4Incidencias Auditoría 2016

¿Qué sucedió en el 1er Trimestre 2017?ENERO FEBRERO MARZO• Inscripción examen CNBV • Presentación Informe • Modificaciones DCG del 22 de abril. Auditoria. PLD/FT • CNBV: Boletín acciones de • EU publica INCSR 2017 supervisión 2016 y Boletín Volume II Sanciones • Convención AMB • Plenaria de GAFI • CNBV publica Información • Visita GAFI financiera y estadística de Sector FinancieroCNBV publica Información financiera y estadística de Sector Financiero

¿De qué habló GMC360?18 enero 1 Febrero 15 Febrero• Panorama de cumplimiento • Evaluación GAFI • Enfoque basado en riesgos. 2017. • Guía GAFI antilavado/CFT, • ¿Cómo elaborar una• Propósitos profesionales: datos y estadísticas. metodología? ¿por dónde empiezo?1 Marzo 15 Marzo 5 abril• Anteproyecto de • Introducción a la gestión de • Programa de autocorrección modificaciones 2017 a DCG riesgos PLD/FT CNBV – CONDUSEF PLD/FT • Reformas a las DCG PLD/FT • Incidencias auditoria 2016. Plan de trabajo OC.*** Si te las perdiste…pregunta por 360°EDUCA

PROGRAMA DE CORRECCIÓNAUDITORÍA 2016.

Calificaciones de Matriz de Cumplimiento• CUMPLE: Cuando la eficacia sea demostrada con el cumplimiento de las obligaciones previstas en la normativa aplicable, por contar entre otros con: a) documento que describa sus procedimientos, el personal capacitado de tal forma que aplica de manera adecuada el conocimiento obtenido, un sistema informático que tenga las funcionalidades requeridas y a través del cual se realice de manera adecuada el monitoreo de las mismas y d) seguimiento a sus procesos, contando con la evidencia objetiva de su implementación, la cual deberá ser acorde al riesgo del cliente y su operativa mediante la detección, evaluación y generación del reporte correspondiente de conformidad con la normativa aplicable.• MAYORITARIAMENTE CUMPLE: Cuando la eficacia no pueda ser completamente demostrada con el cumplimiento de las obligaciones previstas en la normativa aplicables por contar con: a) deficiencias menores en el documento que describe sus procedimientos, personal capacitado pero que éste aplica de manera deficiente el conocimiento obtenido, un sistema informático que tenga las funcionalidades requeridas y no existe evidencia objetiva de que la implementación del seguimiento a sus procesos es adecuada en función del riesgo del Cliente y su operativa mediante la detección, evaluación y generación del reporte correspondiente.• PARCIALMENTE CUMPLE: Cuando la eficacia no puede ser demostrada con el cumplimiento de las obligaciones previstas en la normativa aplicable, por no contar con evidencia objetiva que permita demostrar el mismo.• NO CUMPLE: Cuando el cumplimiento a los requisitos legales se encuentra documentado, sin embargo, no cubre los elementos necesarios de conformidad con la normativa aplicable, o bien, se trata de un incumplimiento que actualiza una causal determinada como sanción grave en la legislación aplicable.• NO APLICA: Cuando el requisito no surte vigencia debido a las características estructurales, legales o institucionales de una entidad determinada, situación que el auditor deberá verificar para determinar si la exclusión no es en contra de un requisito cuyo incumplimiento sea clasificado por la legislación aplicable como sanción grave.

