SOFOMs
Manual PLD/FT, EBR, sistemas automatizados y controles
Manual, metodología EBR y sistema son un solo control: el manual define, la EBR mide y decide, y el sistema ejecuta y conserva evidencia. Diez herramientas permiten probar que comparten datos, escalas, responsables y resultados.
Método común del dossier
Este dossier sigue una cadena técnica: riesgo identificado, regla aprobada, parámetro configurado, dato fuente, resultado, excepción y prueba de eficacia. Una matriz o manual sólo tiene valor si puede señalarse dónde se ejecuta y qué log conserva el sistema. Por eso cada tema obliga a comparar diseño y comportamiento con casos normales, límites y errores, incluyendo quién puede cambiar una ponderación y cómo se detecta una modificación no autorizada.
Marco de trazabilidad entre riesgo, manual y tecnología
La arquitectura de control comienza con una afirmación sencilla: cada regla descrita debe tener dato, cálculo, decisión, evidencia y responsable. La metodología EBR explica la exposición; los mitigantes reducen riesgo sólo después de comprobar su funcionamiento; el manual traduce decisiones en procedimientos; el sistema ejecuta las reglas que pueden automatizarse; y auditoría examina diseño y operación. Un índice enlaza esas capas para evitar que una modificación documental quede separada de la configuración o que un cambio técnico altere el proceso sin aprobación.
Los datos requieren un diccionario que identifique fuente, significado, formato, actualización, dueño y tratamiento de valores ausentes. Antes de ponderar factores se comprueba cobertura y calidad. Un campo importante pero incompleto no debe desaparecer mediante un peso menor: la metodología adopta una regla conservadora, reconoce incertidumbre o abre un proyecto de datos. Las fórmulas y umbrales se versionan; cada resultado conserva qué configuración lo produjo y qué acción activó. Las excepciones tienen aprobador, razón y caducidad, sin editar manualmente la calificación original.
La prueba tecnológica se realiza con casos sintéticos y muestras controladas. Incluye resultado ordinario, frontera, dato ausente, error, reverso, cambio de perfil y evento que debe escalar. Se comparan entrada, salida esperada, salida observada, tarea generada y cierre por el rol correcto. Una aceptación del proveedor no sustituye la validación de cumplimiento, y una captura no sustituye logs o consultas reproducibles. Respaldo, restauración, caída de interfaz y recuperación de pendientes forman parte del mismo expediente.
La calibración se diseña antes de mirar sólo el volumen deseado. El equipo documenta hipótesis, población, casos positivos y negativos, sensibilidad y límites. Un umbral que genera cero alertas exige validar alimentación; uno que genera demasiadas exige analizar causa antes de elevarlo. Los cambios pasan por regresión sobre una muestra estable para confirmar que escenarios críticos no se pierden. El tablero combina cobertura, utilidad, falsos positivos explicados, casos confirmados, datos desconocidos y controles fallidos.
La evidencia de eficacia se obtiene por mitigante y por riesgo. Se seleccionan operación normal, excepción y fallo conocido; se mide oportunidad, cobertura, calidad y efecto sobre la decisión. Los hallazgos indican población, causa, corrección y re-prueba, actualizando la capa realmente defectuosa. El órgano recibe distribución inherente, residual, concentraciones y acciones fuera de apetito. Con esta trazabilidad, la SOFOM puede explicar por qué su modelo produce una conclusión y cómo sabe que los controles declarados funcionan en la operación real.
Checklist práctico del sistema automatizado
Cómo llevarlo a operación
Construya un inventario requisito-función y pruébelo con datos sintéticos. Incluya alta incompleta, coincidencia, cambio de riesgo, operación fuera de perfil, alerta vencida, cierre rechazado, reporte y revocación de acceso. Conserve resultado esperado y obtenido.
Herramienta: matriz con obligación, módulo, regla, dato fuente, frecuencia, rol, prueba positiva, prueba negativa, evidencia, incidencia y versión. Ejecute regresión después de cada cambio material. Los accesos de proveedor deben ser temporales y trazables.
