La Comisión Nacional Bancaria y de Valores (CNBV) juega un papel fundamental en la supervisión y regulación de las instituciones financieras.
Las auditorías de la CNBV son un componente crítico para la verificación del cumplimiento de la seguridad de la información, la continuidad de las operaciones, el correcto tratamiento de los riesgos tecnológicos, la estabilidad y transparencia de los sistemas. Para las entidades sujetas al escrutinio de la CNBV, comprender las claves para superar estas revisiones con éxito no es solo una ventaja, sino una necesidad imperante.
La preparación es la piedra angular de una auditoría exitosa, no se trata solo de cumplir con la normativa en el momento de la auditoría, sino de integrar una cultura de cumplimiento continuo en todas las operaciones.
Superar estas auditorías con éxito no es solo una cuestión de cumplimiento, sino una señal clara de la solidez operativa y la resiliencia tecnológica de una entidad.
Lo más importante de las evaluaciones es revisar como las instituciones protegen sus activos digitales, aseguran la operación ininterrumpida y gestionan los riesgos tecnológicos en un mundo lleno de múltiples amenazas.
Para cada una de estas áreas, la documentación exhaustiva y organizada basada en estándares de TI es indispensable, es la base para construir una infraestructura, sistemas, aplicaciones más seguras, junto con la definición de funciones de los colaboradores que soportan las operaciones.
Aquellas instituciones que invierten continuamente en estas áreas no solo superarán las auditorías, sino que construirán un negocio más seguro y competitivo.
Con nuestra Auditoría de Cumplimiento a las Disposiciones de la CNBV Materia de la Información e Infraestructura te ayudamos a evaluar el nivel de cumplimiento a los requisitos mínimos de Ciberseguridad establecidos por la Comisión Nacional Bancaria y de Valores (CNBV).
La CNBV exige que las instituciones durante las auditorías demuestren con evidencias que protegen la confidencialidad, integridad y disponibilidad de su información.
Esto significa ir más allá de un firewall y las auditorías serán superadas aplicando:
Marcos de Seguridad Robustos:Implementar y adherirse a estándares reconocidos internacionalmente como ISO 27001 o los marcos del NIST (National Institute of Standards and Technology). Estos proporcionan una hoja de ruta para la gestión de la seguridad de la información.
Gestión de Vulnerabilidades y Pruebas de Penetración: Escaneos de vulnerabilidades frecuentes y Pruebas de Penetración periódicas (realizadas por terceros independientes) son esenciales para identificar y mitigar debilidades antes de que los atacantes las exploten. La CNBV buscará evidencia de estos ejercicios y de la remediación oportuna.
Control de Acceso Riguroso: Implementación de principios de mínimo privilegio y segregación de funciones. La autenticación multifactor (MFA) debe ser la norma para accesos críticos, y los registros de acceso deben ser monitoreados constantemente.
Protección de Datos Sensibles: Cifrado de datos en tránsito y en reposo, clasificación de la información y políticas claras de retención y eliminación de datos. La protección de la información del cliente es primordial.
Concientización y Capacitación:El eslabón más débil suele ser el factor humano. Programas de capacitación continuos y pruebas de ingeniería social son vitales para educar al personal sobre las amenazas cibernéticas y las políticas de seguridad.
En un sector donde cada minuto de inactividad puede costar millones y erosionar la confianza, la CNBV presta especial atención a la capacidad de una institución para mantener sus operaciones críticas frente a interrupciones, algunos puntos que se revisan en las auditorías de este tipo es que las organizaciones financieras cumplan con:
Planes de Continuidad del Negocio (PCN) y Planes de Recuperación ante Desastres (DRP) Formales: No basta con tener un documento. Estos planes deben estar bien definidos, ser documentados, comunicados, y lo más importante, probados regularmente.
Pruebas de Recuperación y Simulación: La CNBV requiere saber que las instituciones realizan simulacros periódicos (al menos anualmente) de escenarios de desastre. Esto incluye la conmutación a sitios de respaldo, la recuperación de datos y la activación de equipos de crisis. Los resultados de estas pruebas, junto con los planes de mejora, son evidencia clave.
Infraestructura Resiliente: Diseño de arquitecturas redundantes, uso de múltiples centros de datos y copias de seguridad de datos frecuentes y seguras. La disponibilidad de la infraestructura crítica debe ser una prioridad.
Gestión de Terceros y Cadena de Suministro: Evaluación de la capacidad de continuidad de negocio de proveedores críticos de tecnología y servicios. Una interrupción en un tercero puede paralizar la operación propia.
La CNBV espera que las instituciones no solo reaccionen a los incidentes, sino que gestionen proactivamente los riesgos asociados a la tecnología, por lo que las diversas auditorías revisaran que se cuente con:
Marcos de Gestión de Riesgos de TI: Implementación de un marco estructurado para identificar, evaluar, priorizar, mitigar y monitorear los riesgos de TI de manera continua. Esto incluye riesgos de Ciberseguridad, operativos, de cumplimiento y de terceros.
Inventario de Activos de TI y Evaluación de Criticidad: Conocer qué activos se poseen, dónde se encuentran y cuál es su nivel de criticidad para la operación del negocio es fundamental para una gestión de riesgos efectiva.
Monitoreo y Detección de Amenazas: Sistemas SIEM (Security Information and Event Management) y otras herramientas de monitoreo que permitan la detección temprana de actividades anómalas o amenazas. La capacidad de respuesta a incidentes debe ser rápida y efectiva.
