Auditoría CNBV a SOFOM ENR: Qué revisan y cómo prepararse

¿Por qué la CNBV solo audita el PLD de las SOFOMes ENR?

Porque así lo establece el Art. 56 de la LGOAAC. Este artículo dispone textualmente que la inspección y vigilancia de las SOFOMes no reguladas, centros cambiarios y transmisores de dinero se llevará a cabo por la CNBV «exclusivamente para verificar el cumplimiento de los preceptos a que se refiere el artículo 95 Bis de esta Ley y las disposiciones de carácter general que de éste deriven».

La palabra clave es exclusivamente. Cuando la CNBV visita una SOFOM ENR, no puede revisar la cartera crediticia, la contabilidad general, el gobierno corporativo ni la situación financiera de la entidad. Su alcance está limitado por ley a los seis incisos del Art. 95 Bis: conocimiento del cliente, documentación, resguardo de información, capacitación, sistemas automatizados y estructura de cumplimiento.

Esto tiene una implicación práctica importante: el programa PLD es la única área de compliance que puede auditarse en una auditoría CNBV SOFOM ENR. Si fallas en esta área, no hay otra dimensión operativa que compense. El Art. 95 Bis concentra toda la relación supervisora entre tu entidad y la CNBV.

¿Qué tipos de visita puede realizar la CNBV?

El Art. 57 de la LGOAAC establece tres tipos de visita de inspección que la CNBV puede practicar a las SOFOMes ENR, todas limitadas a verificar el Art. 95 Bis.

La CNBV no está obligada a llevar a cabo visitas a solicitud de particulares ni a proporcionar información sobre sus inspecciones (Art. 57, párrafo 4). Además, puede contratar auditores externos y otros profesionales para que la auxilien en las funciones de inspección (Art. 57, párrafo 2).

¿Qué revisa la CNBV en cada inciso del Art. 95 Bis?

Durante una auditoría CNBV SOFOM ENR, los inspectores verifican el cumplimiento de cada uno de los seis incisos del Art. 95 Bis de la LGOAAC. El Art. 57 faculta a la CNBV para «revisar, verificar, comprobar y evaluar los recursos, obligaciones y patrimonio, así como las operaciones, funcionamiento, y en general, todo lo que deba constar en los libros, registros, sistemas y documentos» para verificar el cumplimiento del Art. 95 Bis.

a) Conocimiento del cliente (KYC)

La CNBV verifica que la SOFOM tenga políticas y procedimientos para el adecuado conocimiento de sus clientes, considerando sus antecedentes, condiciones específicas, actividad económica o profesional, y los lugares donde operan. Los inspectores revisan expedientes al azar para confirmar que la documentación corresponda al perfil declarado del cliente y que permita detectar, identificar y dar seguimiento a transacciones inusuales.

b) Información y documentación

Se verifica que la SOFOM recabe la información y documentación que acredite plenamente la identidad de sus clientes para la apertura de cuentas o celebración de contratos. Los inspectores solicitan expedientes específicos y comprueban que contengan identificación oficial, comprobante de domicilio, datos de actividad económica y, cuando aplique, la identificación del propietario real.

c) Resguardo y seguridad de información

La CNBV verifica que la entidad resguarde y garantice la seguridad de la información relativa a la identificación de clientes y a los reportes presentados. El plazo de conservación es de al menos 10 años. Los inspectores pueden solicitar expedientes antiguos para comprobar que la información sea recuperable, íntegra y segura.

d) Capacitación del personal

Se revisa que la SOFOM cuente con programas de capacitación en materia PLD/FT para su personal. Los inspectores solicitan evidencia: planes de capacitación, listas de asistencia, constancias, materiales didácticos y evaluaciones. Verifican que la capacitación sea periódica y que cubra al personal relevante: directivos, oficial de cumplimiento y empleados con relación directa con clientes.

e) Sistemas automatizados — las 19 funciones que inspeccionan

Este inciso es donde la auditoría CNBV SOFOM ENR se vuelve más técnica y detallada. La CNBV no solo verifica que la SOFOM tenga un sistema automatizado PLD: aplica un checklist de 19 tareas de verificación establecido en los Lineamientos de Inspección PLD 2024.

