Respondents’ characteristics and classification

Ar tículo 79.- Para los efectos de la presente Sección, se entenderá por sistema de control interno, al conjunto de objetivos, políticas, procedimientos y registros que establezca la Entidad con el objeto de:

I. Procurar mecanismos de operación que permitan identificar, vigilar y evaluar los riesgos

que puedan derivarse del desarrollo de las actividades del negocio;

II. Delimitar las diferentes funciones y responsabilidades del personal al interior de la Entidad;

(10) _{III. Diseñar, implementar y operar sistemas de información eficientes y completos, que}

soporten los procesos de operación de la Sociedad Financiera Popular, así como de atención a clientes a través de sucursales y cualquier Medio Electrónico. Para lo cual deberán en lo conducente:

(10) _{a) Establecer medidas y controles que permitan asegurar confidencialidad en la}

generación, almacenamiento, transmisión y recepción de factores de identificación y autenticación, tanto de clientes como de Usuarios internos de la Sociedad Financiera Popular.

(10) _{b) Contar con esquemas de control y políticas de operación, autorización y acceso a los}

sistemas, que garanticen la integridad y confidencialidad de la información contenida en las bases de datos y aplicaciones implementadas para la realización de operaciones.

(10) _{c) Incorporar los medios adecuados para respaldar y, en su caso, recuperar la}

información que se genere respecto de las operaciones que se realicen.

(10) _{d) Diseñar planes de contingencia, a fin de asegurar la capacidad y continuidad de los}

sistemas. Dichos planes deberán comprender, las medidas necesarias que permitan minimizar y reparar los efectos generados por eventualidades que, en su caso, llegaren a afectar el continuo y permanente funcionamiento de los servicios.

(10) _{e) Establecer mecanismos para la identificación y resolución de aquellos actos o eventos}

Insurgentes Sur No. 1971, Plaza Inn, Col. Guadalupe Inn C.P. 01020, Delegación Álvaro Obregón, Ciudad de México Tel.: 5255 1454-6000 www.gob.mx/cnbv

(10) _{1. Comisión de hechos, actos u operaciones fraudulentas.}

(10) _{2. Contingencias generadas en los sistemas relacionados con los servicios}

prestados y operaciones celebradas.

(10) _{3. El uso inadecuado por parte de los Usuarios de los Medios Electrónicos.}

IV. Coadyuvar a la observancia de las leyes y disposiciones aplicables.

(29) _{Ar tículo 80.- En materia del sistema de control interno, será responsabilidad del Consejo de}

Administración de cada Sociedad Financiera Popular, definir y diseñar los lineamientos para el manejo prudente de la Sociedad. Asimismo, el Consejo deberá supervisar el establecimiento y vigilar el adecuado funcionamiento del sistema de control interno, para lo cual deberá aplicar entre otras, las medidas siguientes:

(1) _{I. Deberá nombrar al responsable de la Entidad, para que documente en manuales, las}

políticas y procedimientos relativos a las operaciones propias de su objeto, las cuales deberán guardar congruencia con los lineamientos, políticas y objetivos establecidos por el mismo Consejo y concluidos los manuales correspondientes, se envíen para autorización del Director o Gerente General. Dicha persona podrá auxiliarse del área de Asistencia Técnica de la Federación que la supervise auxiliarmente, sin que por eso se entienda a la referida área de Asistencia Técnica como responsable de las citadas políticas y procedimientos. Lo anterior con excepción de los relativos a la administración de riesgos y a crédito que será responsabilidad del Consejo aprobar.

II. Aprobar la estructura orgánica de la Entidad;

III. Verificar que la Dirección o Gerencia General, cumpla con su objetivo de vigilar la

efectividad y funcionalidad de los sistemas de control interno;

IV. Revisar los objetivos, políticas y procedimientos de control interno, por lo menos una vez al

año, y

V. Establecer mecanismos para asegurarse que el área o personas que desempeñen las

funciones de contraloría no tengan conflictos de interés, respecto de las unidades de negocio sobre quienes desempeñen sus labores.

Los citados manuales de políticas y procedimientos, los de administración de riesgos y de crédito, así como el código de ética, deberán ser revisados anualmente.

Tratándose de la aprobación del código de ética, el Consejo de Administración podrá delegar esta función en un Comité Técnico integrado por especialistas nombrados por el Consejo de Administración, siempre y cuando participe en dicho Comité el Director o Gerente General.

