.

SECCIÓN SEGUNDA-REQUERIMIENTOS MÍNIMOS DEL PLAN DE CONTINUIDAD DE NEGOCIO

I. Las Sociedades, previo al desarrollo del Plan de Continuidad de Negocio deberán llevar a cabo un
análisis de impacto al negocio que:

a) Identifique los procesos críticos que se consideran indispensables para la continuidad de las
operaciones.
b) Determine los recursos mínimos necesarios para mantener y restablecer los servicios y
procesos de las Sociedades ante la ocurrencia de una Contingencia Operativa, así como al
término de ésta.
c) Elabore escenarios relevantes relativos a la verificación de posibles Contingencias
Operativas, tales como:
❖ Enfermedades infecciosas.
❖ Desastres naturales y ambientales.
❖ Ataques cibernéticos o a la actividad informática.
❖ Sabotajes. Etc.
d) Estime los impactos cuantitativos y cualitativos de las Contingencias Operativas, con base
en los escenarios definidos para cada proceso crítico y a través de las metodologías a las
que hace referencia la Sección Primera, inciso c), fracción V del presente Anexo, aprobadas
al efecto por la Administración de la Sociedad.
e) Defina la prioridad de recuperación para cada uno de los procesos identificados como
críticos.
f) Determine el tiempo objetivo de recuperación para cada uno de los procesos críticos.
g) Establezca, en su caso, el punto objetivo de recuperación entendido como la máxima
pérdida de datos tolerable para cada uno de los procesos críticos
h) Identifique y evalúe los riesgos relacionados con los procesos operativos y servicios de
procesamiento y transmisión de datos contratados con proveedores, así como los
relacionados con custodia y resguardo de información de las Sociedades de Compensación
o de sus clientes.

II.- En el desarrollo del Plan de Continuidad de Negocio, las Sociedades deberán incorporar las
siguientes estrategias:

a) De prevención, que comprenderá al menos la determinación, con base en el Análisis de

Impacto al Negocio, de las acciones y procedimientos relativas a:
❖ Reducir la vulnerabilidad de los procesos y servicios de las Sociedades ante
Contingencias Operativas.
❖ La disposición de los recursos humanos, financieros, materiales, técnicos y de
infraestructura tecnológica necesarios para actuar de manera oportuna ante una
Contingencia Operativa.
❖ El programa de capacitación elaborado por la Dirección General a que hace
referencia el presente Anexo. Etc.
 b) De contingencia, que comprenderá la definición de las acciones y procedimientos de
respuesta autorizados para:
❖ Identificar oportunamente la naturaleza de las Contingencias Operativas que
afecten los procesos críticos de las Sociedades.
❖ Contener los efectos de Contingencias Operativas sobre los procesos críticos y
favorecer el restablecimiento de la operación a los niveles de funcionamiento
requeridos con base en lo establecido en los incisos f) y g) de la fracción I anterior
c) De restauración, que comprenderá la definición de las acciones y procedimientos para que
los servicios y procesos de las Sociedades vuelvan a niveles mínimos de servicio y
eventualmente a la normalidad, incluyendo mecanismos de actualización y conciliación de
la información, observando al efecto, los estándares establecidos en los incisos f) y g) de la
fracción I anterior.
d) De evaluación, que comprenderá lo relativo a la recopilación y análisis de la información
relevante sobre el desarrollo de la Contingencia Operativa y de las acciones y
procedimientos seguidos para su prevención, contención y restauración a fin de, en su caso,
efectuar los ajustes necesarios al Plan de Continuidad de Negocio.

3. Informe de Auditoría
Proceso en la ejecución de la Auditoría Administrativa

Identificación del proceso de Ejecución

En cualquier actividad, la identificación de etapas naturales (es decir, de un orden en su realización

general) permite establecer una metodología.

Etapas de Ejecución

En la etapa de Planeación, aunque fundamental, requiere de poco tiempo; el Desarrollo, de

bastante, ya que es la operación misma; en la elaboración del informe se recomendará siempre su
oportunidad, y en el Seguimiento se determinará la conveniencia de efectuarlo en relación al
tiempo.

Planeación

La auditoría administrativa, como actividad técnica, requiere en forma expresa de un inicio

ordenado que permita llevarla a cabo con rapidez y seriedad, bajo un sistema bien definido, de ahí
la relevancia de la etapa de Planeación en la actividad evaluativa.

Las actividades a realizar en esta etapa están enfocadas al trabajo de diseño de la evaluación
definirla por área o departamento, así como al análisis inicial, elaboración del diagnóstico,
discusión, aprobación y difusión del programa de trabajo.

Esta etapa requiere de dedicación diligente y consenso de equipo para identificar plenamente el
objetivo y el alcance que de inicio se tiene previsto otorgarle.

Se trata de la primera de las funciones administrativas universales, sólo que aplicada en el campo
de control, y particularmente en la práctica de la auditoría; de ahí lo innegable de su contribución.
Debe esperarse que la Planeación enriquezca y contribuya a la realización eficiente y eficaz de la
auditoría en su conjunto.

Desarrollo

Representa la ejecución de la misma de la Auditoría, es decir, que implica un trabajo de campo más
marcado que en la Planeación.

En esta etapa es posible identificar 3 segmentos o fases naturales:

❖ Aplicación de Técnicas para obtener información.

❖ Estudio, Análisis y validación de la información.
❖ Detección de Hallazgos e identificación de evidencias.
Naturalmente que en esta etapa se tendrá como guía orientadora de trabajo el programa elaborado
antes en la Planeación. Cabe señalar que en las actividades iniciales, al utilizar las técnicas para
obtener información, se debe evaluar el control interno de la organización.

En el estudio, análisis y validación de la información se relacionan hechos u operaciones y, en su

caso, se profundiza en los resultados de las pruebas aplicadas a efecto de formar un juicio y
posteriormente una conclusión.

Obtención del Informe

Es la etapa en la que el auditor presenta el producto final de su trabajo.

El auditor, como profesional que es, debe dedicarle al documento la atención necesaria para que
éste se caracterice en contenido y forma por su calidad, claridad, oportunidad y eficiencia, de
manera que quede plasmado tanto el trabajo como el tiempo invertido en la planeación y desarrollo
quede expuestas de manera clara las situaciones concretas sobre las cuales tendrá que tomar
decisiones los directivos a los que va dirigido este informe.

En el desarrollo de la auditoría se van preparando las notas pertinentes debidamente

documentadas para fundamentar la elaboración de informes.

Este importante documento, por lo general, es presentado en forma descriptiva y suele añadírsele
elementos gráficos y numéricos.

El informe, como documento formal, indica de manera general dos aspectos significativos que se
relacionan entre sí:

❖ La naturaleza del hecho o situación evaluada

❖ Las recomendaciones de solución.
Seguimiento

Representa una actividad cuya función esencial es verificar que se cumpla con las recomendaciones
presentadas en el informe derivado de la auditoría, además de constatar su contribución a la
eficiencia de la organización.

Su ejecución es de tipo preventivo y va enfocada a evitar errores en la interpretación de las

recomendaciones derivadas de la auditoría.
Se evaluará por principio la oportunidad en la implementación de las recomendaciones y su
repercusión en la operatividad de la organización, así como el valor agregado que el personal haya
aportado.

Cuando el seguimiento se lleva a cabo en forma oportuna, la actividad evaluatoria se concluye en

forma eficiente, pero si ocurre extemporáneamente deja de ser utilidad.

Integración del Personal

Atributos del Auditor:

❖ Conocimiento Técnico (Actualización)

❖ Forma de Desempeñarse (Facilidad de comunicación)
❖ Discrecionalidad (Actitud reservada)
❖ Actitud Ética (Bases morales sólidas)
Calidad de la Auditoría

La Auditoría busca realizar una labor eficiente y eficaz, busca apegarse al concepto de calidad, que
pone énfasis en la adecuación de los productos al uso que se hace de ellos, a fin de cumplir con los
requisitos comprometidos con el cliente.