Calificaciones para niveles de cumplimiento.NO CUMPLE DE APARCIALMENTE CUMPLE 0% 59.9%MAYORITARIAMENTE CUMPLECUMPLE 60.0% 79.9% 80.0% 89.9% 90.0% 100.0%

¿Qué se calificó?1. Manual: que se Que el requisito se encuentre documentado.documente. Que el requisito cumpla con los elementos establecidos en la disposición legal2. Manual: que aplicable.cumpla. Que el personal se encuentre capacitado respecto a este requisito.3. Capacitación:4. Eficacia: Que el personal cumpla con el procedimiento de manera eficaz.5. Sistema Que el modelo de monitoreo o sistema informático permita de una manera razonable y eficaz llevar aautomatizado: cabo el seguimiento del modelo, procedimiento o proceso descrito que las operaciones que sean sujetas de identificación y reporte, sean identificadas.6. Detección deoperaciones: Que las operaciones que sean sujetas de identificación sean reportadas de manera oportuna, eficaz y relevante, en base a los criterios establecidos en las propias7. Reporte de disposiciones.operaciones: Que las operaciones que sean sujetas de identificación sean reportadas de manera oportuna, eficaz y relevante, en base a los criterios establecidos en las propias disposiciones.8. Sistema de Que el modelo en su conjunto cumpla con los requisitos legales de maneraGestión de Riesgos. integral y evaluada en base a la eficacia del modelo desarrollado.

Presentamos el resumen de matrices de cumplimiento detodas auditorías que realizamos en 2015 y 2016 para analizarel avance y nuevos retos.

Resumen de incidencias auditoría 2015. QUE EL QUE EL QUE EL QUE LAS PERSONAL SE PERSONAL QUE EL REQUISITO ENCUENTRE CUMPLA CON EL QUEEL MODELODE OPERACIONES QUELAS OPERACIONES QUE QUEEL MODELOEN SU REQUISITO SE CUMPLA CON LOS CAPACITADO PROCEDIMIENTO MONITOREO O SISTEMA QUE SEAN SEAN SUJETAS DE CONJUNTOCUMPLA CON LOS ENCUENTRE RESPECTO A ESTE DE MANERA INFORMÁTICOPERMITA DE DOCUMENTADO ELEMENTOS REQUISITO IDENTIFICACIÓN SEAN REQUISITOS LEGALES DEREACTIVO ESTABLECIDOS EN EFICAZ UNA MANERA RAZONABLEY SUJETAS DE REPORTADAS DEMANERA MANERA INTEGRAL Y LA DISPOSICIÓN EFICAZ LLEVAR A CABOEL EVALUADA EN BASEA LA OPORTUNA, EFICAZ Y EFICACIA DEL MODELO SEGUIMIENTODEL MODELO, IDENTIFICACIÓN RELEVANTE, EN BASEA LOS CRITERIOS ESTABLECIDOS EN DESARROLLADO PROCEDIMIENTO O PROCESO LAS PROPIAS DISPOSICIONES DESCRITO Y REPORTE, SEAN LEGAL APLICABLE IDENTIFICADASIDENTIFICACIÓN Y DILIGENCIA 100% 80% 80% 80% 100% 80% 80% 80%CONOCIMIENTO DEL CLIENTE Y 100% 80% 80% 80% 100% 80% 80% 80%USUARIO Y RIESGO TRANSACCIONALTECNOLOGÍAS DE INFORMACIÓN 80% 80% 60% 60% 60% 60% 60% 60%ADMINISTRACIÓN REGULATORIA 100% 100% 80% 80% 60% 80% 100% 80%ESTRUCTURA INSTITUCIONAL 100% 80% 80% 80% 80% 80% 80%SELECCIÓN DEL PERSONAL 60% 60% 80% 100% 60%CAPACITACIÓN Y DIFUSIÓN 100% 80% 80% 60% 100% 100% 80%MONITOREO TRANSACCIONAL 60% 60% 60% 60% 60% 60% 60% 60%PERSONAS BLOQUEADAS 60% 80% 80% 80% 60% 80% 80% 60%DICTAMINACIÓN Y REPORTE 100% 100% 80% 80% 80% 80% 100% 80%RESGUARDO Y DISPONIBILIDAD 60% 80% 80% 80% 80% 80% 100% 80%ASPECTOS GENERALES 80% 80% 80% 80% 80%PROMEDIO 83% 80% 77% 77% 75% 78% 84% 73%