Las primeras 13 tareas corresponden a las funciones de la Disposición 43a de las DCG (Capítulo IX — Sistemas Automatizados): conservar expedientes, generar reportes, clasificar operaciones, monitorear por cliente, ejecutar alertas de perfil transaccional, contribuir a la detección de inusuales/preocupantes, base consolidada por cliente, registros históricos, canal de reporte interno, seguridad de información, información para EBR, alertas PEPs/bloqueados/países de riesgo, y verificación de documentos no presenciales.

Las 6 tareas adicionales que los inspectores verifican más allá de la Disp. 43a son:

Los inspectores también verifican la regla de los 6 meses: que el sistema use el perfil declarado por el cliente durante los primeros seis meses de la relación comercial y, después, compare contra el historial real acumulado para detectar desviaciones. Adicionalmente, la CNBV recomienda que las entidades no usen las configuraciones de fábrica de los proveedores de software, sino que personalicen alertas y parámetros según su operativa real y nivel de riesgo.

El incumplimiento del inciso (e) es infracción grave sin posibilidad de autocorrección: la multa va de 10,000 a 100,000 días de salario.

f) Estructura interna de cumplimiento

Se verifica que exista un área de cumplimiento en materia PLD/FT con las funciones, recursos y autonomía adecuados. Los inspectores revisan el nombramiento del oficial de cumplimiento, su perfil, sus funciones documentadas, y su línea de reporte al consejo de administración. El incumplimiento de este inciso también es infracción grave sin autocorrección.

¿Qué documentación solicita la CNBV durante la visita?

Los inspectores pueden solicitar cualquier libro, registro, sistema o documento que deba constar para verificar el cumplimiento del Art. 95 Bis. Tener esta documentación organizada y accesible es la mejor forma de enfrentar una auditoría CNBV SOFOM ENR sin contratiempos.

Si durante la visita se conocen hechos relevantes que no puedan acreditarse con la documentación de la sociedad, la CNBV puede requerir la comparecencia del representante legal o funcionario competente para que aclare los hechos (Art. 57-A de la LGOAAC).

¿Cómo es el proceso de una auditoría CNBV SOFOM ENR?

El proceso de inspección sigue una secuencia establecida por la LGOAAC y las disposiciones aplicables. Conocer cada etapa permite a la SOFOM ENR prepararse adecuadamente.

1. Notificación: La CNBV notifica a la SOFOM la visita de inspección. En el caso de visitas ordinarias, forman parte del programa anual. Las visitas especiales y de investigación pueden notificarse con menor anticipación.
2. Inicio de la inspección: El principal funcionario de la SOFOM (o quien lo supla) debe atender al inspector de la CNBV (Art. 57, párrafo 3). Negarse o obstruir la inspección es infracción sancionada con multa de 4,000 a 30,000 días de salario (Art. 89, Fr. XVII).
3. Revisión documental y operativa: Los inspectores revisan documentación, expedientes, sistemas y registros para verificar el cumplimiento de cada inciso del Art. 95 Bis. Pueden solicitar demostraciones del sistema automatizado y comparecencias del personal.
4. Levantamiento de observaciones: Si los inspectores detectan irregularidades, las documentan con los hallazgos específicos, el inciso incumplido y la evidencia recopilada.
5. Procedimiento sancionador: El Art. 88 Bis establece el procedimiento administrativo. La CNBV notifica las irregularidades detectadas y otorga derecho de audiencia para que la SOFOM presente su defensa (Art. 88 Bis, reformado DOF 24-01-2024).
6. Resolución: La CNBV emite resolución imponiendo las multas correspondientes o absolviendo a la entidad. Los procedimientos sancionadores se inician con independencia de la opinión de delito que la CNBV pueda emitir (Art. 88 Bis 2).

El principal funcionario de la SOFOM puede interponer recurso de revisión ante la Junta de Gobierno de la CNBV dentro de los 15 días hábiles siguientes a la notificación de la resolución (Art. 92). La interposición del recurso suspende los efectos de la multa (Art. 92 Bis).