Insurgentes Sur No. 1971, Plaza Inn, Col. Guadalupe Inn C.P. 01020, Delegación Álvaro Obregón, Ciudad de México Tel.: 5255 1454-6000 www.gob.mx/cnbv

(1) _{El Consejo de Administración podrá escuchar la opinión del Comité Técnico o, en su caso, del}

área de Asistencia Técnica de la Federación que la supervise auxiliarmente, para efectos de la aprobación de los manuales de administración de riesgos y de crédito, así como de sus modificaciones.

(30) _{El Consejo de Administración podrá constituir un comité de auditoría cuyo objeto sea apoyar}

al propio consejo en la definición de los lineamientos generales del sistema de control interno, así como en la verificación y evaluación de dicho sistema, fungiendo como un canal de comunicación entre el Consejo de Administración y el auditor externo o las autoridades supervisoras. Para tales efectos el comité de auditoría deberá sujetarse a lo establecido por el Artículo 183 de las presentes disposiciones y podrá realizar cualquiera de las funciones señaladas en el Artículo 184 de este instrumento, así como las demás actividades que se encuentren relacionadas con la función de que se trate y que en términos de las presentes disposiciones estén a cargo del citado comité.

(30) _{Las Sociedades Financieras Populares deberán presentar un aviso a la Comisión sobre la}

constitución del comité de auditoría, en el que se señalen las funciones que dicho comité llevará a cabo, dentro de los cinco días hábiles siguientes a su constitución.

Ar tículo 81.- Las Entidades deberán documentar adecuadamente las políticas y procedimientos de todas sus actividades, en manuales de operación. Dichos manuales serán la base de la operación, así como la referencia para evaluar la efectividad y desempeño de los controles internos.

(1) _{Los manuales de operación deberán ser revisados y, en su caso, actualizados por lo menos una}

vez al año conforme a lo dispuesto en el artículo 80 anterior, y deberán hacerse del conocimiento de los Consejeros, Miembros del Consejo de Vigilancia o Comisario, y a los funcionarios y empleados de la Entidad que por sus funciones requieran conocerlos.

Ar tículo 82.- Los manuales de operación deberán considerar, cuando menos, los aspectos siguientes:

I. La estructura organizacional y funcional de cada área de la Entidad, así como las

responsabilidades individuales asignadas;

II. Los canales de comunicación y de flujo de información entre las distintas áreas de la

Entidad;

III. Las políticas generales de operación;

Insurgentes Sur No. 1971, Plaza Inn, Col. Guadalupe Inn C.P. 01020, Delegación Álvaro Obregón, Ciudad de México Tel.: 5255 1454-6000 www.gob.mx/cnbv

V. En general, programas de contingencia y seguridad.

Ar tículo 83.- En materia de sistemas informáticos, los manuales de operación, deberán considerar las políticas, procedimientos y controles que permitan asegurar que dichos sistemas:

I. Realicen las funciones para las que fueron diseñados, desarrollados o adquiridos;

II. Se encuentren documentados y actualizados;

III. Estén debidamente probados antes de ser implementados;

IV. Cuenten con códigos de acceso para garantizar la integridad de la información generada

por los sistemas, así como la de éstos, y

V. Cuenten con mecanismos de respaldo y procedimientos de recuperación que garanticen la

integridad de la información.

Ar tículo 84.- En materia de control interno, el Director o Gerente General será el encargado de la implementación y funcionamiento diario del sistema de control interno, para lo cual deberá:

I. Verificar que el sistema de control interno funcione adecuadamente y conforme a los

objetivos y estrategias determinados por el Consejo de Administración;

II. Realizar las acciones necesarias para que:

a) Se tomen las medidas preventivas y correctivas necesarias a fin de subsanar cualquier

deficiencia detectada, además de conservar un registro de dichas medidas, así como de las causas que motivaron la implementación de las mismas, y

b) Exista una clara delimitación de funciones y responsabilidades entre las unidades de la

Entidad, así como la independencia entre las áreas o funciones que así lo requieran.

III. Informar por lo menos una vez al año al Consejo de Administración sobre el desempeño de

las actividades a que se refiere este artículo, así como los resultados obtenidos.

