Artículo 133 de Disposiciones de carácter general aplicables a los fondos de inversión (Circular Única de Fondos)

[Título Cuarto — Capítulo Cuarto] Artículo 133.- Las sociedades operadoras de fondos de inversión en adición a lo expuesto en el artículo 132 de las presentes disposiciones, deberán como mínimo desarrollar las funciones siguientes respecto de: I. La administración del riesgo operativo: a) Identificar y documentar los procesos que describen el quehacer de cada uno de los fondos de inversión a los que presten el servicio de administración de activos. b) Identificar y documentar los riesgos operativos implícitos a los procesos a que hace referencia el inciso a) anterior. c) Evaluar e informar por lo menos trimestralmente, las consecuencias que sobre el negocio generaría la materialización de los riesgos identificados e informar los resultados a los responsables de las unidades implicadas, a fin de que se evalúen las diferentes medidas de control de dichos riesgos. d) Establecer los niveles de tolerancia al riesgo para cada tipo de riesgo identificado, definiendo sus causas, orígenes o Factores de riesgo. e) Para el registro de eventos de pérdida por riesgo operativo, incluyendo el tecnológico y legal, deberán: 1. Identificar las actividades desarrolladas por las Unidades de negocio que impliquen la toma de este tipo de riesgo por cuenta de los fondos de inversión administrados. 2. Identificar y clasificar los diferentes tipos de eventos de pérdida conforme al numeral anterior. 3. Mantener una base de datos histórica que contenga el registro sistemático de los diferentes tipos de pérdida y su costo, en correspondencia con su registro contable, debidamente identificados con la Unidad de negocio de origen y por fondo de inversión, según las clasificaciones al efecto definidas por los numerales 1 y 2 anteriores. El desempeño de las funciones descritas en los incisos a), b), c) y e) a que hace referencia la presente fracción estará a cargo del responsable de la Administración integral de riesgos de la sociedad operadora de fondos de inversión de que se trate, pudiendo auxiliarse en el área que se estime conveniente, siempre y cuando con ello no se susciten conflictos de interés. Por lo que toca a las funciones relativas al riesgo operativo a que hace referencia el inciso e) anterior, el responsable de la Administración integral de riesgos de la sociedad operadora de fondos de inversión deberá establecer mecanismos que aseguren un adecuado flujo, calidad y oportunidad de la información con el resto de las unidades al interior de la sociedad operadora, a fin de que estas últimas provean a los primeros los elementos necesarios para llevar a cabo su función. II. La administración del riesgo tecnológico: a) Evaluar la vulnerabilidad en el hardware, software, sistemas, aplicaciones, seguridad, recuperación de información y redes, por errores de procesamiento u operativos, fallas en procedimientos, capacidades inadecuadas, insuficiencia de los controles instalados, entre otros. b) Considerar en la implementación de controles internos, respecto del hardware, software, sistemas, aplicaciones, seguridad, recuperación de información y redes de la sociedad operadora, cuando menos, los aspectos siguientes: 1. Mantener políticas y procedimientos que aseguren en todo momento el nivel de calidad del servicio y la seguridad e integridad de la información. Lo anterior con especial énfasis cuando se contrate la prestación de servicios por parte de proveedores externos para el procesamiento y almacenamiento de dicha información. 2. Asegurar que cada operación o actividad realizada por los usuarios deje constancia electrónica que conforme registros de auditoría. 3. Implementar mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la adecuada ejecución de las operaciones y servicios realizados. c) En caso de mantener canales de distribución para operaciones con clientes realizadas a través del sitio de la página electrónica en la red mundial denominada Internet o de sucursales, entre otros, deberán, en lo conducente: 1. Establecer medidas y controles necesarios que permitan asegurar confidencialidad en la generación, almacenamiento, transmisión y recepción de las claves de identificación y acceso para los usuarios. 2. Implementar medidas de control que garanticen la protección, seguridad y confidencialidad de la información generada por la realización de operaciones a través de cualquier medio tecnológico. 3. Contar con esquemas de control y políticas de operación, autorización y acceso a los sistemas, bases de datos y aplicaciones implementadas para la realización de operaciones a través de cualquier medio tecnológico. 4. Incorporar los medios adecuados para respaldar y, en su caso recuperar, la información que se genere respecto de las operaciones que se realicen a través de cualquier medio tecnológico. 5. Diseñar planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la celebración de operaciones a través de cualquier medio tecnológico. Dichos planes deberán comprender, además, las medidas necesarias que permitan minimizar y reparar los efectos generados por eventualidades que, en su caso, llegaren a afectar el continuo y permanente funcionamiento de los servicios. 6. Establecer mecanismos para la identificación y resolución de aquellos actos o eventos que puedan generar riesgos derivados de: i. Comisión de hechos, actos u operaciones fraudulentas a través de medios tecnológicos. ii. Contingencias generadas en los sistemas relacionados con los servicios prestados y operaciones celebradas a través de cualquier medio tecnológico. iii. El uso inadecuado por parte de los usuarios de los canales de distribución antes mencionados, para operar a través de los medios citados en el presente artículo. Las sociedades operadoras de fondos de inversión deberán evaluar las circunstancias que en materia de riesgo tecnológico pudieran influir en la operación ordinaria, las cuales se sujetarán a vigilancia permanente a fin de verificar el desempeño del proceso de administración de riesgos. III. La administración del riesgo legal: a) Establecer políticas y procedimientos para que en forma previa a la celebración de actos jurídicos, se analice la validez jurídica y procure la adecuada instrumentación legal de estos, incluyendo la formalización de garantías, a fin de evitar vicios en la celebración de las operaciones. b) Estimar el monto de pérdidas potenciales derivado de resoluciones judiciales o administrativas desfavorables, así como la posible aplicación de sanciones, la relación con las operaciones que se lleven a cabo. En dicha estimación, deberán incluirse los litigios en que los fondos de inversión sean actores o demandados, así como los procedimientos administrativos en los que estos participen. c) Mantener una base de datos histórica sobre las resoluciones judiciales y administrativas a que se refiere el inciso anterior, incluyendo sus causas y costos. d) Analizar los actos que realice la sociedad operadora de fondos de inversión por cuenta de los fondos de inversión administrados, cuando se rijan por un sistema jurídico distinto al nacional y evaluar las diferencias existentes entre el sistema de que se trate y el nacional, incluyendo lo relativo al procedimiento judicial. e) Dar a conocer a sus directivos y empleados las disposiciones legales y administrativas aplicables a las operaciones. Corresponderá al responsable de la Administración integral de riesgos de la sociedad operadora de fondos de inversión el cumplimiento de las funciones relativas al riesgo tecnológico y al riesgo legal a que hace referencia este artículo, pudiendo auxiliarse del área que estime conveniente, siempre y cuando con ello no se susciten conflictos de interés. Capítulo Quinto De los informes de administración de riesgos