Gobernanza de TI: Establecimiento de un comité de TI o de seguridad que supervise la estrategia de TI, la gestión de riesgos y el cumplimiento normativo. La alta dirección debe estar involucrada y comprometida.
Auditorías Internas de TI: Realización periódica de auditorías internas de los controles de TI, identificando deficiencias y asegurando que los planes de acción se ejecuten de manera oportuna.
En un panorama de amenazas cibernéticas en constante evolución y un entorno regulatorio cada vez más exigente, la inversión en mejores prácticas de seguridad de la información, continuidad del negocio y gestión de riesgos de TI ya no es una opción, sino una necesidad estratégica para cualquier entidad financiera que aspire a un futuro exitoso y seguro en México.
Las auditorías de la CNBV son un componente crítico para garantizar la seguridad de la información, la continuidad de las operaciones y el correcto tratamiento de los riesgos tecnológicos, estabilidad y transparencia del sistema. Para las entidades sujetas a su escrutinio, comprender las claves para superar estas revisiones con éxito no es solo una ventaja, sino una necesidad imperante.
Para que las instituciones financieras en México puedan enfrentar y superar con éxito las auditorías de la CNBV, se desglosan las siguientes estrategias
El primer y más crucial paso es un conocimiento profundo y actualizado de toda la normativa emitida por la CNBV. Esto incluye, pero no se limita a:
Ley de Instituciones de Crédito,
Ley del Mercado de Valores,
Disposiciones de Carácter General aplicables a las Instituciones de Crédito (conocidas como las "Disposiciones de Capital")
Disposiciones en materia de prevención de lavado de dinero y financiamiento al terrorismo (PLD/FT),
Regulaciones específicas para cada tipo de institución.
Las leyes y circulares cambian con frecuencia; por ello, es indispensable contar con mecanismos para monitorear y aplicar estas actualizaciones de forma proactiva.
La CNBV busca evidencia de que las instituciones cuentan con controles internos sólidos que mitiguen riesgos operativos, financieros y de cumplimiento desde la segregación de funciones, la conciliación de cuentas, hasta la gestión de riesgos tecnológicos.
Los controles deben estar bien documentados, ser comunicados a todo el personal relevante y, lo más importante, ser consistentemente aplicados y monitoreados. Las fallas en los controles internos son una de las principales causas de hallazgos negativos en las auditorías.
Las instituciones deben demostrar una sólida capacidad para identificar, medir, monitorear y controlar sus riesgos inherentes y residuales.
Esto incluye riesgos de crédito, mercado, liquidez, operativo, tecnológico y legal.
La CNBV espera ver marcos de gestión de riesgos bien definidos, modelos de riesgo validados, y pruebas de estrés que demuestren la resiliencia de la institución ante escenarios adversos.
Este es un pilar fundamental en las auditorías de la CNBV. Las instituciones deben contar con:
Políticas y procedimientos PLD/FT robusto
Un oficial de cumplimiento certificado y con la autoridad necesaria
Programas de capacitación continuos para todo el personal
Sistemas tecnológicos que permitan la identificación de clientes (KYC)
Monitoreo de transacciones
Reporte oportuno de operaciones inusuales o relevantes.
Cualquier debilidad en este frente puede acarrear multas significativas y un impacto negativo en la reputación.
La exactitud de la información que se reporta a la CNBV es crítica. Esto implica tener sistemas contables y de información robustos que garanticen la integridad, veracidad y oportunidad de los datos.
Errores en los reportes regulatorios pueden ser interpretados como falta de control o incluso manipulación, generando graves consecuencias. Es vital realizar conciliaciones periódicas y tener procesos de validación de datos rigurosos.
El cumplimiento normativo no debe ser una tarea exclusiva del área legal o de cumplimiento. Debe permear toda la organización. Invertir en la capacitación continua del personal en todos los niveles, desde la alta dirección hasta los colaboradores de primera línea, sobre las políticas internas, las regulaciones de la CNBV y las mejores prácticas, es esencial para asegurar que todos comprendan su rol en el mantenimiento del cumplimiento.
Cada política, procedimiento, decisión, registro y evidencia de control debe estar debidamente documentado y ser fácilmente accesible. Durante una auditoría, la capacidad de proporcionar rápidamente la información solicitada de manera organizada es un reflejo de la eficiencia y el control interno de la institución. Un buen sistema de gestión documental es invaluable.
Antes de que la CNBV llegue, las instituciones deben realizar sus propias "auditorías de prueba". Un programa de auditoría interna robusto, independiente y con la autoridad para identificar y reportar deficiencias, permite a la institución corregir problemas antes de que sean detectados por la autoridad.
Una vez que la auditoría de la CNBV está en curso, es fundamental:
La transparencia y la cooperación son fundamentales.
Responder a las solicitudes de información de manera oportuna y completa
Ser honesto sobre las deficiencias identificadas y presentar planes de remediación
No retrasar las solicitudes, puede ser contraproducente.
En resumen, el éxito en las auditorías de la CNBV no es producto de la improvisación, sino de una estrategia integral y proactiva de cumplimiento.
Al enfocarse en un conocimiento normativo profundo, controles internos sólidos, una gestión de riesgos efectiva, una cultura de cumplimiento arraigada y una preparación meticulosa, las instituciones financieras en México pueden no solo superar estas auditorías, sino también fortalecer su resiliencia y contribuir a la solidez del sistema financiero nacional.
*Las opiniones, ideas y recomendaciones expuestas en este artículo son exclusivamente del autor.