Pruebas por función del sistema automatizado. El checklist debe cubrir ingestión de datos, identificación, listas, segmentación, alertas, acumulación, monitoreo, reportes, bitácoras, seguridad y conservación. Para cada función se define dato fuente, regla, resultado esperado, dueño y evidencia. Una demostración del proveedor no sustituye pruebas con la configuración y catálogos de la SOFOM.
Prepare casos sintéticos que incluyan coincidencia exacta y parcial, dato ausente, operación fragmentada, cambio de perfil, reverso y error de interfaz. Cada caso se ejecuta de punta a punta y se compara con manual y metodología aprobados. Las bitácoras deben mostrar usuario, fecha, cambio y resultado sin permitir alteración silenciosa. También se prueba continuidad: respaldo, restauración, caída de una fuente y recuperación de alertas pendientes. Los defectos se clasifican por impacto y se reejecutan después de la corrección. El expediente técnico conserva versión, parámetros, catálogos, entradas, salidas, capturas necesarias, logs y aprobación. Cumplimiento valida la lógica; tecnología acredita operación y seguridad; auditoría debe poder repetir una muestra sin depender exclusivamente del proveedor.
Base legal
Aterrizar la Evaluación Nacional de Riesgos
Use una tabla hallazgo nacional → exposición propia → dato → indicador → control → evidencia. Si la SOFOM sólo presta a empresas mexicanas, aún debe analizar cadenas extranjeras, pagos a terceros o canales digitales si existen. La relevancia se prueba con modelo, no con etiqueta sectorial.
Patrón observado. Un buen taller EBR enfrenta a producto y cumplimiento con escenarios concretos; así surgen riesgos que un documento redactado aisladamente no detecta.
Cómo llevarlo a operación
inventarie fuentes oficiales; seleccione riesgos; asigne dueño; mida exposición; defina mitigante; pruebe eficacia; apruebe; y calendarice revisión por cambios. Conserve la versión de la ENR consultada y la fecha.
Traducción de la ENR al perfil propio. La Evaluación Nacional de Riesgos aporta amenazas y vulnerabilidades del país, pero la SOFOM debe explicar cómo afectan sus clientes, productos, canales, zonas y operaciones. Una matriz selecciona hallazgos pertinentes, identifica exposición concreta, dato disponible y control existente. Los temas sin relación se descartan con razón; copiar conclusiones nacionales sin ese puente no produce una evaluación institucional.
El ejercicio comienza con tres escenarios plausibles para la cartera: uso de personas morales opacas, pagos de terceros y operación en zonas o sectores expuestos. Se estima cómo podrían ocurrir, qué señales quedarían en los datos y qué mitigante debería responder. Luego se revisa una muestra para saber si esas señales realmente se capturan. La dirección decide cambios en apetito, debida diligencia, alertas, capacitación o producto, con plazo y responsable. El expediente conserva versión de la ENR consultada, análisis de relevancia, fuentes internas, aprobación y evidencia de implementación. En la siguiente revisión se comparan incidentes y métricas para confirmar si la traducción fue razonable o necesita ajuste.
Criterio de cierre. Documente también riesgos nacionales analizados y descartados, con una razón vinculada al modelo. Esa lista evita que una revisión futura confunda omisión con decisión. Cuando la cartera o el canal cambien, los descartes se reabren y se comparan con nuevos datos antes de mantener la conclusión.
Base legal
Diseñar una metodología EBR para SOFOM
Cómo llevarlo a operación
Documente cada variable y su fuente. Trate valores desconocidos expresamente; no los convierta en riesgo bajo. Valide la distribución para evitar que todos los clientes queden en la misma banda.
Patrón observado. Los modelos se vuelven auditables cuando un tercero puede recalcular una muestra con el diccionario y obtener el mismo resultado.
Herramienta — ficha de metodología: objetivo; alcance; factores; catálogo; fuentes; limpieza; escalas; pesos; fórmula; controles; residual; umbrales; aprobación; recalculo; excepciones; validación; versiones. Añada un ejemplo sintético completo y una prueba de sensibilidad.