Resumen de incidencias auditoría 2016. CAPÍTULO 1. Manual: que se 2. Manual: que 3. Capacitación 4. Eficacia 5. Sistema 6. Detección de 7. Reporte de 8. Sistema de documente cumpla con DCG. automatizado operaciones operaciones Gestión de RiesgosIDENTIFICACIÓN Y DILIGENCIA 94% 93% 78% 88% 88% 89% NO APLICA 88%CONOCIMIENTO DEL CLIENTEY USUARIO Y RIESGO 94% 93% 86% 89% 91% 89% 89% 90%TRANSACCIONALTECNOLOGÍAS DE 94% 89% 75% 87% 90% 90% 87% 87%INFORMACIÓNADMINISTRACIÓN 95% 94% 91% 91% 90% 92% 91% 92%REGULATORIAESTRUCTURA INSTITUCIONAL 95% 89% 86% 93% NO APLICA 88% NO APLICA 90%SELECCIÓN DEL PERSONAL 95% 89% 80% 91% NO APLICA NO APLICA NO APLICA 89%CAPACITACIÓN Y DIFUSIÓN 95% 94% 88% 91% NO APLICA NO APLICA NO APLICA 92%MONITOREO TRANSACCIONAL 94% 93% 77% 94% 92% 94% 94% 91%PERSONAS BLOQUEADAS 95% 94% 87% 88% 82% 88% 79% 88%DICTAMINACIÓN Y REPORTE 95% 94% 77% 94% 87% 94% 94% 91%RESGUARDO Y 95% 94% 90% 90% 92% 83% 89% 90%DISPONIBILIDADASPECTOS GENERALES 95% 94% 84% 91% NO APLICA NO APLICA NO APLICA 91%PROMEDIO 95% 93% 83% 91% 89% 90% 89% 90%

Hemos logrado grandesavances… pero el reto continúa…

2015 vs. 2016 2015 2016 AnálisisPromedio de cumplimiento Mejora del 23% de 73% 90% cumplimiento. De PC a C.La calificación más Sistema 75% 89% De PC a MC.baja en rubros en Automatizado2015: Tecnologías de 60% 87% De PC a MC InformaciónLa calificación más Selección de 60% 89% De PC a MCbaja en capítulos Personal 60% 91% De PC a MCen 2015. Monitoreo Transaccional Personas 60% 88% De PC a MC BloqueadasNota: C = Cumple, MC = Mayoritariamente Cumple, PC = Parcialmente Cumple,NC = No cumple, NA = No aplica.

Principales incidencias 2016 2016 AnálisisPromedio de cumplimiento 90% En los estándares internacionales la C = 100%.La calificación más baja Capacitación 83% La capacitación anual PLD/FTen rubros en 2016: no es suficiente. Identificación y diligencia. Los expedientes no cumplen 88% con las modificaciones de 31/12/14La calificación más baja Sólo identifican al acreditadoen capítulos en 2016. Tecnologías de 87% y no a todas las personas Información vinculadas: PEC´s, PEP´s, Prov. Recursos, etc. Personas Bloqueadas 88% Las listas siguen estando fuera del sistema automatizado.Nota: C = Cumple, MC = Mayoritariamente Cumple, PC = Parcialmente Cumple,NC = No cumple, NA = No aplica.

Es momento de ActuarNota: Te enviaremos el archivo de Excel para que elabores tu programa de trabajo junto con tu constancia departicipación.

Proceso de plan de trabajo OC Diseña los Asigna fechas Utiliza lacatálogos para tu límite. herramienta para plan de trabajo. dar seguimiento. Asigna Captura las responsables. Modifica el plan de observaciones y trabajo de acuerdorecomendaciones Asigna actividades a realizar. a nuevas de tu auditor. necesidades. Clasifícalas por capítulo de cumplimiento.

