46.(4) El <strong>de</strong>sempeño <strong>de</strong> las funciones <strong>de</strong>scritas en los numerales 1, 2, 3 y 4 a que hace referencia <strong>el</strong>presente inciso, será responsabilidad d<strong>el</strong> comité <strong>de</strong> riesgos <strong>de</strong> la Institución <strong>de</strong> que se trate, pudiendoauxiliarse en <strong>el</strong> área que se estime conveniente, siempre y cuando con <strong>el</strong>lo no se susciten conflictos<strong>de</strong> interés.(18) Por lo que toca a las funciones r<strong>el</strong>ativas al riesgo operacional a que hace referencia <strong>el</strong> numeral 5anterior, su <strong>de</strong>sempeño correspon<strong>de</strong>rá a la unidad <strong>de</strong> Administración Integral <strong>de</strong> Riesgos <strong>de</strong> laInstitución correspondiente. Para <strong>el</strong>lo, las Instituciones <strong>de</strong>berán establecer mecanismos que asegurenun a<strong>de</strong>cuado flujo, calidad y o<strong>por</strong>tunidad <strong>de</strong> la información entre la referida unidad <strong>de</strong> AdministraciónIntegral <strong>de</strong> Riesgos y <strong>el</strong> resto <strong>de</strong> las unida<strong>de</strong>s al interior <strong>de</strong> la entidad, a fin <strong>de</strong> que estas últimasprovean a la primera los <strong>el</strong>ementos necesarios para llevar a cabo su función.b) La administración d<strong>el</strong> riesgo tecnológico:1. Evaluar la vulnerabilidad en <strong>el</strong> hardware, software, sistemas, aplicaciones, seguridad,recuperación <strong>de</strong> información y re<strong>de</strong>s, <strong>por</strong> errores <strong>de</strong> procesamiento u operativos, fallas enprocedimientos, capacida<strong>de</strong>s ina<strong>de</strong>cuadas e insuficiencias <strong>de</strong> los controles instalados,entre otros.2. Consi<strong>de</strong>rar en la implementación <strong>de</strong> controles internos, respecto d<strong>el</strong> hardware, software,sistemas, aplicaciones, seguridad, recuperación <strong>de</strong> información y re<strong>de</strong>s <strong>de</strong> la Institución,cuando menos, los aspectos siguientes:i. Mantener políticas y procedimientos que aseguren en todo momento <strong>el</strong> niv<strong>el</strong> <strong>de</strong>calidad d<strong>el</strong> servicio y la seguridad e integridad <strong>de</strong> la información; lo anterior conespecial énfasis cuando las Instituciones contraten la prestación <strong>de</strong> servicios <strong>por</strong>parte <strong>de</strong> proveedores externos para <strong>el</strong> procesamiento y almacenamiento <strong>de</strong> dichainformación.ii.iii.Asegurar que cada operación o actividad realizada <strong>por</strong> los usuarios <strong>de</strong>jeconstancia <strong>el</strong>ectrónica que conforme registros <strong>de</strong> auditoria.Implementar mecanismos que midan y aseguren niv<strong>el</strong>es <strong>de</strong> disponibilidad ytiempos <strong>de</strong> respuesta, que garanticen la a<strong>de</strong>cuada ejecución <strong>de</strong> las operacionesy servicios bancarios realizados.3. En caso <strong>de</strong> mantener canales <strong>de</strong> distribución para operaciones bancarias con clientesrealizadas a través <strong>de</strong> la red <strong>el</strong>ectrónica mundial <strong>de</strong>nominada Internet, cajerosautomáticos, banca t<strong>el</strong>efónica, sucursales, entre otros, <strong>de</strong>berán en lo conducente:i. Establecer medidas y controles necesarios que permitan asegurarconfi<strong>de</strong>ncialidad en la generación, almacenamiento, transmisión y recepción d<strong>el</strong>as