En la Auditoría es imprescindible apoyarse en la existencia de los estándares de calidad, en donde

dichos estándares sirven como referencia para medir la calidad, lo cual permite delinear metas, así
como evaluar el desempeño e impulsar la retroalimentación.

La calidad es útil para localizar mejoras en las áreas administrativas y operativas, y lograr la
eliminación definitiva de deficiencias, errores, tiempos ociosos y reclamaciones de clientes por la
falta de servicio.

4. La Auditoría y el Control
La Auditoría y su necesidad en las organizaciones

Hoy en día es primordial que las organizaciones cuenten con la actividad de auditoría para conocer
la veracidad tanto de la información financiera que han generado como de las actividades
relacionadas con el área administrativa. En el caso de una Auditoría Financiera, se revisarán estados
financieros tales como:

❖ Balance General
❖ Estado de Resultados
❖ Cambios en el capital contable
❖ Cambios en la situación financiera.
El área de Auditoría en las organizaciones

La actividad de auditoría interna nació por la necesidad de las organizaciones de constatar el apego
a los lineamientos establecidos, verificar la confiabilidad de la información y detectar o prevenir
fraudes.
Distinción de tipos de Auditoría

Las auditorías internas y externas representan la primera clasificación natural, ya que obedecen a
quien las realiza, y comprenden las especialidades que se enumeran posteriormente.

Auditoría Financiera

Representa el primer tipo de evaluación formal y su repercusión e influencia con las demás es
trascendente y está plenamente identificada con las organizaciones, ya que fue la pionera en el
campo de evaluación.

Sus resultados y opinión y presentan en un documento formal denominado DICTAMEN, que es el

documento que suscribe el contador público conforme a las normas de su profesión, relativo a la
naturaleza, alcance y resultado del examen realizado.

El dictamen, es en donde se hace referencia a la situación financiera, estado de resultados,

variaciones en el capital contable y los cambios en la situación financiera. Es la opinión del auditor
financiero externo.

Existen tres modalidades de este, las cuales se aplican conforme a las circunstancias que se
presentan en el proceso de valuación; deben expresarse al concluir el informe.

Auditoría Fiscal

Este tipo de Auditoría es practicada por las organizaciones como una ampliación de la Auditoría
Financiera. Es aplicada como una medida administrativa (con sus repercusiones fiscales) por parte
de firmas privadas de contadores públicos o por auditores fiscales.

Las organizaciones establecen mecanismos de control para asegurar la correcta aplicación,

determinación, cálculo y presentación de las manifestaciones fiscales.

Auditoría Operacional

Para desarrollar este tipo de Auditoría resulta pertinente identificar las metas, misión, visión y
filosofía de la organización.
Auditoría Administrativa

Representa en forma general un examen de la gestión de administración y su proceso.

Auditoría de Calidad

La evaluación de la calidad consiste en un examen minucioso del producto o servicio que ofrece la
organización (privada o pública), así como de los procesos que la integran. Dicha evaluación
requiere certificación de resultados.

Este se realiza por dos conductos, el interno (presidente o jefe de unidad) y el externo (comprador,
vendedor y verificación de normas).

El papel del administrador como Auditor o Auditado

La práctica de la auditoría es una actividad positiva que le permitirá corroborar lo realizado en su

gestión y que representa una opinión profesional libre de condicionamientos, que expresa en forma
proactiva señalamientos sobre los errores detectados y la forma de enmendarlos.

Es conveniente que se designe a un empleado que sirva de enlace para agilizar la actividad. La
actitud del administrador que es auditado debe ser mesurada, receptiva y de colaboración; no debe
subestimar la práctica de la auditoría, ya que de ella obtendrá información significativa para decidir
acciones preventivas o correctivas.

El papel del auditor, debe enfocar su acción a la solicitud de información, análisis de la misma,
examen, revisión de operaciones y la aportación de su opinión profesional sobre el tema tratado.

Expectativas de la Administración en una Auditoría

Por lo general, la práctica de las auditorías, se busca que sirvan de apoyo, orientación y asesoría. La
administración de toda empresa espera que los resultados de la auditoría le proporcionen:

❖ Efectividad de la Administración
❖ Desviaciones a lo planeado y establecido
❖ Puntos de Mejora
❖ Ratificación de la operatividad que se cumple
❖ Recomendaciones financieras, operacionales y administrativas
❖ Plan sugerido de acciones correctivas
Concepto de control y sus tipos

Control, como una etapa del proceso administrativo, es decir, funcional, representa una actividad
de vigilancia del cumplimiento de las operaciones y la confirmación del apego a la normatividad
establecida.

Control, como una etapa del proceso administrativo. Procesos (involucra pasos y que queda
descartada su acción individual). El control en la organización, sistematiza la verificación de las
operaciones con el objetivo principal de lograr su eficiencia, eficacia, economía y transparencia.
Lo concerniente al diseño, aprobación e implementación del control es algo que requieren las
organizaciones antes de iniciar operaciones, mientras están en actividad, en casos de integración o
fusión y en la terminación de operaciones, de manera que siempre está presente en cualquiera de
las fases y sobre todo en la tarea de prevención, donde se desprenden tres tipos de control.

Estos tres tipos de control están basados en el tiempo.

Cuando un control es previo, se aplica antes de celebrar operaciones, es decir, se anticipa al hecho;
cuando es concurrente, se realiza en el momento de celebrar la operación, y cuando es posterior o
de retroalimentación se utiliza en operaciones ya celebradas.

Se ha indicado el control funcional, mismo que se amplía en la literatura administrativa, pero es

pertinente señalar que el control interno se denomina así porque representa en toda organización
un conjunto de sistemas administrativos amalgamados para normar y eficientizar la operación de
esta.

Los objetivos de control interno son:

❖ Protección de Activos
❖ Información Contable y Oportuna
❖ Promoción de Eficiencia
❖ Adhesión a Políticas de la Administración
Los órganos de control en una organización son:

❖ El consejo de administración,
❖ El comisario directivo principal,
❖ Los directivos funcionales,
❖ El auditor interno y, en su caso el auditor externo.
En este campo es imprescindible ubicar cuatro actividades básicas:

❖ La elaboración
❖ La instalación
❖ El mantenimiento
❖ Supervisión

5. Plan de acción
Es un tipo de plan que prioriza las iniciativas más importantes para cumplir con ciertos objetivos y
metas. De esta manera, un plan de acción se constituye como una especie de guía que brinda un
marco o una estructura a la hora de llevar a cabo un proyecto.

El plan establece quiénes serán los responsables que se encargará de su cumplimiento en tiempo y
forma. Por lo general, también incluye algún mecanismo o método de seguimiento y control.
¿Para qué sirven?

Un plan de acción sirve para definir las acciones y tareas a realizar, se asignan responsables y fechas
de inicio y término. Primero, tenemos que definir cuáles son las actividades fundamentales o tareas
principales después las vamos a desglosar por tareas más pequeñas ya que todas implican tiempo.

La Gestión Empresarial, es un término utilizado para describir el conjunto de técnicas y la

experiencia de la organización en procesos como planificación, dirección y control eficiente de las
operaciones y de las otras actividades de la empresa.

Mientras que el control es una actividad que forma parte de la vida cotidiana de la del ser humano,
conscientemente o no. Es una función que se realiza mediante parámetros establecidos con
anterioridad, y el sistema de control es el fruto de la planificación.

Objetivos

Es una parte crucial de nuestro plan de acción ya que necesitamos conocer qué es lo que queremos
lograr con este plan. Algunos de los objetivos son:

❖ ¿Qué deseo obtener exactamente?