Construcción reproducible de la EBR. La metodología parte de unidades de análisis definidas —cliente, producto, canal, zona u operación— y establece factores observables para cada una. Escalas, pesos y reglas de datos faltantes se documentan antes de conocer el resultado agregado. Después se calcula riesgo inherente, se evalúa eficacia de mitigantes y se obtiene residual; mezclar control dentro del factor de exposición produce una reducción difícil de explicar.
Un conjunto de casos frontera prueba la metodología: dos clientes casi idénticos separados por un umbral, una estructura corporativa compleja, un dato desconocido y un control parcialmente efectivo. El analista debe reproducir la calificación desde fuentes y versión vigentes. Las excepciones se aprueban con fundamento y caducidad, sin cambiar manualmente el resultado para acomodar una decisión comercial. La documentación incluye diccionario de datos, fórmulas, gobernanza de cambios, validación, resultados, límites y acciones por nivel. Consejo o comité recibe distribución, concentraciones y residual fuera de apetito. La calibración posterior utiliza alertas, casos y pérdidas observadas, conservando por qué cada ajuste mejora discriminación y no sólo reduce volumen.
Criterio de cierre. La salida del modelo debe activar controles concretos: información adicional, aprobación, límites, monitoreo o rechazo. Pruebe que dos niveles distintos generan acciones distintas y que la decisión queda en el expediente. Una calificación que sólo colorea un tablero, sin efecto operativo, no completa el enfoque basado en riesgo.
Base legal
Catálogo de indicadores LD/FT
Evite indicadores duplicados que cuentan dos veces el mismo hecho. Distinga condición estática —estructura compleja— de comportamiento dinámico —desviación del perfil—. Los cambios de catálogo requieren análisis de impacto sobre clientes existentes.
Patrón observado. Un catálogo separado de la matriz facilita descubrir variables que el sistema nunca captura o captura con un catálogo distinto.
Cómo llevarlo a operación
código; nombre; riesgo; factor; definición; fuente; valores; score; desconocido; evidencia; frecuencia; responsable; regla de actualización; fecha efectiva; versión. Pruebe casos frontera y documente el resultado.
Indicador con propósito y dato verificable. El catálogo describe para cada señal el riesgo que pretende detectar, población, campos, ventana temporal, fórmula, umbral, exclusiones, severidad y acción. “Operación inusual” no es un indicador ejecutable; debe convertirse en una condición que el sistema pueda calcular y el analista pueda interpretar. Los campos inexistentes o de baja calidad se señalan como limitación, no se sustituyen por supuestos ocultos.
Para validar el catálogo, seleccione pago de tercero, fraccionamiento, cambio abrupto de comportamiento y coincidencia con lista. Genere un caso positivo y otro cercano que no deba alertar. La comparación revela duplicidades, huecos y umbrales que no discriminan. Cada cambio conserva versión, justificación, aprobación y prueba de regresión sobre una muestra estable. Los indicadores se vinculan a tipología, factor de EBR, responsable de análisis y métrica de desempeño. El tablero muestra cobertura, alertas útiles, falsos positivos explicados, datos desconocidos y casos confirmados. Retirar una regla exige evaluar el riesgo que queda sin cobertura y asignar un sustituto, evitando que la búsqueda de eficiencia silencie exposiciones relevantes.
Criterio de cierre. Cada alerta debe conservar qué versión del indicador la produjo. Si el catálogo cambia mientras el caso está abierto, el analista usa la regla vigente al evento y documenta cualquier reevaluación. Esto permite explicar diferencias entre casos semejantes y evita aplicar retroactivamente umbrales nuevos sin análisis.
Base legal
Riesgo inherente vs. residual
Cómo llevarlo a operación
Separe escala de riesgo y escala de control Para riesgo inherente vs. residual, la prueba se limita a sus datos, decisión y soporte propios. Valore cobertura, automatización, frecuencia, excepciones y resultados Para riesgo inherente vs. residual, la prueba se limita a sus datos, decisión y soporte propios. No reste puntos de forma arbitraria ni permita que un control genérico neutralice cualquier riesgo.
