Por Carlos Alberto Alea / TMSourcing
El siguiente texto tiene como finalidad presentar un breve análisis de los cambios que se pretenden realizar a los Lineamientos para la elaboración del Informe de Auditoría expuestos por la Comisión Nacional de Mejora Regulatoria (CONAMER), la cual evalua el Cumplimiento de las Disposiciones de Carácter General en Materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.
Uno de los primeros cambios que se encuentran en el anteproyecto presentado, es el orden y el contenido de los lineamientos. El primero, contendría el objeto a diferencia de los vigentes que comienzan con las definiciones. En cuanto al objeto descrito en la propuesta, tiene una implicación explicativa en sobre su alcance; considera la contratación de personas morales y personas físicas para la elaboración del informe de Auditoría, así como los procedimientos y requisitos mínimos que los Sujetos Supervisados (antes Obligados) deben observar y cumplir con respecto a la elaboración y remisión del Informe de Auditoría. Se considera entonces la contratación de dos tipos de personas jurídicas, y de dos procesos para dar cumplimiento con lo dispuesto por las Disposiciones de Carácter General en Materia de Prevención de Operaciones con Recursos Ilícitos y Financiamiento al Terrorismo.
En cuanto a las definiciones, el anteproyecto presentado, realiza el cambio del Primero al Segundo Lineamiento. En él encontramos dos cambios importantes: el primero en cuanto a la definición de Auditor, la cuál conlleva la inclusión de Persona Moral; y la segunda, el cambio de Sujetos Obligados a Sujetos Supervisados.

Referente al primer cambio, la propuesta es más detallada en designar el carácter del Auditor, no sólo como persona responsable, sino que es más específico el sentido al designar como responsables tanto a la persona física y la persona moral, ambas, contratadas por el Sujeto Supervisado (antes Obligado) para prestar los servicios de elaborar el Informe de Auditoría.
Ahora bien, el segundo cambio, conlleva una ampliación de los Sujetos a presentar el Informe de Auditoría, siendo incluidos los siguientes: Instituciones de Fondos de Pago Electrónico, Instituciones de Financiamiento Colectivo, Organismos de Integración Financiera Rural y sociedades autorizadas para operar con modelos novedosos. En cuanto a las Sociedades Financieras de Objeto Múltiple, el planteamiento de cambio es una ampliación de la consideración, tanto de las reguladas, como de las no reguladas.
Otro de los planteamientos en el anteproyecto de cambio a los lineamientos, son los requisitos que debe reunir el Auditor; tanto ampliando los mismos, como también contemplar los requisitos que deben reunir las Personas Morales que realicen el Informe de Auditoría.
Los requisitos que se pretenden agregar son los siguientes:
- Contar al menos con un nivel de estudios equivalente a licenciatura y tener experiencia de al menos tres años en materia de prevención, detección y reporte de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.
- En caso de no tener el nivel de estudios señalado en el insiso anterior, tener experiencia de al menos cinco años en materia de prevención, detección y reporte de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.
- No formar parte de la estructura accionaria de los órganos de gobierno, ni ser Oficial de Cumplimiento, funcionario, apoderado o empleado en el Sujeto Supervisado al que preste sus servicios, con independencia del régimen laboral bajo el que presten sus servicios. Lo anterior, no será aplicable para el Auditor Interno.
- No encontrarse en las listas oficiales que emitan autoridades mexicanas, organismos internacionales agrupaciones intergubernamentales o autoridades de otros países, de personas vinculadas o probablemente vinculadas con Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo o con otras actividades ilegales.