❖ ¿Para qué quiero alcanzarlo?
❖ ¿Qué conseguiré al alcanzarlo?
❖ ¿Es alcanzable?
❖ ¿Es retador?
❖ ¿En qué me voy a fijar para saber qué he conseguido mi objetivo?
❖ ¿Cuándo quiero lograr mi objetivo?
❖ ¿Cómo afectará a mi entorno?
Importancia de los Planes de Acción

El tener un plan de acción es de mucha importancia y que no solo lo pueden implementar las
empresas, sino cualquier persona lo puede desarrollar y modificar a su gusto, lleva un orden y
básicamente esa es su importancia el cumplir nuestras metas y objetivos que son todas aquellas
cosas que quieres lograr, que, además, deben ser motivadores para que te activen y te mantengan
con una actitud positiva.

Ventajas de un Plan de Acción

❖ Establece indicadores para verificar el avance de nuestras metas

❖ Facilita el proceso para evaluar las tareas o a la organización
❖ Este enfoca esfuerzos para lograr resultados
❖ Se detallan actividades específicas paso a paso
❖ Promueve la innovación
❖ Minimizan riesgos y evitan la improvisación
❖ El plan de acción por ende genera ventajas competitivas
❖ Se especifican tiempo para el cumplimiento de las metas
❖ Crea autonomía
❖ Objetivos a corto plazo
Desventajas de un Plan de Acción

❖ La organización no se acopla a las metas

❖ Poco tiempo de implementación
❖ Dificultades de aplicación con poca paciencia
❖ No hay participación completa de los empleados
❖ Al final no obtener los resultados esperados
PRESENTACIONES DE POWERPOINT

Industria 4.0
Interconectar todas las partes de una empresa dando lugar a una automatización efectiva y una
empresa más inteligente.
Destacan:

 Automatización
 Conectividad
 Información digital
 Acceso digital al cliente y a otros
 Usuarios en menor tiempo

Ventajas

 Optimización de los niveles de calidad.

 Reducción de costos
 Reducción en tiempos de producción.
 Mayor seguridad
 competitividad empresarial
 cuidado del medioambiente

Desventajas

 Empresas desactualizadas.
 personal especializado
 Tiene un coste de inversión inicial muy alto
 Empresas en desventaja
 Se depende de la tecnología,.
 Constante actualización

Big Data
Big data es un término que describe el gran volumen de datos estructurados y no estructurados
que inundan una empresa todos los días. Pero no es la cantidad de datos lo importante.
1) Reducir los costos
 2) Reducir el tiempo
3) Desarrollar nuevos productos y optimizar las ofertas
4) Tomar decisiones inteligentes.
Cuando se combinan grandes datos con análisis de alta potencia, se pueden realizar tareas
relacionadas con los negocios como:
Determinar las causas de origen de fallos, problemas y defectos casi en tiempo real.
Recalcular portafolios de riesgo completos en minutos.
Detecte el comportamiento fraudulento antes de que afecte a su organización.

KEY RISK INDICATOR (Indicador clave de riesgo)

Son: métricas que se utilizan para determinar el potencial de un riesgo eventual y tomar medidas
oportunas. Son una especie de alarma que avisa cuando algo no está funcionando como debería

Sirve: Ayudan a anticipar problemas y oportunidades futuras, basándose en la observación de

tendencias que puedan afectar a una organización.

Es importante: incorporarlos en el proceso de gestión porque proporcionan información útil

sobre los riesgos potenciales que pueden impactar en los objetivos estratégicos de una empresa.

KPI: MEDIDOR DE DESEMPEÑO

Un método útil para desarrollar un KRI consiste en analizar un evento de riesgo que haya
afectado a la organización en el pasado o incluso en el presente. Después, observando de
adelante hacia atrás, se identifican los eventos intermedios hasta llegar a la causa raíz que
originó una pérdida.

KEY PERFORMANCE INDICATOR

Significa: El término KPI, siglas en inglés, de Key Performance Indicator, cuyo significado en
español vendría a ser Indicador Clave de Desempeño o Medidor de Desempeño
Son: una serie de métricas que se utilizan para sintetizar la información sobre la eficacia y productividad
de las acciones que se lleven a cabo en un negocio con el fin de poder tomar decisiones

Ventajas:
1. Permiten obtener información valiosa y útil.
2. Medir determinadas variables y resultados a partir de dicha información.
3. Analizar la información y efectos de unas determinadas estrategias
4. Comparar la información y determinar las estrategias y tareas efectivas.
5. Tomar las decisiones oportunas.

Ejemplos:
A)Estadísticas de una página web:
Método de seguimiento que te ayude a saber aspectos como el número de visitas, la frecuencia
de las mismas, las preferencias de los usuarios.
B) Tiempo de ejecución:
Es uno de los KPIs más empleados. La unidad de medida que suele utilizarse es la del tiempo en
minutos,
C) Porcentaje de defectos:
Este es un KPI especialmente útil en las cadenas productivas de gran alcance. Las empresas
suelen medir el porcentaje de errores producidos durante un proceso o tarea

Planes de acción
Es un tipo de plan que prioriza las iniciativas más importantes para cumplir con ciertos objetivos
y metas. De esta manera, un plan de acción se constituye como una especie de guía que brinda
un marco o una estructura a la hora de llevar a cabo un proyecto. Dentro de una empresa, un
plan de acción puede involucrar a distintos departamentos y áreas.
El plan establece quiénes serán los responsables que se encargará de su cumplimiento en
tiempo y forma. Por lo general, también incluye algún mecanismo o método de seguimiento y
control, para que estos responsables puedan analizar si las acciones siguen el camino correcto.

¿Para qué sirve?

Cuando necesitamos organizar nuestro trabajo y no sabemos por dónde empezar es
recomendable hacer un plan de acción y así distribuir las actividades y optimizar nuestro tiempo,
un plan de acción sirve para definir las acciones y tareas a realizar, se asignan responsables y
fechas de inicio y término.
Es recomendable revisar lo con tu jefe cada semana o cada quince días para saber el grado de
avance y corregirlas desviaciones al plan. Primero tenemos que definir cuáles son las actividades
fundamentales o tareas principales después las vamos a desglosar por tareas más pequeñas ya
que todas implican tiempo.

La Gestión Empresarial, es un término utilizado para describir el conjunto de técnicas y la

experiencia de la organización en procesos como planificación, dirección y control eficiente de
las operaciones y de las otras actividades de la empresa.
Mientras que El control es una actividad que forma parte de la vida cotidiana de la del ser
humano, conscientemente o no. Es una función que se realiza mediante parámetros
establecidos con anterioridad, y el sistema de control es el fruto de la planificación y, por tanto,
apunta al futuro El control se refiere a la utilización de registros e informes para compararlo

Objetivos:
Es una parte crucial de nuestro plan de acción ya que necesitamos conocer qué es lo que
queremos lograr con este plan. Algunos de los objetivos son:
¿Qué deseo obtener exactamente?
¿Para qué quiero alcanzarlo?
¿Qué conseguiré al alcanzarlo?
¿Es alcanzable?
¿Es retador?
¿En qué me voy a fijar para saber qué he conseguido mi objetivo?
¿Cuándo quiero lograr mi objetivo?
 ¿Cómo afectará a mi entorno?

Importancia
Bueno en general y ya citando la información que se obtuvo, podemos observa que el
tener un plan de acción es de mucha importancia y que no solo lo pueden implementar
las empresas, sino cualquier persona lo puede desarrollar y modificar a su gusto, lleva un
orden y básicamente esa es su importancia el cumplir nuestras metas y objetivos que son
todas aquellas cosas que quieres lograr, que además, deben ser motivadores para que te
activen y te mantengan con una actitud positiva. Crear un compromiso interno de
cumplir los te ayudara a rendir más y a lograrlos.