Patrón observado. Los equipos tienden a sobrevalorar controles que conocen Para riesgo inherente vs. residual, la prueba se limita a sus datos, decisión y soporte propios. Una muestra de expedientes o alertas aporta evidencia más objetiva que una autoevaluación.
Herramienta: para cada riesgo, describa escenario, probabilidad/impacto, inherente, control, diseño, prueba, hallazgo, eficacia, residual, apetito y acción. Haga que auditoría pueda seguir los soportes Para riesgo inherente vs. residual, la prueba se limita a sus datos, decisión y soporte propios.
Separación que evita dobles descuentos. El inherente refleja exposición antes de controles: naturaleza del cliente, producto, canal, geografía y comportamiento. El residual se calcula después de probar diseño y funcionamiento de mitigantes. Una política existente no reduce automáticamente el riesgo; debe mostrar cobertura, frecuencia, evidencia y resultados. Tampoco debe contarse el mismo control en varios factores sin explicar su contribución.
Use un caso con exposición alta y dos mitigantes: debida diligencia reforzada bien operada y monitoreo con fallas de datos. La primera puede disminuir parte del riesgo; el segundo conserva eficacia limitada hasta corregirse. El cálculo registra supuestos y sensibilidad para que un cambio razonable de peso no produzca saltos arbitrarios. Si el residual supera apetito, la respuesta puede ser condición, restricción, mejora o no inicio, pero necesita órgano competente y plazo. El expediente une matriz inherente, pruebas de control, evaluación de eficacia, residual, decisión y seguimiento. En revisiones futuras se comparan incidentes y excepciones para verificar que la reducción declarada se observó en la práctica.
Base legal
CNBV, normativa PLD/FT Para riesgo inherente vs. residual, la prueba se limita a sus datos, decisión y soporte propios.
Para riesgo inherente vs. residual, la prueba se limita a sus datos, decisión y soporte propios.
Justificar ponderaciones internas
Pruebe concentración y correlación. Producto y transaccionalidad pueden medir parcialmente el mismo fenómeno; si ambos pesan mucho, lo duplican. Use comité para debatir, no sólo aprobar.
Patrón observado. La sensibilidad revela cuando un factor dominante vuelve irrelevantes los demás. Ajustar antes del lanzamiento evita recalificar toda la cartera sin explicación.
Cómo llevarlo a operación
hipótesis; evidencia; peso propuesto; escenarios; distribución; sensibilidad ±; correlación; decisión; fecha; versión. Conserve alternativas rechazadas y motivo. Tras operar, compare pesos con alertas y hallazgos.
Fundamento para cada peso. Las ponderaciones deben reflejar importancia relativa y calidad de evidencia, no preferencias del preparador. El expediente explica qué riesgo representa cada factor, por qué merece determinado peso, cómo interactúa con otros y qué ocurriría si faltara el dato. Fuentes internas, ENR, tipologías, cartera e incidentes pueden apoyar la decisión, siempre con fecha de corte.
La validación modifica un peso a la vez y observa clientes que cambian de nivel. Si pequeñas variaciones alteran una proporción desmedida o si un factor domina sin razón, el modelo necesita ajuste. También se comparan casos conocidos de mayor y menor exposición para comprobar orden lógico. Las decisiones comerciales no se usan como objetivo de calibración. El comité recibe análisis de sensibilidad, distribución, excepciones y límites, y deja constancia del criterio adoptado. Cada versión conserva fórmula, datos, resultados y aprobación. Cuando la evidencia sea insuficiente, puede emplearse una postura conservadora temporal con plan de obtención de datos, evitando presentar una estimación como verdad empírica.
Criterio de cierre. Compare la ponderación con capacidad de medición: un factor teóricamente importante pero alimentado por datos incompletos necesita tratamiento explícito. Puede aumentar incertidumbre, activar una regla conservadora o generar un proyecto de datos. Reducir su peso sólo porque es difícil medirlo ocultaría la limitación en lugar de administrarla.