(2) _{IV. Autorizar los manuales que le corresponda.}

(3) _{Segundo párrafo.- Derogado.}

(29) _{Ar tículo 85.- Con el fin de coadyuvar al funcionamiento del sistema de control interno, las}

Sociedades Financieras Populares deberán asegurarse de que se lleven a cabo las funciones de contraloría. Dichas funciones, implicarán el establecimiento y seguimiento diario de medidas para vigilar que las actividades referentes a la operación de la Sociedad Financiera Popular sean

Insurgentes Sur No. 1971, Plaza Inn, Col. Guadalupe Inn C.P. 01020, Delegación Álvaro Obregón, Ciudad de México Tel.: 5255 1454-6000 www.gob.mx/cnbv

consistentes con los objetivos de esta y se lleven a cabo en estricto apego a las leyes y demás disposiciones aplicables.

(29) _{El Comisario será responsable de desempeñar las funciones de contraloría a que se refiere el}

presente Artículo, las cuales podrán delegarse en el personal que el Comisario considere apropiado y deberán contemplar, por lo menos, los aspectos siguientes:

(29) _{I. Verificar el correcto apego de los distintos procesos, operaciones y transacciones a la}

regulación aplicable a la Sociedad Financiera Popular;

(29) _{II. Establecer normas, procedimientos y medidas para vigilar que los procesos de}

documentación y liquidación diaria de operaciones y transacciones se efectúan de manera adecuada y conforme a los objetivos y lineamientos de la Sociedad Financiera Popular;

(29) _{III. Controlar que la elaboración de información financiera se lleve a cabo de forma precisa,}

íntegra, confiable y oportuna, y

(29) _{IV. Controlar que la información generada y proporcionada a las Federaciones y autoridades}

sea fidedigna, precisa, íntegra y oportuna.

Ar tículo 86.- Las Entidades deberán implementar un código de ética, aprobado por el Consejo de Administración o, en su caso, por el comité técnico a que hace referencia el Artículo 80 de estas disposiciones, en el cual se establezcan reglas apropiadas y prudentes que gobiernen la conducta y el comportamiento adecuado de sus Consejeros y Miembros del Consejo de Vigilancia o Comisario, funcionarios y empleados, en su interacción con los socios y clientes y al interior de la propia Entidad. El código de ética debe contemplar, como mínimo, los aspectos siguientes:

I. Guardar consistencia con la legislación aplicable, incluyendo las diferentes regulaciones, y

disposiciones reglamentarias conducentes, y

II. Respetar la confidencialidad de los clientes, de las operaciones de la Entidad y en general de

la información institucional.

(1) _{El código de ética deberá ser revisado por lo menos una vez al año conforme a lo dispuesto en}

el Artículo 80 de las presentes disposiciones, y deberá hacerse del conocimiento de los consejeros, funcionarios y empleados de la Entidad.

(23) _{Ar tículo 86 Bis.- En caso de que Información Sensible sea extraída, extraviada o bien las}

Sociedades Financieras Populares sospechen de la realización de algún acto que involucre accesos no autorizados a dicha información, el Director General o personal que este designe deberá:

Insurgentes Sur No. 1971, Plaza Inn, Col. Guadalupe Inn C.P. 01020, Delegación Álvaro Obregón, Ciudad de México Tel.: 5255 1454-6000 www.gob.mx/cnbv

(23) _{I. Enviar por escrito a la Comisión, dentro de los cinco días naturales siguientes al evento de}

que se trate o bien, cuando tengan conocimiento de lo anterior, la información que se contiene en el Anexo S de las presentes disposiciones.

(23) _{II. Llevar a cabo una investigación inmediata sobre las causas que generaron la materialización}

del evento de extracción o extravío o, en su caso, del acceso no autorizado a Información Sensible, y respecto de si la información ha sido o puede ser mal utilizada. El resultado de dicha investigación deberá enviarse a la Comisión en un plazo no mayor a cinco días naturales posteriores a su conclusión.

(23) _{III. Notificar al Cliente la posible extracción, extravío o acceso no autorizado a su información}

dentro de los siguientes tres días hábiles a que ocurrió el evento o que se tuvo conocimiento de este, a través de los medios de notificación que el Cliente haya señalado para tal efecto, a fin de prevenirlo de los riesgos derivados del mal uso de la información que haya sido extraída, extraviada o comprometida, debiendo informarle las medidas que deberá tomar y, en su caso, efectuar la reposición de los medios de disposición que corresponda o la sustitución de Factores de Autenticación necesarios.

Apartado E