Ventajas
•Establece indicadores para verificar el avance de nuestras metas
•Facilita el proceso para evaluar las tareas o a la organización
•Este enfoca esfuerzos para lograr resultados
•Se detallan actividades específicas paso a paso
•Promueve la innovación
•Minimizan riesgos y evitan la improvisación
•El plan de acción por ende genera ventajas competitivas
•Se especifican tiempo para el cumplimiento de las metas
•Crea autonomía
•Objetivos a corto plazo

Desventajas
•La organización no se acopla a las metas
•Poco tiempo de implementación
•Dificultades de aplicación con poca paciencia
•No hay participación completa de los empleados
•Al final no obtener los resultados esperados
CATEGORÍAS DE RIESGO OPERACIONAL

Las instituciones deberán generar una base de datos histórica que contenga el registro sistemático de
los diferentes tipos de pérdida y su costo, el cual deberá incluir la pérdida económica originada ´por el
evento, así como todos los gastos adicionales en los que incurrió la institución como consecuencia de
dicho evento, en correspondencia con su registro contable, el cual deberá realizarse de forma global en
las cuentas de resultados y, de forma específica, a través de auxiliares en la contabilidad.

Consideraciones para la recolección de datos internos de eventos de pérdida por Riesgo Operacional

•La Institución debe contar, dentro de sus objetivos, lineamientos y políticas para la Administración
Integral de Riesgos. •En la constitución de la base de datos de eventos de pérdida por Riesgo
Operacional, la Institución deberá identificar eventos sencillos. •La base de datos de eventos de pérdida
por Riesgo Operacional se deberá actualizar al menos de forma trimestral o antes cuando así lo
considere la Institución. •La base de datos debe incorporar todos los eventos de pérdida por Riesgo
Operacional que surjan en la Institución, así como los montos de pérdida asociados. •Además de la
información sobre pérdidas brutas, la Institución deberá recopilar información sobre: a)La fecha de
ocurrencia del evento. b)La fecha de registro del evento en la herramienta de Riesgo Operacional. c)La
fecha contable del evento

Consideraciones para la recolección de datos internos de eventos de pérdida por Riesgo Operacional

1. Asegurar que en los eventos de pérdida donde se involucre un proceso legal. 2. Las pérdidas por
Riesgo Operacional que estén relacionadas con el riesgo de crédito y que históricamente se
hayan incluido en las bases de datos de riesgo de crédito de los bancos continuarán recibiendo
el tratamiento del riesgo de crédito a efectos del cálculo del capital regulatorio 3. Las pérdidas
operacionales relacionadas con el riesgo de mercado se consideran como Riesgo Operacional a
efectos de cálculo de capital.
PLAN DE CONTINUIDAD DE NEGOCIO

Primera sección

Disposiciones generales

Administración: Al Consejo de Administración o Administrador único de los Emisores, Adquirentes y

Titulares de Marca
Plan de continuidad de negocios: Al conjunto de estrategias, procedimientos y acciones que permitan,
ante la verificación de Contingencias Operativas, la continuidad en la prestación de los servicios o en la
realización de los procesos críticos de las Sociedades, o bien su restablecimiento expedito, así como la
mitigación de las afectaciones producto de dichas contingencias.

Contingencia operativa:A cualquier evento fortuito que dificulte o inhabilite a las Sociedades a prestar
sus servicios o realizar sus procesos, que deriven en daño o pérdida para sus clientes, para el público en
general, para sus contrapartes o para los propios Participantes en la Red de Pagos con Tarjeta o Cámaras
de Compensación para Pagos con Tarjeta.

Sociedades: a los Emisores y Adquirentes distintos a las Instituciones de Crédito, y a los Titulares de
Marca.

Las Sociedades deberán contar con un Plan de Continuidad del Negocio cuyo objeto será el
restablecimiento de los procesos en caso de presentarse una Contingencia Operativa.

Del director general La Dirección General será la responsable de la debida implementación del Plan de
Continuidad de Negocio, por lo que tendrá a su cargo la elaboración, revisión y actualización de dicho
plan. Al efecto, deberá proponer la actualización, por lo menos una vez al año dicho Plan de Continuidad
de Negocio a la Administración. Asimismo, la Dirección General será responsable de:

I. Someter el Plan de Continuidad de Negocio a pruebas de efectividad regularmente a fin de

asegurar su oportuna actualización. II. La implementación, continua actualización y difusión
del plan al interior de la Sociedad. III. Diseñar y llevar a cabo una política de comunicación
respecto de la verificación de Contingencias Operativas, la cual deberá ser parte del Plan de
Continuidad de Negocio. IV. Prever lo necesario para hacer del conocimiento de la Dirección
General responsable de su supervisión en la CNBV, por cualquier medio disponible, las
Contingencias Operativas que se presenten en cualquiera de sus sistemas. V. Desarrollar las
metodologías para estimar los impactos cuantitativos y cualitativos de las Contingencias
Operativas, para su utilización en el análisis de impacto a que hace referencia el apartado
Requerimientos mínimos del Plan de Continuidad de Negocio del presente Anexo. VI.
Revisar mediante auditorías la aplicación del Plan de Continuidad de Negocio, evaluando su
eficiencia y efectividad. VII. Informar a la Administración, cuando menos una vez al año,
sobre la situación que guarda el Plan de Continuidad de Negocio.

Diario Oficial de la Federación

Disposiciones de carácter general aplicables a las bolsas de valores Capítulo II

"Del Plan de continuidad de negocio"

Artículo 36.- Las Bolsas de valores deberán elaborar planes de acción y de contingencia para restablecer
su operación en caso de presentarse una Contingencia operativa, los cuales deberán incluirse en el Plan
de continuidad de negocio. Dichos planes deberán ser acordes con la criticidad de los procesos de
negocio, y con el análisis de impacto al negocio.

Artículo 37.- El director general de la Bolsa de valores deberá elaborar el Plan de continuidad de
negocio, dicho plan y sus modificaciones serán presentados para aprobación del consejo de
administración a través del comité de auditoría. Para el desempeño de las responsabilidades a que se
refiere el presente artículo, el director general podrá auxiliarse del personal que determine, en cuyo
caso deberá hacerlo del conocimiento de la Comisión en un plazo no mayor a cinco días hábiles a partir
de su designación, manteniendo en todo momento una adecuada segregación de funciones que evite
conflictos de interés.

Artículo 38.- Las Bolsas de valores deberán contar con una metodología para estimar los impactos
cuantitativos y cualitativos de las Contingencias operativas. El comité de auditoría deberá verificar
anualmente la efectividad de la metodología comparando sus estimaciones contra las Contingencias
operativas observadas y, en su caso, llevará a cabo las correcciones necesarias. El comité de auditoría
deberá informar al consejo de administración y a la Comisión, el resultado de las pruebas de efectividad
y de la evaluación del alcance del Plan de continuidad de negocio, de su adecuada divulgación entre las
áreas pertinentes y de la identificación, en su caso, de los ajustes necesarios para su actualización y
fortalecimiento. Dicho informe deberá realizarse cuando menos una vez al año o antes si se detectan
resultados relevantes.

Segunda Sección: REQUERIMIENTO MÍNIMOS DEL PLAN DE CONTINUIDAD DE NEGOCIO

I. Las Sociedades, previo al desarrollo del Plan de Continuidad de Negocio deberán llevar a
cabo un análisis de impacto al negocio que:
a) Identifique los procesos críticos que se consideran indispensables para la continuidad de las
operaciones. b) Determine los recursos mínimos necesarios para mantener y restablecer los
servicios y procesos c) Elabore escenarios relevantes relativos a la verificación de posibles
Contingencias Operativas d) Estime los impactos cuantitativos y cualitativos de las Contingencias
Operativas

e) Defina la prioridad de recuperación para cada uno de los procesos identificados como críticos. f)
Determine el tiempo objetivo de recuperación para cada uno de los procesos críticos. g) Establezca, en
su caso, el punto objetivo de recuperación entendido como la máxima pérdida de datos tolerable para
cada uno de los procesos críticos h) Identifique y evalúe los riesgos relacionados con los procesos
operativos y servicios de procesamiento y transmisión de datos contratados con proveedores, así como
los relacionados con custodia y resguardo de información de las Sociedades de Compensación o de sus
clientes.