¿Cuáles son los hallazgos frecuentes en una auditoría CNBV SOFOM ENR?

Con base en los incisos del Art. 95 Bis y la experiencia en el sector, estos son los hallazgos más comunes:

Expedientes KYC incompletos — incisos a) y b)

Falta de documentación actualizada de clientes, identificaciones vencidas, ausencia de comprobante de domicilio reciente, datos de actividad económica no corroborados, o falta de identificación del propietario real cuando aplica. Es el hallazgo más frecuente porque afecta directamente la base del programa PLD.

Sistema automatizado insuficiente o inexistente — inciso e)

Uso de hojas de cálculo en lugar de un sistema automatizado, sistema que no genera alertas automáticas, monitoreo por lotes en lugar de continuo, o umbrales no configurados según las disposiciones vigentes. Los Lineamientos 2024 agregan nuevos puntos de falla: falta de gestión de alertas con las 8 sub-funciones, ausencia de la regla de 6 meses para el perfil transaccional, no agrupar operaciones con los 5 umbrales, o usar configuraciones de fábrica del proveedor sin personalizar. Esta es infracción grave: la multa es directa y no admite autocorrección.

Ausencia o deficiencia del área de cumplimiento — inciso f)

No tener oficial de cumplimiento designado formalmente, que el oficial no cuente con el perfil adecuado, que no tenga línea directa de reporte al consejo, o que el área no cuente con los recursos necesarios para operar. También es infracción grave sin autocorrección.

Capacitación sin evidencia — inciso d)

Declarar que existe programa de capacitación pero no poder demostrar su ejecución: sin listas de asistencia firmadas, sin constancias, sin evaluaciones. La capacitación debe ser demostrable, no solo declarativa.

Reportes no presentados o extemporáneos — Fracción II

No presentar reportes de operaciones inusuales dentro de las 24 horas, omitir reportes de operaciones relevantes, o no reportar transferencias internacionales o divisas por montos que superan el umbral. La multa por no reportar operaciones inusuales es del 10% al 100% del valor de la operación no reportada.

Información no conservada — inciso c)

No poder recuperar expedientes de clientes o reportes con antigüedad dentro del período de 10 años de conservación obligatoria. Respaldos inexistentes, corruptos o no verificados.

¿Qué sanciones impone la CNBV tras una auditoría CNBV SOFOM ENR?

Las multas por violaciones al Art. 95 Bis varían según la gravedad del incumplimiento. Todas se calculan en días de salario mínimo general vigente en la Ciudad de México al momento de la infracción.

Además de las multas a la entidad, el Art. 94 de la LGOAAC permite imponer multas de hasta 5,000 días de salario a cada consejero, director, administrador, funcionario, apoderado o empleado que haya causado o intervenido en la irregularidad. La responsabilidad es individual.

La CNBV también considera atenuantes: si el presunto infractor acredita haber resarcido el daño y aporta información que coadyuve en las atribuciones de inspección y vigilancia (Art. 88 Bis 1). Asimismo, las sanciones se reducen en un tercio cuando se acredite haber reparado el daño o resarcido el perjuicio (Art. 94 Bis).

¿Qué es el programa de autocorrección y cuándo aplica?

El programa de autocorrección (Arts. 94 Bis 1 a 94 Bis 4 de la LGOAAC) permite a una SOFOM ENR corregir irregularidades detectadas por su propia área de vigilancia antes de que la CNBV las identifique, evitando así la sanción administrativa.

Cuándo sí aplica

La SOFOM puede presentar un programa de autocorrección cuando detecte por sí misma irregularidades o incumplimientos al Art. 95 Bis. El programa debe describir las irregularidades, las circunstancias que las originaron y las acciones correctivas adoptadas o planeadas. Si la CNBV no ordena modificaciones en 20 días hábiles, el programa se tiene por autorizado. Mientras esté vigente, la CNBV se abstiene de imponer sanciones por esas irregularidades.