claves <strong>de</strong> i<strong>de</strong>ntificación y acceso para los usuarios.ii.iii.iv.Implementar medidas <strong>de</strong> control que garanticen la protección, seguridad yconfi<strong>de</strong>ncialidad <strong>de</strong> la información generada <strong>por</strong> la realización <strong>de</strong> operacionesbancarias a través <strong>de</strong> cualquier medio tecnológico.Contar con esquemas <strong>de</strong> control y políticas <strong>de</strong> operación, autorización y acceso alos sistemas, bases <strong>de</strong> datos y aplicaciones implementadas para la realización <strong>de</strong>operaciones bancarias a través <strong>de</strong> cualquier medio tecnológico.Incor<strong>por</strong>ar los medios a<strong>de</strong>cuados para respaldar y, en su caso, recuperar lainformación que se genere respecto <strong>de</strong> las operaciones bancarias que serealicen a través <strong>de</strong> cualquier medio tecnológico.v. Diseñar planes <strong>de</strong> contingencia, a fin <strong>de</strong> asegurar la capacidad y continuidad d<strong>el</strong>os sistemas implementados para la c<strong>el</strong>ebración <strong>de</strong> operaciones bancarias, através <strong>de</strong> cualquier medio tecnológico. Dichos planes <strong>de</strong>berán compren<strong>de</strong>r,a<strong>de</strong>más, las medidas necesarias que permitan minimizar y reparar los efectosgenerados <strong>por</strong> eventualida<strong>de</strong>s que, en su caso, llegaren a afectar <strong>el</strong> continuo ypermanente funcionamiento <strong>de</strong> los servicios.
47.vi.Establecer mecanismos para la i<strong>de</strong>ntificación y resolución <strong>de</strong> aqu<strong>el</strong>los actos oeventos que puedan generarle a la Institución, riesgos <strong>de</strong>rivados <strong>de</strong>:vi.ivi.iivi.iiiComisión <strong>de</strong> hechos, actos u operaciones fraudulentas a través <strong>de</strong>medios tecnológicos.Contingencias generadas en los sistemas r<strong>el</strong>acionados con los serviciosbancarios prestados y operaciones c<strong>el</strong>ebradas a través <strong>de</strong> cualquiermedio tecnológico.El uso ina<strong>de</strong>cuado <strong>por</strong> parte <strong>de</strong> los usuarios <strong>de</strong> los canales <strong>de</strong>distribución antes mencionados, para operar con la Institución, a través<strong>de</strong> los medios citados en <strong>el</strong> presente artículo.La Institución <strong>de</strong>berá evaluar las circunstancias que en materia <strong>de</strong> riesgo tecnológico pudieraninfluir en su operación ordinaria, las cuales se sujetarán a vigilancia permanente a fin <strong>de</strong> verificar <strong>el</strong><strong>de</strong>sempeño d<strong>el</strong> proceso <strong>de</strong> Administración Integral <strong>de</strong> Riesgos.c) La administración d<strong>el</strong> riesgo legal:1. Establecer políticas y procedimientos para que en forma previa a la c<strong>el</strong>ebración <strong>de</strong> actosjurídicos, se analice la vali<strong>de</strong>z jurídica y procure la a<strong>de</strong>cuada instrumentación legal <strong>de</strong>éstos, incluyendo la formalización <strong>de</strong> las garantías en favor <strong>de</strong> la Institución, a fin <strong>de</strong> evitarvicios en la c<strong>el</strong>ebración <strong>de</strong> las operaciones.2. Estimar <strong>el</strong> monto <strong>de</strong> pérdidas potenciales <strong>de</strong>rivado <strong>de</strong> resoluciones judiciales oadministrativas <strong>de</strong>sfavorables, así como la posible aplicación <strong>de</strong> sanciones, en r<strong>el</strong>acióncon las operaciones