II.- En el desarrollo del Plan de Continuidad de Negocio, las Sociedades deberán incorporar las siguientes
estrategias:

a) De prevención, que comprenderá al menos la determinación, con base en el Análisis de Impacto al

Negocio, de las acciones y procedimientos relativas a: Reducir la vulnerabilidad de los procesos y
servicios de las Sociedades ante Contingencias Operativas. La disposición de los recursos humanos,
financieros, materiales, técnicos y de infraestructura tecnológica necesarios para actuar de manera
oportuna ante una Contingencia Operativa. El programa de capacitación elaborado por la Dirección
General a que hace referencia el presente Anexo. Etc.

b) De contingencia, que comprenderá la definición de las acciones y procedimientos de respuesta

autorizados para: Identificar oportunamente la naturaleza de las Contingencias Operativas que afecten
los procesos críticos de las Sociedades. Contener los efectos de Contingencias Operativas sobre los
procesos críticos y favorecer el restablecimiento de la operación a los niveles de funcionamiento
requeridos con base en lo establecido en los incisos f) y g) de la fracción I anterior

c) De restauración, que comprenderá la definición de las acciones y procedimientos para que los
servicios y procesos de las Sociedades vuelvan a niveles mínimos de servicio y eventualmente a la
normalidad, incluyendo mecanismos de actualización y conciliación de la información, observando al
efecto, los estándares establecidos en los incisos f) y g) de la fracción I anterior.

d) De evaluación, que comprenderá lo relativo a la recopilación y análisis de la información relevante

sobre el desarrollo de la Contingencia Operativa y de las acciones y procedimientos seguidos para su
prevención, contención y restauración a fin de, en su caso, efectuar los ajustes necesarios al Plan de
Continuidad de Negocio.

Las Sociedades, al definir las diferentes acciones y procedimientos a que hace referencia la presente
fracción, deberán en todo momento determinar de manera clara el personal responsable, así como
prever lo relativo a su suplencia o sustitución en caso de que los titulares se encuentren incapacitados
para llevar a cabo lo que el Plan de Continuidad de Negocio establezca.

COBIT (CONTROL OBJETIVES FOR INFORMATION AND RELATED TECHNOLOGY)

OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y LA TECNOLOGÍA RELACIONADA

Es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI
y los riesgos que conllevan.

Se utiliza para implementar gobierno de TI y mejorar los controles de TI. Contiene objetivos de control,
directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos
de madurez para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios.

Es un framework (infraestructura digital) de gobierno de TI y un conjunto de herramientas de soporte

para el gobierno de TI que les permite a los gerentes cubrir la brecha entre los requerimientos de
control, los aspectos técnicos y riesgos de negocio.

Hace posible el desarrollo de una política clara y las buenas prácticas para los controles de TI a través de
las organizaciones.

Enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado

desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

Misión: investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnología
de información que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y
usuarios.

Visión: ser el modelo de control para la TI

Regla de oro: para proveer la información que requiere la organización para lograr sus objetivos, los
recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y
ejecutados acorde a prácticas normalmente aceptados.

Usuarios: la gerencia, usuarios finales, auditores, responsables de TI, organismos estatales de control,

Principios

1. Satisfacer las necesidades de las partes interesadas

2. Cubrir la compañía de forma integral. COBIT 5 se concentra en el gobierno y la administración
3. Aplicar un único Marco Integrado
4. Habilitar un enfoque holísitico
5. Separar el gobierno de la administración
Integrantes:

Escalante González Eduardo Sebastián

González Aguilar Sahara Jackellyn

Juárez Villarreal Carla Carolina

Lara Garza Joselyn

Sánchez Niño Jaime Alejandro

Responsabilidades del auditor con respecto al
fraude en auditorías de estados financieros.
 Objetivo

El auditor, de acuerdo a la Norma Internacional

de Auditoria 240, debe identificar y evaluar los
riesgos de errores de importancia relativa
debidos a fraude en los estados financieros,
obteniendo la evidencia suficiente y apropiada
para diseñar e implementar los procedimientos
necesarios y responder de manera apropiada.
Conceptos principales a entender

1. Fraude: es un acto intencional de una o mas

personas relacionadas con la entidad, que pueden
ser:
• Administración
• Empleados
• Terceros

Que implica el uso de engaño para obtener una ventaja

injusta e ilegal, dando como resultado una
representación errónea en los estados financieros y que
puede implicar manipulación y falsificación de
documentos, malversación de activos, omisión de
transacciones, mala aplicación de políticas contables,
entre otros.
2. Factores de riesgo de fraude:
Son indicios que presentan la oportunidad o posibilidad
de cometer fraude. Cuando el auditor identifica estos
indicios por lo general se encuentran aspectos como:
• Un incentivo o presión para cometer fraude
• Oportunidad percibida para cometer fraude
• Capacidad de racionalizar la acción fraudulenta

Los factores de riesgo de fraude varían de acuerdo a la

entidad y a los procedimientos y políticas que éstas
establezcan para la prevención y detención de fraude.
 Ejemplos de implementación

1. Evaluación de evidencia de auditoría:

El auditor debe de evaluar los riesgos de error de importancia
relativa debido a fraude, y establecer si es necesario aplicar
procedimientos adicionales. Al momento de establecer una
opinión general sobre los estados financieros el auditor debe
determinar si los procedimientos aplicados indican algún
riesgo no conocido previamente y relacionado a fraude, el
auditor debe examinar este riesgo en relación a la auditoria y
establecer si la administración está involucrada, lo que pude
en duda su credibilidad y la de la información presentada en
los estados financieros.
2. Confirmaciones escritas:
El auditor debe obtener confirmaciones escritas de la entidad donde la administración
reconoce su responsabilidad de diseñar, implementar y mantener el control interno
para prevenir y detectar fraude. Así mismo, la administración debe presentar en forma
escrita al auditor:

• Resultados de la valoración de la administración de riesgos

• Conocimiento o sospecha de fraude que involucre la entidad
 IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS
NIA 315 DE INCORRECCIÓN MATERIAL MEDIANTE EL
CONOCIMIENTO DE LA ENTIDAD Y DE SU
ENTORNO

(NIA-ES 315)

Alcance
Esta Norma trata de la responsabilidad que tiene el auditor de identificar y
valorar los riesgos de incorrección material en los estados financieros,
mediante el conocimiento de la entidad y de su entorno, incluido el control
interno.
 Objetivo

El objetivo del auditor es identificar y valorar

los riesgos de incorrección material, debida
a fraude o error, tanto en los estados
financieros como en las afirmaciones,
mediante el conocimiento de la entidad y de
su entorno, incluido su control interno, con la
finalidad de proporcionar una base para el
diseño y la implementación de respuestas a
los riesgos valorados de incorrección
material.
Definiciones
Términos propios de la NIA 315:

• Afirmaciones: manifestaciones de la dirección,

explícitas o no, incluidas en los estados financieros.

• Riesgo de negocio: riesgo derivado de

condiciones, hechos, circunstancias, acciones u
omisiones significativos que podrían afectar
negativamente a la capacidad de la entidad para
conseguir sus objetivos y ejecutar sus estrategias o
derivado del establecimiento de objetivos y estrategias
inadecuados.
• Control interno: proceso implementado al interior de la
organización con la finalidad de proporcionar una seguridad
razonable en el cumplimiento de los objetivos de la entidad
relativos a la fiabilidad de la información financiera, la
eficacia y eficiencia de las operaciones, así como sobre el
cumplimiento de las disposiciones legales y reglamentarias
aplicables.

• Procedimientos de valoración del riesgo: procedimientos

de auditoría aplicados para obtener conocimiento sobre la
entidad y su entorno, incluido su control interno, con el
objetivo de identificar y valorar los riesgos de incorrección
material.

• Riesgo significativo: riesgo identificado y valorado de

incorrección material que, a juicio del auditor, requiere una
consideración especial en la auditoría.
REQUERIMIENTOS

• Procedimientos de valoración del riesgo y

actividades relacionadas.

• El conocimiento requerido de la entidad y su

entorno, incluido su control interno.

• Identificación y valoración de los riesgos de

incorrección material.