Los requisitos que debe reunir la Persona Moral son:
La Persona Moral, el Auditor y las personas que formen parte del equipo de auditoría y que presten sus servicios al Sujeto Supervisado, deberán ser y mantenerse independientes de este último, a la fecha de celebración del contrato de prestación de servicios de que se trate durante el desarrollo de la auditoría y hasta la emisión del Informe de Auditoría.
Se considerará que no existe independencia en cualquiera de los supuestos siguientes:
a) El Auditor o algún socio de la Persona Moral en la que labore, sean o hayan sido durante el año inmediato anterior a la celebración del contrato de prestación de servicios de que se trate:
- Oficial de Cumplimiento o auditor interno del Sujeto Supervisado de que se trate o, en su caso, en cualquier otro Sujeto Supervisado que forme parte del mismo grupo financiero o grupo empresarial.
- Director general, representante legal o empleado que ocupe un cargo dentro de los tres niveles inmediatos inferiores a este en el Sujeto Supervisado o, en su caso, en cualquier otro Sujeto Supervisado que forme parte del mismo grupo financiero o grupo empresarial.

- La Persona Moral de cual se trate, deberá contar con los recursos técnicos, humanos, financieros y administrativos suficientes para la prestación del servicio correspondiente.
- La Persona Moral de cual se trate, no deberá ejercer el Control en el Sujeto Supervisado al que preste sus servicios; y adicionalmente, el Sujeto Supervisado deberá convenir con la Persona Moral que la documentación y los papeles de trabajo propiedad de la Persona Moral que soporten el Informe de Auditoría. Asimismo, toda la información y demás elementos de juicio utilizados para elaborar dicho informe, deberán conservarse y mantenerse a disposición del Sujeto Supervisado para su consulta y, en su caso, presentarlos a la Comisión en el momento en que esta última así se lo requiera al Sujeto Supervisado. Lo anterior, por un plazo mínimo de cinco años contado a partir de la presentación ante la Comisión del Informe de Auditoría correspondiente.
El cambio central de la propuesta regulatoria gira en torno a la Planeación de la Auditoría, el Programa de trabajo, las secciones que deberán constar en el Informe de Auditoría, la redacción y estructura del mismo, se dé a entender que se basa en una metodología que le sirva al Auditor para conocer al Sujeto Supervisado y se logre cumplir con el programa de trabajo.
La Planeación de la Auditoría deberá contener lo siguiente:
- Cuestionario inicial de conocimiento del Sujeto Supervisado.
- Análisis de Riesgos que considere productos y servicios que ofrezca el Sujeto Supervisado, tipo de clientes y usuarios, países y áreas geográficas en las que se opere, transacciones y canales de envío o distribución vinculados con las operaciones e Infraestructura Tecnológica.
- Revisión de toda la información y documentación pertinente para la realización de la auditoría.
Si bien, el proceso da inicio en el presupuesto del análisis de riesgos, el cual servirá al auditor para verificar la metodología de riesgos de la entidad, además de reunir como mínimo, lo antes mencionado.

Programa de trabajo: menciona que el Auditor responsable diseñe un programa que al menos tenga un calendario de actividades a realizar, temas a evaluar, pruebas de sistemas automatizados, revisiones de expedientes, entre otros. Menciona que la modalidad puede ser dentro o fuera de las instalaciones del Sujeto Supervisado.
Secciones del Informe de Auditoría: estas cuando menos deberá contener las siguientes secciones:
- Resultados de la revisión, con el resultado del cumplimiento de todas las obligaciones previstas en las Disposiciones aplicables:
- Revisar las políticas de identificación del cliente o usuario: el Auditor deberá evaluar y manifestar si el contenido y aplicación del Manual de Cumplimiento es adecuado, además de contemplar y desarrollar lo necesario para dar cumplimiento, y finalmente explicar los criterios y el procedimiento para determinar los resultados basados en los hallazgos de la revisión realizada.
- Revisar la Metodología con enfoque basado en riesgos que se establece en su Manual de Cumplimiento, o bien, en algún otro documento, y que considere los supuestos indicados en las Disposiciones.
- Revisar las políticas de conocimiento de Cliente o Usuario; que el Manual de Cumplimiento contenga los criterios, medidas y procedimientos para el debido conocimiento. Estos deben ser implementados, dar cumplimiento y ser eficaces para identificar Personas Políticamente Expuestas, así como los distintos tipos de riesgos.
- Revisar la presentación de los reportes de Operaciones a la Secretaria.
- Revisar la integración de las estructuras internas del Sujeto Supervisado.
- Revisar si el Sujeto Supervisado impartió la capacitación y difusión necesaria contemplada en las Disposiciones.
- Que el Sujeto Supervisado cuente con un sistema automatizado, y que éste funcione correctamente.
- Revisar a los empleados del Sujeto Supervisado.
- Verificar los mecanismos de conservación de la información por parte del Sujeto Supervisado.
- Que el Sujeto Supervisado cuente con las listas oficiales, y les de uso debido para mitigar e identificar riesgos.
- Revisar que se tenga contemplada un correcto intercambio de comunicación.
- Si se tienen Modelos Novedosos, y que estos, se apegan al proceso de aprobación y a la metodología del enfoque basado en riesgos.
- Revisar que el Sujeto Supervisado haya cumplido con las comunicaciones por parte de la Secretaría, es decir, que haya dado seguimiento o respuesta a la solicitud de información por parte de la Secretaría.
- Dar revisión si se tienen relaciones con Comisionistas.