que se lleven a cabo. En dicha estimación, <strong>de</strong>berán incluirse loslitigios en los que la Institución sea actora o <strong>de</strong>mandada, así como los procedimientosadministrativos en que ésta participe.3. Analizar los actos que realice la Institución cuando se rijan <strong>por</strong> un sistema jurídico distintoal nacional, y evaluar las diferencias existentes entre <strong>el</strong> sistema <strong>de</strong> que se trate y <strong>el</strong>nacional, incluyendo lo r<strong>el</strong>ativo al procedimiento judicial.4. Dar a conocer a sus directivos y empleados, las disposiciones legales y administrativasaplicables a las operaciones.5. Realizar, cuando menos anualmente, auditorias legales internas. En todo caso, lapersona o unidad responsable <strong>de</strong> dicha auditoria <strong>de</strong>berá ser In<strong>de</strong>pendiente d<strong>el</strong><strong>de</strong>partamento jurídico <strong>de</strong> la Institución.6. Mantener una base <strong>de</strong> datos histórica sobre las resoluciones judiciales y administrativas,sus causas y costos, asegurándose que aqu<strong>el</strong>las resoluciones judiciales y administrativasque resulten eventos <strong>de</strong> pérdida sean incluidas en la fracción I, inciso e), numeral 3 <strong>de</strong>este artículo.Correspon<strong>de</strong>rá al comité <strong>de</strong> riesgos <strong>de</strong> la Institución <strong>el</strong> cumplimiento <strong>de</strong> las funciones r<strong>el</strong>ativas al riesgotecnológico y al riesgo legal a que hacen referencia los incisos b) y c) anteriores, respectivamente, pudiendoauxiliarse en <strong>el</strong> área que se estime conveniente, siempre y cuando con <strong>el</strong>lo no se susciten conflictos <strong>de</strong>interés.Sección QuintaDe los informes <strong>de</strong> administración <strong>de</strong> riesgos y <strong>de</strong> la rev<strong>el</strong>ación <strong>de</strong> informaciónArtículo 87.- Las Instituciones <strong>de</strong>berán contar con informes que se basen en datos íntegros, precisos y o<strong>por</strong>tunosr<strong>el</strong>acionados con su Administración Integral <strong>de</strong> Riesgos y que como mínimo contengan:I. La exposición <strong>por</strong> tipo <strong>de</strong> riesgo en los casos <strong>de</strong> riesgos discrecionales, así como los niv<strong>el</strong>es <strong>de</strong> inci<strong>de</strong>ncia eimpacto en <strong>el</strong> caso <strong>de</strong> los riesgos no discrecionales, consi<strong>de</strong>rando <strong>el</strong> Riesgo Consolidado <strong>de</strong> la Institución,<strong>de</strong>sglosados <strong>por</strong> Unidad <strong>de</strong> Negocio o Factor <strong>de</strong> Riesgo, causa u origen <strong>de</strong> éstos. Los informes sobre laexposición <strong>de</strong> riesgo <strong>de</strong>berán incluir análisis <strong>de</strong> sensibilidad y pruebas bajo condiciones extremas.
- Page 1 and 2: DISPOSICIONES DE CARACTER GENERAL A
- Page 3 and 4: 3.Sección CuartaDe la administraci
- Page 5 and 6: 5.Apartado BOperaciones Sujetas a R
- Page 7 and 8: 7.Capítulo VIIIMedidas de segurida
- Page 9 and 10: 9.Anexo 26Anexo 27Anexo 28Anexo 29A
- Page 11: 11.celebradas con personas físicas
- Page 14 and 15: 14.(19) L. Participante Central del
- Page 16 and 17: 16.a) Procurar que los mecanismos d
- Page 18 and 19: 18.Sección SegundaDe los fundament
- Page 20 and 21: 20.(16) Tratándose de créditos co
- Page 22 and 23: 22.e) En el caso de créditos con g
- Page 24 and 25: 24.En el caso de créditos directos
- Page 26 and 27: 26.VII.VIII.Verificar que respecto
- Page 28 and 29: 28.III.IV.Los supuestos en los que