Base legal
Calibración inicial de indicadores
Cómo llevarlo a operación
Use una muestra representativa o escenarios sintéticos y conserve antes/después. Si pocos clientes concentran riesgo, revise si es real o producto de un dato defectuoso.
Patrón observado. Los modelos mejoran cuando cumplimiento registra por qué una alerta fue útil o falsa, no sólo que se cerró.
Herramienta: versión; muestra; supuestos; distribución; percentiles; extremos; desconocidos; capacidad; umbral; resultado; aprobación; fecha de revalidación. Cualquier ajuste material requiere regresión y análisis de impacto.
Calibración antes de acumular historia propia. La etapa inicial combina juicio experto documentado, datos de pruebas, información del mercado y escenarios sintéticos. Para cada indicador se define población, frecuencia esperada y resultado de casos positivos y negativos. Los umbrales provisionales se etiquetan como tales y se fija una fecha para revisarlos con operación real.
Una corrida paralela sobre datos históricos disponibles o cartera simulada permite medir volumen, duplicidad y concentración. El equipo inspecciona manualmente alertas de distintos rangos, no sólo las más altas, y registra por qué fueron útiles o irrelevantes. Si una regla genera silencio total, se verifica primero la alimentación de datos; si produce exceso, se analiza causa antes de subir el umbral. Los cambios se someten a regresión para asegurar que casos críticos sigan detectándose. El paquete de calibración incluye hipótesis, muestra, resultados, limitaciones, aprobación y fecha de recalibración. Después del lanzamiento, el tablero compara expectativa con alertas, casos escalados y calidad de datos para convertir la configuración inicial en evidencia acumulada.
Criterio de cierre. Defina por adelantado qué evidencia justificará mover un umbral: tamaño mínimo de muestra, estabilidad, casos confirmados y ausencia de pérdida crítica. La fecha de revisión no obliga a modificarlo; obliga a documentar por qué se conserva o cambia con base en resultados comparables.
Base legal
Qué debe probar la operación frente al manual
Controle versiones, aprobación, capacitación y fecha efectiva. Los procedimientos técnicos pueden vivir en anexos, pero deben enlazarse sin contradicción.
Patrón observado. Las palabras “automáticamente” y “siempre” son banderas de prueba: exigen demostrar que no existen rutas alternativas no documentadas.
Cómo llevarlo a operación
seleccione diez afirmaciones; rastree evidencia; pruebe excepción; registre brecha; asigne corrección; actualice manual/sistema; capacite; y repita. Incluya proveedor y contingencia.
Del texto normativo al resultado del sistema. Seleccione obligaciones concretas del manual y conviértalas en pruebas: dato que debe capturarse, momento, regla, decisión, registro y conservación. Para identificación se inspecciona un expediente; para acumulación se combinan operaciones; para listas se prueba actualización; para alertas se sigue un caso hasta su cierre. Cada resultado se compara con la versión vigente del manual, no con una presentación del proveedor.
Las diferencias se clasifican cuidadosamente. Puede fallar el diseño documental, la parametrización, la interfaz o la ejecución humana; corregir sólo el síntoma deja la otra capa desalineada. Una prueba negativa omite un campo esencial y otra altera la fecha para confirmar que el control responde. El expediente contiene requisito, caso, datos, salida esperada, salida observada, evidencia y defecto. Después de la remediación se ejecuta regresión y se actualiza el elemento que realmente estaba equivocado. La aprobación final identifica limitaciones aceptadas y controles compensatorios con vencimiento. Así, la operación demuestra cumplimiento reproducible en vez de una coincidencia superficial entre manual y pantalla.
Criterio de cierre. Incorpore a usuarios de negocio en la aceptación: una salida técnicamente correcta puede no generar la tarea o escalamiento que promete el manual. La evidencia debe incluir la notificación, la cola de trabajo y el cierre por el rol correspondiente, no únicamente el valor calculado en la base.
Base legal
Ligar manual, auditoría y sistema
Use IDs estables para obligaciones y controles. No cambie nombres en cada documento. Los hallazgos se vinculan a control, versión y prueba de cierre.