• Documentación.
Procedimientos de valoración de
riesgo
a) Indagaciones ante la dirección, ante las
personas adecuadas de la función de
auditoría interna y ante otras personas de
la entidad que, a juicio del auditor, puedan
disponer de información que pueda facilitar
la identificación de los riesgos de
incorrección material debida a fraude o
error.

b) Procedimientos analíticos.

c) Observación e inspección.
Funciones de los Procedimientos
Analíticos

• Los procedimientos analíticos pueden

identificar aspectos de la entidad que el
auditor no conocía y facilitar la valoración
de riesgos de incorrección material,
pueden incluir información tanto
financiera (indicadores) como no
financiera por ejemplo, la relación entre
las ventas y la superficie destinada a las
ventas o el volumen de los productos
vendidos.

• Identifica las relaciones inusuales o

inesperadas a través del análisis de
tendencias.
Observación e Inspección

Pueden dar soporte a las indagaciones y

proporciona información acerca de la entidad
y de su entorno. Ejemplos de dichos
procedimientos de auditoría incluyen la
observación o inspección de:

• Las operaciones de la entidad.

• Documentos, registros y manuales de
control interno.
• Informes preparados por la dirección y por
los responsables del gobierno de la entidad.
• Los locales e instalaciones industriales de la
entidad.
El conocimiento requerido de la entidad y su entorno, incluido su control interno.

El auditor obtendrá conocimiento de lo siguiente:

a) Factores relevantes sectoriales y normativos, así como otros factores externos,
incluido el marco de información financiera aplicable.
b) La naturaleza de la entidad, incluyendo sus operaciones, sus estructura de
gobierno y propiedad, los tipos de inversiones que la entidad realiza o tiene
previsto realizar, incluidas las inversiones en entidades con propósito especial y el
modo en que la entidad se estructura y la forma en que se financia, para permitir
al auditor comprender los tipos de transacciones, saldos contables y revelaciones
que se espera encontrar en los estados financieros.
c) La selección y aplicación de políticas contables por la entidad, incluidos los
motivos de cambios en ellas.
d) Los objetivos y las estrategias de la entidad, así como los riesgos de negocio
relacionados, que pueden dar lugar a incorrecciones materiales.
e) La medición y resultado financiero de la entidad.
El control interno de la entidad
El sistema de control interno comprende:

• Elementos manuales (aprobaciones y revisiones de transacciones, así como

conciliaciones y seguimiento de las partidas en conciliación) .

• Elementos automatizados (controles integrados en programas informáticos), por lo

general beneficioso para la organización. Las características de estos elementos son
relevantes para la valoración del riesgo por el auditor y para los procedimientos de
auditoría posteriores basados en dicha valoración.
Los procedimientos de valoración del riesgo
deben incluir :

• La indagación entre los empleados de la

entidad.
• La observación de la aplicación de
controles específicos.
• La inspección de documentos e informes.
• El seguimiento de transacciones a través
del sistema de información relevante para la
información financiera.
Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad
que tiene el auditor, en una auditoría de estados financieros, de diseñar e
implementar respuestas a los riesgos de incorrección material
identificados y valorados por el auditor de conformidad con la NIA 315
 Capítulo 5- Técnicas y herramientas
para una efectiva implementación de la
administración de riesgos empresariales
INTEGRANTES DE EQUIPO:
Escobedo Rodríguez Evelyn Jazmín
Camacho Saucedo Nataly Abril
Lomas Rangel Diana Laura
Santiago Cruz Sandra Lisa
Torres Arévalo José Eduardo
Tovar Martínez Evelin Denisse
 El proceso continuo para la administración de riesgos empresariales
En el proceso de investigación de riesgos se deberán identificar aquellas situaciones o eventos en los que
se tiene la percepción que involucran riesgos que pudieran afectar a la entidad de manera relevante.

Beneficios: Factores que inciden en este

1. Si se puede mitigar el proceso:
riesgo, se estará apostando ● Lenguaje y terminología
a la prevención contra común.
catástrofes, eventos de ● Combinación de
riesgo inherentes al giro de técnicas de
la entidad, y a riesgos identificación de
financieros. riesgos.
2. Si la entidad está ● La discusión de las
sobreviviendo, o se técnicas debe darse en
desempeña mejor que otras, un ambiente franco.
es porque se está ● La perspectiva debe ser
anticipando a los efectos de el coadyuvar a la
situaciones o eventos de efectiva implementación
riesgo. de (ARE).
● Atender pocos riesgos
pero vitales.
Las técnicas que se proponen para identificar
riesgos:
 1. Tormenta de Ideas
Consiste en celebrar sesiones o reuniones de trabajo cuya finalidad sea que sus
participantes lleguen a generar una lista o relación de riesgos.
Esas sesiones estarán integradas por colaboradores que conformarán un
grupo de trabajo para que identifiquen riesgos. Los participantes a las
sesiones:
● Deberán conocer e interpretar con claridad los objetivos de la entidad
● Deberán contar con habilidades en las que sean líderes, incluyendo a
miembros del grupo de auditoría interna y en la medida de lo posible,
personal debidamente entrenado y certificado para conducir las
tormentas de ideas (facilitadores).
El siguiente paso
● En adición con los facilitadores debidamente entrenados y
consistirá en
capacitados, los participantes deberán conocer y entender el Marco
jerarquizar esos
integral de la administración de riesgos empresariales (MIARE).
riesgos de mayor a
● Previo a las sesiones, los participantes deberán prepararse
menor impacto.
adecuadamente para poder participar con elementos de juicio y
conocimiento en los temas a tratar.
2. Inventario general de eventos de riesgo
Esta técnica consiste en reunir un inventario general de eventos de riesgo que
pueden presentar comercio o industria en que opera la entidad; información que
se puede obtener de la cámara o asociación a la que esta pertenezca.

Por ejemplo, de comercio, de

tiendas departamentales, de la
industria de transformación, de la
industria farmacéutica, de la
industria automotriz, de la industria
de fabricación de partes
automotrices, de la industria
electrónica en sus diferentes
especialidades, etcétera.
 3. Entrevistas y autoevaluación
La aplicación de esta técnica infiere la combinación de
dos diferentes procesos:

1. Se proporcionará a cada integrante de la organización

un formato a través del cual se le solicitará que
mencione los principales objetivos y estrategias para El documento que resulte de las
lograrlos; así como los riesgos que pudieran impedir el entrevistas realizadas será
logro de sus objetivos. entregado al coordinador del grupo
de trabajo de administración de
2. A cada titular o responsable de unidad administrativa u riesgos empresariales. El
operativa se le cuestionara su capacidad para coordinador podrá de inicio solicitar
administrar sus riesgos de conformidad con lo la aclaración de cualquier duda que
le surgiera del resultado de las
dispuesto en el Marco integral de la administración de entrevistas. Esta técnica puede ser
riesgos empresariales, para lo cual se le solicitara, con utilizada conjuntamente con la de
apoyo de formatos ex profeso. talleres de trabajo.
4. Talleres de trabajo
Una vez que la información es recolectada y completada, un
equipo de trabajo, compuesto por participantes de una unidad
o de varias unidades interrelacionadas, procederá a la
celebración de talleres de trabajo en los que se discutirán los
resultados obtenidos.
5. Fortalezas, oportunidades, debilidades y
amenazas (FODA)
FODA es una técnica de análisis que se utiliza con frecuencia
en la formulación de estrategias Las fortalezas y debilidades
aplican hacia el interior de la entidad, e incluye su cultura
empresarial, estructura organizacional y recursos humanos y
financieros, la mayor fortaleza de una entidad se centra en
sus competencias y habilidades, que serán la base para
explotar las ventajas competitivas que derivan de ello.