CatálogosQUIEN LINEAMIENTO ACTIVIDAD RECOM AUD ESTATUS RECOMENDACIÓNOFICIAL DE CUMPLIMIENTO IDENTIFICACIÓN Y DILIGENCIA JUNTA SI POR Fortalecer plan de capacitación REVISIÓN INICIARDIR COMERCIALDIR OPERACIONES CONOCIMIENTO DEL CLIENTE DESARROL NO EN Modificar solicitud con:……..DIR ADMON Y FINANZAS Y USUARIO Y RIESGO LO PROCESOMESA DE CONTROL TRANSACCIONALPROMOTORES TECNOLOGÍAS DE IMPLEMEN FINALIZAD Incluir listas……DIR GENERAL O INFORMACIÓN TACION ADMINISTRACIÓN CAPACITAC SE REGULATORIA ION POSPUSO ESTRUCTURA INSTITUCIONAL EVALUACI ÓN SELECCIÓN DEL PERSONAL REQ DE RECURSOS REQ DE CAPACITACIÓN Y DIFUSIÓN PROVEEDO R MONITOREO APROBACI TRANSACCIONAL ÓN PERSONAS BLOQUEADAS DICTAMINACIÓN Y REPORTE RESGUARDO Y DISPONIBILIDAD ASPECTOS GENERALES

NUM LINEAMIENTO RECOMENDACIÓN ACTIVIDAD RESPONSABLE OBSERVACION ES FECHINI DURAFCEIOCHNFDIINAS SEMANA MES AÑO STATUS JUNTA REVISIÓN Modificar solicitud APROBACIÓN1 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. OFICIAL DE CUMPLIMIENTO 02-mar 1 03-mar 9 3 2016 TERMINADO DESARROLLO Modificar solicitud IMPLEMENTACION2 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. DIR GENERAL 03-mar 5 08-mar 9 3 2016 EN PROCESO CAPACITACION Modificar solicitud REQ DE PROVEEDOR3 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. DIR OPERACIONES 15-mar 20 04-abr 11 3 2016 SIN INICIAR REQ DE RECURSOS Modificar solicitud JUNTA REVISIÓN APROBACIÓN4 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. DESARROLLO DIR OPERACIONES 05-abr 5 10-abr 14 4 2016 SE POSPUSO IMPLEMENTACION Modificar solicitud CAPACITACION REQ DE PROVEEDOR5 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. REQ DE RECURSOS DIR OPERACIONES 10-may 1 11-may 19 5 2016 SIN INICIAR Modificar solicitud JUNTA REVISIÓN6 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. APROBACIÓN DIR ADMON Y FINANZAS 09-mar 5 14-mar 10 3 2016 SIN INICIAR Modificar solicitud REQ DE RECURSOS7 IDENTIFICACIÓN Y DILIGEcNoCnI:A…….. DESARROLLO DIR ADMON Y FINANZAS 19-mar 5 24-mar 11 3 2016 SIN INICIAR OFICIAL DE CUMPLIMIENTO 12-mar 1 13-mar 10 3 2016 TERMINADO8 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas…… DIR GENERAL 13-mar 5 18-mar 10 3 2016 EN PROCESO DIR OPERACIONES 25-mar 20 14-abr 12 3 2016 EN PROCESO9 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas…… DIR OPERACIONES 15-abr 5 20-abr 15 4 2016 SIN INICIAR DIR OPERACIONES 20-may 1 21-may 20 5 2016 SIN INICIAR10 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas…… DIR ADMON Y FINANZAS 19-mar 5 24-mar 11 3 2016 SIN INICIAR DIR ADMON Y FINANZAS 19-mar 5 24-mar 11 3 2016 SIN INICIAR11 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas……12 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas……13 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas……14 TECNOLOGÍAS DE INFORMInAclCuIiÓrNlistas…… Fortalecer plan de15 CAPACITACIÓN Y DIFUSIÓcaNpacitación OFICIAL DE CUMPLIMIENTO 12-mar 1 13-mar 10 3 2016 SIN INICIAR Fortalecer plan de16 CAPACITACIÓN Y DIFUSIÓcaNpacitación DIR GENERAL 14-mar 1 15-mar 11 3 2016 SIN INICIAR Fortalecer plan de18 CAPACITACIÓN Y DIFUSIÓcaNpacitación DIR ADMON Y FINANZAS 16-mar 5 21-mar 11 3 2016 SIN INICIAR Fortalecer plan de18 CAPACITACIÓN Y DIFUSIÓcaNpacitación OFICIAL DE CUMPLIMIENTO 01-abr 150 29-ago 13 4 2016 SIN INICIAR