- Page 30 and 31: 30.Asimismo, dichas Instituciones,
- Page 32 and 33: 32.señalando que éstas fueron deb
- Page 34 and 35: 34.Para efectuar el referido cómpu
- Page 36 and 37: 36.II.III.IV.Asegurarse de la exist
- Page 38 and 39: 38.En los mismos términos, el comi
- Page 40 and 41: 40.e) Analizar y evaluar permanente
- Page 42 and 43: 42.VIII.IX.El proceso para aprobar,
- Page 44 and 45: 44.I. Analizar, evaluar y dar segui
- Page 48 and 49: 48.En este sentido y respecto a los
- Page 50 and 51: 50.11 65% 65%12 70% 70%13 75% 75%14
- Page 52 and 53: 52.NÚMERO DE PERÍODOSDE FACTURACI
- Page 54 and 55: 54.(19) Cuando las reservas prevent
- Page 56 and 57: 56.b) Si el valor de las garantías
- Page 58 and 59: 58.(19) Apartado C(19) De la metodo
- Page 60 and 61: 60.crédito, conforme a lo señalad
- Page 62 and 63: 62.Artículo 117.- La Calificación
- Page 64 and 65: 64.Artículo 120.- Las Institucione
- Page 66 and 67: 66.Lo establecido en la fracción a
- Page 68 and 69: 68.Las Instituciones podrán aplica
- Page 70 and 71: 70.Más de 6 y hasta 12 10%Más de
- Page 72 and 73: 72.Capítulo VIControles InternosSe
- Page 74 and 75: 74.Artículo 147.- En ningún caso
- Page 76 and 77: 76.conforme a las disposiciones leg
- Page 78 and 79: 78.detrimento del ejercicio de las
- Page 80 and 81: 80.VII.El plazo máximo para, una v
- Page 82 and 83: 82.h) Contemplen, incluyendo toda s
- Page 84 and 85: 84.(19) II. Avanzado, cuyos requisi
- Page 86 and 87: 86.(19) Una vez que la Comisión ha
- Page 88 and 89: 88.(19) Adicionalmente, las Institu
- Page 90 and 91: 90.(19) b) El entorno económico y
- Page 92 and 93: 92.(19) Al respecto, la cobertura d
- Page 94 and 95: 94.(19) II. Tratándose de Instituc
- Page 96 and 97:
96.(19) Correlación:R50 PI501 e1 e
- Page 98 and 99:
98.(19) Artículo 172 Bis 29.- En c
- Page 100 and 101:
100.(1) Artículo 175.- La Comisió
- Page 102 and 103:
102.Las sustituciones del Proveedor
- Page 104 and 105:
104.Externo Independiente, dentro d
- Page 106 and 107:
106.a que se refiere el Boletín A-
- Page 108 and 109:
108.II.III.IV.La explicación detal
- Page 110 and 111:
110.Artículo 189.- El auditor exte
- Page 112 and 113:
112.V. No haber sido, ni tener ofre
- Page 114 and 115:
114.(4) V. Que cumple con los requi
- Page 116 and 117:
116.procedimientos o metodologías
- Page 118 and 119:
118.El incumplimiento de lo dispues
- Page 120 and 121:
120.A-1511 Estratificación de oper
- Page 122 and 123:
122.Medios de entregaArtículo 213.
- Page 124 and 125:
124.I. Copia certificada de la denu
- Page 126 and 127:
126.En caso de que la institución
- Page 128 and 129:
128.hábiles de anticipación a la
- Page 130 and 131:
130.IV.Llevar a cabo las acciones q
- Page 132 and 133:
132.V. La cesión o descuento de ca
- Page 134 and 135:
134.correctivas que aplicarán a lo
- Page 136 and 137:
136.IV.La transmisión de Órdenes
- Page 138 and 139:
138.III.La operación se asignará
- Page 140 and 141:
140.día, con títulos opcionales,
- Page 142 and 143:
142.cubran o se excedan los referid
- Page 144 and 145:
144.III.Que tienen establecidos sis
- Page 146 and 147:
146.conformidad con los Artículos
- Page 148 and 149:
148.(2) a) Cuando se intente ingres
- Page 150 and 151:
150.(9)Artículo 317.- Las Instituc
- Page 152 and 153:
152.información generada, recibida
- Page 154 and 155:
154.(9) La Comisión podrá decreta
- Page 156 and 157:
156.(7)Adicionalmente, las Instituc
- Page 158 and 159:
158.disposiciones, sin que al efect
- Page 160 and 161:
160.Diario Oficial de la Federació
- Page 162 and 163:
162.T R A N S I T O R I A S(Resoluc
- Page 164 and 165:
164.TRANSITORIO(Resolución que mod
- Page 166 and 167:
166.Que es conveniente que se estab
- Page 168 and 169:
168.CONSIDERANDO DE LA RESOLUCIÓN