Las oportunidades y amenazas son variables que provienen

del exterior de la entidad y que típicamente no están bajo el
control, en el corto plazo, del director general
6. Cuestionarios de riesgos Los cuestionarios son valiosos ya que
coadyuvan a que el personal de la entidad
piense en los riesgos relacionados con sus
actividades y responsabilidades. La desventaja
Estos se elaborarán con base en una serie de
de los cuestionarios es que, por lo regular, no
preguntas sobre eventos de riesgo, tanto de están ligados con las estrategias.
origen interno como externo. Las preguntas
sobre una perspectiva interna estarán
Se consolidará la
dirigidas a los riesgos relativos que se información resultante de la
pudieran presentar con los clientes, investigación realizada a
proveedores, inversionistas, operaciones, través de cuestionarios; y
productos, procesos productivos, podrá ser utilizada en los
instalaciones, sistemas de información, etc. talleres de trabajo a los que
Para el caso de eventos externos las se hizo alusión
anteriormente, en cuyas
preguntas estarán orientadas hacia los
sesiones se llegará a la
riesgos sociales, regulatorios, del comercio y definición y jerarquización de
la industria, ambientales, los riesgos los riesgos, muy en especial
representados por la competencia, entre los vitales, para proceder a la
otros. discusión ha lugar.
7. Análisis de escenarios
Grupo interdisciplinario
Útil para explorar las estrategias a Formularán escenarios sobre los riesgos sujetos a
utilizar en la atención de riesgos análisis que habrán de incluir efectos que pueden
probables o potenciales bajo el acarrear.
cuestionamiento genérico de ¿Qué Riesgos a desarrollar:
pasaría si…?.
❖ Carencia de planes de contingencia
❖ Personal no calificado
Cada prevención debe ser estudiada ❖ Pasivos contingentes
con sumo cuidado, indagar todos los ❖ Falta o retraso de suministros
detalles y aspectos que el son relativos, ❖ Interrupción o retraso de entrega de
orientados a la toma de decisiones para mercancía
evitar sorpresas ❖ Productividad ineficiente
❖ Falta de respuesta oportuna
❖ Problemas de liquidez financiera
8. Internet
Riesgos que conlleva su uso

La reputación es vulnerable a
difamación Tiempo en horas laborales

Divulgacion de informacion Consultando y trasmitiendo

confidencial informacion que no aporta
beneficios
Desinformación
Uso de Facebook u otras
Piratería o robo de identidad o aplicaciones similares
información

Correo electrónicos que

transmiten virus
Herramientas para valorar riesgos
Administración de Riesgos
 Acciones preliminares
En el proceso de identificación de riesgos se puede llegar a determinar un gran número
de ellos que parece ser abrumador e inmanejable, por lo que se convierte en una
verdadera necesidad el clasificarlos

Categorización:

● Interno y externos
● estratégicos
● Peligrosos
● Operacionales
● Financieros y no financieros
● Controlables y no controlables
● Asegurables y no asegurables
Las técnicas para valorar riesgos pueden variar de un enfoque cualitativo a una
cuantitativo.
 Rangos de riesgo
El grupo de ARE procederá a jerarquizarlos según su importancia, estableciendo
para tales propósitos rangos tales como bajo riesgo, riesgo moderado y alto
riesgo

Talleres de trabajo
Se discute la importancia de determinados
riesgos, donde se requiere un debate abierto,
discusiones propositivas y proactivas, y
posturas fundamentadas.
y en los que quienes participen expresen, y
justifiquen, sus consideraciones sobre si
están de acuerdo o no con el rango asignado
Impacto y probabilidad
Muchas entidades generan mapas de
riesgo con base en el proceso Alto impacto, Alto impacto, alta
baja probabilidad. probabilidad.
denominado impacto y probabilidad.
Bajo impacto, Bajo impacto, alta
Se genera no solo para conocer su baja probabilidad. probabilidad.
probabilidad, sino también para Ocurrencia de probabilidad
demostrar cómo los riesgos pueden
(Figura 5.5 Mapa de riesgos con base en el impacto y la
desembocar en un impacto adverso. probabilidad) p. 107

Los mapas de riesgo apoyan a las

entidades en el cómo determinar y
responder a los riesgos, lo que permite
que cuando se percatan de un gran
riesgo pueden prepararse y plantear una
respuesta.
Aspectos clave de los mapas de riesgo
Tiempos
Confidencialidad
Lo que pudiera ser importante el dia de hoy o durante la semana,
podría no tener la misma relevancia dentro de cinco años

Definiciones Tendencia del riesgo

 Relación entre MAPA DE RIESGOS POR OBJETIVOS
objetivos
institucionales y Capta todos los riesgos involucrados en Un
mapas de riesgo objetivo específico, lo que ayudará a las
organizaciones a comprender el amplio
espectro de ese riesgo.

Los riesgos pueden ser identificados en

cada unidad administrativa, operacional o de
negocio de la entidad, lo que puede ser de
más utilidad para los responsables de
atenderlos
 Riesgos residuales

● Es el riesgo remanente que prevalece

después de aplicar esfuerzos de
mitigación, y los controles adicionales que
se deben instaurar para apoyar el logro de
objetivos.

Provee beneficios adicionales debido

a que las entidades no sobrestimaran
o subestimaran la administración de
un riesgo residual que pudiera ser
considerado como tolerable o
aceptable.
 Proporciona la
administración información

Curva de utilidades necesaria para decidir de

cuánto dinero puede

y pérdidas disponer para administrar

este riesgo.

Son una útil herramienta Revela la distribución

que permite a una entidad de utilidades y Cómo puede
apreciar como un riesgo pérdidas potenciales generar utilidades
en el tiempo y para absorber las
puede influenciar los
condiciones pérdidas eventuales
resultados de operación
que se reflejarán en los
estados financieros
Ventajas
● Riesgo en la rentabilidad
Con base en indicadores pueden medir
también los riesgos en la rentabilidad de
cada unidad de negocio

Se determina examinando cómo las

utilidades alcanzadas tuvieron una
variación negativa en relación con las Permite conocer la eficiencia de cada
esperadas en este enfoque las variables unidad ya que el conocimiento de sus
son examinadas para determinar cómo riesgos representa una información
puede influenciar a las utilidades. valiosa

Con este conocimiento la entidad puede

comparar las utilidades que generan
cada unidad
Riesgos no cuantificables

· Catástrofes, fenómenos meteorológicos impredecibles

sabotajes, etcétera En los que es muy difícil predecir cuándo
Riesgos latentes provenientes de: puede suceder y mucho menos cuantificar sus efectos

· Por ejemplo: Una institución financiera crea valor con

Probable inseguridad en la sus clientes cuando estos confían en la seguridad y
tecnología de la información en confidencialidad manejan sus cuentas y la información que
que se apoya la entidad le han proporcionado

· Repercuten en el precio de venta de los productos

sobre los cuales los consumidores disponen de una
Aumento en el precio de los determinado nivel de compra de sus productos que al
energéticos o insumos básicos aumentar de precio provocaría que dejen de comprarlos o
comprar menos de lo habitual
 ● Beneficios de ajustes y correcciones

Son aquellos que se obtienen cuando se logra mitigar,

evitar, reducir, compartir o transferir los riesgos.

Los beneficios que se podrán obtener de un riesgo

ajustado corregido permiten a la administración evaluar
cómo estos beneficios se podría lograr si los riesgos
fueran mejor administrados, inclusive tales beneficios
pudieran impactar en el incremento del precio de mercado
de las acciones de la entidad, expectativa que se puede
alcanzar con el apoyo complementario que brinda la ARE.
Riesgo Operacional y Tecnológico
La regulación en materia de Contratación
de Terceros, Seguridad y Medios
electrónicos está basada en mejores
prácticas a nivel internacional y
metodologías, como COBIT, que tienen
una aceptación a nivel mundial
Tercerización de servicios

Las empresas subcontratistas son aquellas que brindan

servicios a otras compañías para el desempeño o
desarrollo de ciertas actividades del proceso productivo,
ya sea dentro o fuera de la empresa contratante.