Patrón observado. Esta matriz reduce respuestas narrativas extensas a requerimientos, porque cada numeral ya tiene evidencia localizada.
Cómo llevarlo a operación
inventario; mapeo; huecos; pruebas; hallazgos; plan; evidencia; re-prueba; aprobación. Revise trimestralmente una muestra y después de cambios materiales.
Triángulo de consistencia. El manual define la regla, el sistema la ejecuta y la auditoría comprueba diseño y funcionamiento. Un índice único enlaza párrafo del manual, requisito de configuración, prueba, evidencia y procedimiento de auditoría. Cuando cambia una regla, el control abre tareas para las otras dos capas; ninguna versión se considera cerrada hasta completar la cadena.
El revisor toma tres hallazgos: uno documental, uno tecnológico y uno operativo. Para cada uno identifica causa, población afectada, corrección, actualización de manual o sistema y re-prueba independiente. Si auditoría sólo recomienda “ajustar política” ante una falla de interfaz, el remedio es insuficiente. La bitácora conserva fechas efectivas para saber qué regla aplicaba a cada operación. Además se prueba que la muestra del auditor provenga de población completa y que los logs no puedan editarse por el preparador. El informe al órgano muestra discrepancias entre capas, riesgo residual y acciones vencidas. La trazabilidad permite que la siguiente auditoría verifique eficacia sin reconstruir desde cero la relación entre documentos y configuración.
Criterio de cierre. Mantenga un inventario de controles sin prueba automatizada y explique cómo auditoría obtiene población completa. Si el sistema no conserva cierto dato, la limitación se remedia o se cubre temporalmente con evidencia controlada. Una hoja manual sin dueño ni trazabilidad no cierra la relación entre las tres capas.
Base legal
Evidencia de eficacia de mitigantes
Combine métricas y pruebas cualitativas. Una tasa baja de alertas puede ser eficacia o mala parametrización; investigue la causa. Reporte tendencias al CCC/consejo y excepciones materiales.
Patrón observado. La evidencia más convincente incluye un fallo detectado y su corrección, porque demuestra que el control y gobierno reaccionan.
Cómo llevarlo a operación
riesgo; control; indicador; fuente; periodo; meta; resultado; muestra; excepción; causa; acción; re-prueba; residual. No cierre sólo con documento actualizado.
Eficacia observada, no existencia formal. Cada mitigante necesita una afirmación comprobable: qué riesgo reduce, sobre qué población, con qué frecuencia y mediante qué resultado. Para debida diligencia se mide cobertura y calidad; para monitoreo, detección y resolución; para capacitación, aplicación en casos; para segregación, autorizaciones y excepciones. La mera aprobación de una política acredita diseño documental, no operación.
La prueba toma una muestra ordinaria, una excepción y un fallo conocido. Se verifica si el control actuó a tiempo, dejó evidencia y cambió la decisión o exposición prevista. Los defectos se cuantifican por población y periodo para evitar extrapolaciones intuitivas. Cuando un mitigante es parcialmente efectivo, la evaluación residual conserva esa limitación y asigna remediación. El expediente reúne objetivo, dueño, datos, muestra, resultado, incidencia y re-prueba. Indicadores como expedientes completos o alertas cerradas se complementan con calidad y oportunidad. El órgano recibe una conclusión por mitigante y por riesgo, de modo que pueda decidir inversión, restricción o aceptación sobre evidencia de funcionamiento real.
Criterio de cierre. La frecuencia de prueba debe responder a volatilidad, cambios y criticidad. Un control estable puede revisarse periódicamente; uno recién corregido requiere seguimiento más cercano. El calendario deja claro cuándo una evidencia antigua deja de ser suficiente para sostener la reducción de riesgo declarada.
El registro de prueba identifica además el periodo exacto durante el cual puede sostenerse la conclusión de eficacia.
Base legal
Siguiente paso
SVA.LAW puede diagnosticar coherencia entre manual, EBR, datos y sistema, y preparar pruebas reutilizables en auditoría y supervisión.
Información general; la metodología debe adaptarse al modelo y disposición vigente.