TABLA RESUMENEtiquetas de fila Mín. de FECH INI Suma de DURACION DIASIDENTIFICACIÓN Y DILIGENCIA 02-mar 42TECNOLOGÍAS DE INFORMACIÓN 12-mar 42CAPACITACIÓN Y DIFUSIÓN 12-mar 157Total general 02-mar 241

GRÁFICO 01-mar. 20-abr. 09-jun. 29-jul. 17-sep. 06-nov. 26-dic. 14-feb.IDENTIFICACIÓN Y DILIGENCIATECNOLOGÍAS DE INFORMACIÓNCAPACITACIÓN Y DIFUSIÓNMín. de FECH INI CAPACITACIÓN Y DIFUSIÓN TECNOLOGÍAS DE INFORMACIÓN IDENTIFICACIÓN Y DILIGENCIASuma de DURACION DIAS 12-mar. 12-mar. 02-mar. 157 42 42

ENFOQUE BASADO EN RIESGOS:NUEVO CAPÍTULO DCG.

DOCUMENTAL MANUAL PLD IDENTIFICACIÓN MEDICIÓNENFOQUE BASADO METODOLOGÍA MITIGANTES EN RIESGOS VALORACIÓN DE IMPLEMENTACIÓN RIESGOS ADECUACIONES A METODOLOGÍAS CONTROLES MITIGANTES SISTEMAS AUTOMATIZADOS

IDENTIFICACIÓN MEDICIÓN MITIGANTES ¿Cómo y en qué Peso a cada Nivel de medida estoy indicador tolerancia expuesto al riesgo? Métodos para medición de Controles los indicadores Indicadores (segmentos) • Evaluación Nacional de •Países y áreas geográficas Riesgos •Productos y servicios. • GAFI •Transacciones • Guías CNBV •Canales de envío •Clientes y usuarios

La meta es contar con un Sistema deGestión de Riesgos en 360 días: primer paso…Cronograma•Evaluar cambios aplicables Hacer • Pruebas de Actuar•Plan modificación Manual implementaci•Plan actualización sistema •Modificar Formatos ón • Modificación al•Plan desarrollo metodología •Implementar sistema de Gestión metodología Verificar de Riesgos EBR •Actualizar Manual y Sistema • Documentar Planear

EN RESUMEN…

Certificación 22 Abril ¿Qué sigue para el OC en 2017?Programa de corrección auditoría Cronograma Diseño e implementación Gestión de Riesgos Actualización de sistema automatizado PLD/FT Modificación Manual PLD/FTImplementación NUEVO Sistema de Gestión de Riesgos PLD/FT

¿Cómo podemos ayudarte?Plan de trabajo TallerCONSULTORÍADiagnósticoOC Gestión De CAPACITACIÓNsistema Riesgos (20 TECNOLOGÍAautomatizaDictamen HRS) do.Técnico Taller PlataformaDiagnóstico de Matriz de 360° EBREBR Riesgos (8 horas) DesarrolloDiseño de demetodología Capacitació interfaces n AnualImplementación PLD/FT Consultoríade EBR 360°EDUCAManual de EBR