Se pueden contratar en :
Sistemas Informáticos

Procesos operativos
 ARTÍCULOS 17 BIS 34 Y 35
ARTÍCULO 17 BIS 34

Las Sociedades podrán contratar con terceros, incluyendo a otras entidades financieras, la prestación
de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas
en el Artículo 19 de la Ley de acuerdo a su Nivel de Operaciones de conformidad con dicho artículo, con
sujeción a lo señalado en el presente capítulo.

Las Sociedades deberán cuidar en todo momento que las personas que les proporcionen los servicios,
guarden la debida confidencialidad de la información relativa a las operaciones activas, pasivas y de
servicios celebradas con sus Socios, así como la relativa a estos últimos, en caso de tener acceso a
ella.
ARTÍCULO 17 BIS 35

Requisitos para la contratación de la tercerización de servicios:

● Tratándose de actividades que impliquen actuar frente a sus Socios, los

terceros que la Sociedad contrate deberán actuar a nombre y por cuenta
de esta última, por lo que la citada relación deberá documentarse
mediante contratos de comisión mercantil.
● Contar con un informe que especifique los procesos operativos o de
administración de bases de datos y sistemas informáticos de la Sociedad
que sean objeto de los servicios o comisiones a contratar, así como los
criterios y procedimientos para seleccionar al tercero. Dichos criterios y
procedimientos estarán orientados a evaluar la experiencia, capacidad
técnica y recursos humanos del tercero con quien se contrate para
prestar el servicio con niveles adecuados de desempeño, confiabilidad y
seguridad, así como los efectos que pudieran producirse en una o más
operaciones que realice la propia Sociedad.
 ● Prever en el contrato de prestación de servicios o comisión respectivo, o bien, en algún
otro documento en el que conste la aceptación incondicional de quien proporcione el
servicio o del comisionista.
● Contar con políticas y procedimientos para vigilar el desempeño del tercero o
comisionista y el cumplimiento de sus obligaciones contractuales.
● Contar con planes para evaluar y reportar al Consejo de Administración, al Comité de
Auditoría, al Auditor Interno o al Director o Gerente General de la Sociedad, según la
importancia del servicio contratado, el desempeño del tercero o comisionista, así
como el cumplimiento de la normativa aplicable relacionada con dicho servicio.
Tratándose de servicios de procesamiento de información, la Sociedad deberá
practicar al menos cada dos años, auditorías que tengan por objeto verificar el grado
de cumplimiento del presente capítulo.

https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20gener
al%20aplicables%20a%20las%20actividades%20de%20las%20sociedades%20cooperativas
%20de%20ahorro%20y%20pr%C3%A9stamo.pdf
 ARTÍCULO 17 BIS 47
Las Sociedades responderán en todo momento por el servicio que
terceros autorizados por éstas o sus comisionistas, proporcionen a
los Socios, aun cuando la realización de las operaciones
correspondientes se lleve a cabo en términos distintos a los
pactados, así como por el incumplimiento a las disposiciones en
que incurran dichos terceros o comisionistas.

En caso de incumplimiento por parte de los terceros o

comisionistas a las disposiciones aplicables, las Sociedades
deberán implementar las medidas correctivas necesarias.
¿Cuándo debo realizar un trámite ante la CNBV?

Cuando el proveedor tenga acceso a información

sensible de la entidad o de los socios, como
números de cuenta, datos personales y saldos
de cuentas de crédito o captación. Este criterio
considera transacciones realizadas con tarjetas
de débito en cajeros automáticos o terminales
punto de venta (comercios).
¿Cuándo se debe enviar Aviso o Autorización?
AVISO

Cuando la información a la que tenga acceso el

proveedor se encuentre en territorio nacional

AUTORIZACIÓN

Cuando la información sea ubicada en el

extranjero
CONTINUIDAD DEL NEGOCIO
Estrategia de Continuidad de Negocio

✓ Estructura organizacional y segregación de funciones.

✓ Realización y Aprobación de un análisis de impacto al

negocio (BIA).

✓ Aprobación del PCN.

 Alineación del PCN con el BIA

✓ PCN basado en un BIA (proceso críticos, tiempo y punto

de recuperación).

✓ DRP incluido como parte del PCN y basado en BIA.

Documentación del PCN, incluido el DRP

✓ Documentación de las guías para la

ejecución del PCN.

✓ Disponibilidad de la documentación.
Ejecución de pruebas al PCN

✓ Definición de un programa de pruebas del PCN.

✓ Evaluación de resultados de las pruebas.

✓ Planes de acción sobre los hallazgos detectados como parte

de las pruebas.

Mecanismos para el monitoreo del PCN

✓ Actualización del PCN.

✓ Evaluación del PCN.

✓ Reporte a la Comisión sobre ejecuciones de su PCN.

✓ Reporte de contingencias operativas.

Seguridad en medios electrónicos
y
Medios electrónicos
 REGULACIÓN APLICABLE

*Requerimientos técnicos para la operación de medios

electrónicos para operaciones, referente a
comisionistas: P
*Lineamientos mínimos de operación y seguridad para
la contratación de servicios de apoyo tecnológico: Q
Medios electrónicos disponibles
Factores de Autenticación
Controles regulatorios para medios electrónicos
Controles basados en riesgo
Confirmaciones y comprobantes
Los medios electrónicos deben tener
capacidad de:

✓ Solicitar confirmación del usuario

antes de realizar operaciones
monetarias con terceros u otras
entidades.

✓ Generación de comprobantes para

todas las operaciones realizadas en
cualquier Servicio Electrónico.
Notificaciones a través de un medio diferente:

✓ Transferencias a cuentas de terceros u otras

entidades.

✓ Pagos de créditos, servicios e impuestos.

✓ Modificación de límites de monto.

✓ Registro de cuentas destino de terceros u otras

entidades.

✓ Alta y modificación del medio de notificación.

✓ Contratación de otros Servicios Electrónicos.

✓ Desbloqueo del servicio y reactivación.

✓ Cambios de contraseñas.

✓ Retiro de efectivo en Cajeros Automáticos

Cifrado de información sensible
● Cifrado de información sensible:
✓ Implementar mecanismos de cifrado en la Transmisión de información
✓ Se podrán implementar controles compensatorios para el Servicio Móvil Básico, Servicio
Telefónico Voz a Voz y Audio Respuesta
● En el Almacenamiento en Medio Electrónico:
✓ Cuentas
✓ Operaciones de los usuarios ✓ Prohibido transmitir contraseñas y NIP vía correo
✓ Contraseñas electrónico,
✓ NIP ✓ Mensajería instantánea o mensajes de texto SMS, sin
mecanismos de cifrado
✓ Respuestas secretas
✓ Se exceptúa Servicio Móvil Básico (Autorización CNBV)
✓ Factores de Autenticación
✓ Deberán mantener controles para el acceso a la
información de las bases de datos
Prevención de operaciones irregulares
Mecanismos para detectar y evitar operaciones irregulares:

✓ Aplicativos y procedimientos para prevención ✓ Revisiones de seguridad a la

de fraudes. infraestructura de cualquier Servicio
✓ Bitácoras de todos los eventos, servicios y Electrónico, al menos una vez al año,
operaciones (Incluyendo grabaciones Voz a incluyendo a los dispositivos
Voz): dispuestos para su uso por los
✓ Registro.
usuarios.
✓ Dispositivos y aplicativos de
✓ Revisión periódica.
detección y prevención de eventos
✓ Entrega a clientes que así lo requieran.
de seguridad en infraestructura de
✓ Medios y procedimientos para reporte de robo servicio electrónico.
o extravío de Factores de Autenticación.
✓ Base de datos centralizada, con
operaciones no reconocidas por usuarios.
Monitoreo de incidentes de seguridad
En caso de que la información sensible del usuario sea extraída, extraviada o las
Entidades supongan o sospechen de algún incidente que involucre accesos no
autorizados a dicha información, las Entidades deberán:

✓ Enviar reporte a CNBV (5 días

naturales después de evento).
✓ Investigación inmediata.
✓ Notificación a clientes y usuarios
afectados (Incluir riesgos y
medidas adoptadas).
✓ Enviar a CNBV el resultado de la
investigación.