Lo anterior deberá ser evaluado en cinco sentidos:
Cumple.- Cuando la eficacia sea demostrada con el cumplimiento de las obligaciones previstas en las Disposiciones.
La evaluación solo podrá ser en este sentido cuando se demuestre que no se requieren ni recomiendan mejoras para el cumplimiento de la obligación de que se trate.
Cumple Mayoritariamente.- Cuando la eficacia no puede ser completamente demostrada con el cumplimiento de las obligaciones previstas en las Disposiciones.
En este caso, el Auditor deberá incluir al menos una recomendación de mejora y, en su caso, algún hallazgo, los cuales deberán ser identificados en la obligación evaluada.
Cumple Parcialmente.- Cuando la eficacia no puede ser demostrada con el cumplimiento de las obligaciones previstas en las Disposiciones por no contar con evidencia objetiva que permita demostrar el mismo.
En este caso, el Auditor deberá incluir al menos un hallazgo y, en su caso, una o más recomendaciones de mejora, los cuales deberán ser identificados en la obligación evaluada.
No cumple.- Cuando el cumplimiento no cubre los elementos necesarios de conformidad con las Disposiciones, o bien, se trata de un incumplimiento que actualiza una sanción.
En este caso, el Auditor deberá incluir al menos un hallazgo, el cual deberá ser identificado en la obligación evaluada.
No aplica.- Cuando el requisito no surte vigencia debido a las características estructurales, legales o institucionales de un determinado Sujeto Supervisado, situación que el Auditor deberá verificar para determinar si la exclusión del requisito no actualiza algún incumplimiento y que deberá ser consistente con el análisis de Riesgos elaborado por el Auditor.
Por otro lado, el Informe de Auditoría deberá contener una sección en la que se incluyan los hallazgos con su correspondiente acción o acciones correctivas, así como las recomendaciones de mejora que a juicio del Auditor se requieran para dar cabal cumplimiento a las Disposiciones, incluyendo los plazos, las personas responsables para su implementación, así como para la supervisión de estas.
Adicionalmente, deberá contener el seguimiento que llevó a cabo el Sujeto Supervisado respecto de los hallazgos y acciones correctivas relacionadas con el Informe de Auditoría presentado en el año inmediato anterior. Asimismo, deberá contener una sección en la que se indique el seguimiento que llevó a cabo el Sujeto Supervisado respecto de las observaciones, recomendaciones o acciones correctivas que le hayan sido formuladas por la Comisión en el año inmediato anterior.
Los posibles cambios pretenden, que la elaboración de los informes de auditoría den cumplimiento con las disposiciones en materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo, emitidas por la Secretaría de Hacienda y Crédito Público, y que a su vez, enlista los contenidos mínimos que deben tener los informes de dicha Auditoria.