Cuándo no aplica

El Art. 94 Bis 1 establece tres casos en los que no procede la autocorrección:

1. Irregularidades detectadas previamente por CNBV: Si la CNBV ya notificó la irregularidad (en vigilancia) o la detectó durante una visita de inspección, ya no puede autocorregirse.
2. Delitos: Cuando la contravención corresponda a alguno de los delitos contemplados en la LGOAAC (Arts. 96-101 Bis 2).
3. Infracciones graves: No tener sistemas automatizados (inciso e) y no tener área de cumplimiento (inciso f) son infracciones graves. Tampoco pueden autocorregirse: operar con personas bloqueadas y no reportar operaciones inusuales.

Si el programa de autocorrección se incumple, la CNBV impone la sanción correspondiente aumentada hasta en un 40% (Art. 94 Bis 3). Por eso es fundamental cumplir los plazos comprometidos en el programa.

¿La auditoría CNBV SOFOM ENR puede derivar en consecuencias penales?

Sí. Una auditoría CNBV SOFOM ENR no solo tiene consecuencias administrativas. El Art. 88 Bis 2 de la LGOAAC establece expresamente que los procedimientos sancionadores se inician «con independencia de la opinión de delito que, en su caso, emita la Comisión Nacional Bancaria y de Valores en términos de los artículos 95 y 95 Bis».

Si durante la inspección la CNBV detecta que la SOFOM omitió reportar operaciones que pudieran estar vinculadas con lavado de dinero (Art. 400 Bis CPF), puede emitir opinión de delito y derivar el caso a la SHCP. La reforma de julio 2025 al Art. 400 Bis estableció que la SHCP tiene el carácter de «víctima u ofendida» para ejercer la acción penal.

El escalamiento penal sigue esta ruta:

1. La CNBV detecta irregularidades PLD durante la auditoría a la SOFOM ENR
2. La CNBV emite opinión de delito (Art. 88 Bis 2) y la comunica a la SHCP
3. La SHCP investiga con sus facultades de fiscalización y, si encuentra elementos, presenta denuncia penal
4. El Ministerio Público investiga (Art. 400 Bis, párrafo 3: está facultado en todo momento para investigar cuando se utilicen servicios de instituciones del sistema financiero)
5. Consecuencias penales: Pena de 5 a 15 años de prisión y 1,000 a 5,000 días multa por lavado de dinero. Si el responsable es personal del régimen PLD (consejero, administrador, funcionario, empleado o apoderado de la SOFOM), la pena se agrava de un tercio a la mitad: de 6.67 a 22.5 años (Art. 400 Bis 1 CPF), más inhabilitación

La auditoría CNBV SOFOM ENR no es solo un trámite administrativo: es el punto donde la prevención puede escalar a la persecución penal. Mantener el programa PLD en orden no solo evita multas, también protege contra responsabilidades penales personales.

Checklist completo para una auditoría CNBV SOFOM ENR

Este checklist integra los seis incisos del Art. 95 Bis, la Disposición 43a de las DCG y las 19 tareas de los Lineamientos de Inspección PLD 2024 de la CNBV. Úsalo como guía de preparación permanente para tu auditoría CNBV SOFOM ENR.

a) Conocimiento del cliente

1. Política de KYC documentada y actualizada
2. Criterios de clasificación de riesgo por cliente (bajo, medio, alto)
3. Procedimiento de debida diligencia reforzada para clientes de alto riesgo
4. Expedientes de clientes completos y organizados (verificar muestra aleatoria)
5. Procedimiento para identificar y dar seguimiento a PEPs

b) Documentación

1. Identificación oficial vigente de cada cliente
2. Comprobante de domicilio reciente
3. Datos y documentos de actividad económica
4. Identificación del propietario real cuando aplique
5. Contratos firmados con la documentación respaldatoria

c) Resguardo (10 años)

1. Política de resguardo y seguridad de información PLD
2. Respaldos automatizados verificados periódicamente
3. Control de acceso a expedientes e información sensible
4. Capacidad de recuperar expedientes con antigüedad de hasta 10 años
5. Registro de reportes presentados a la SHCP vía CNBV
6. Datos de transferencias nacionales e internacionales conservados (6 sub-tipos según Lineamientos Tarea 16)

d) Capacitación

1. Programa anual de capacitación PLD documentado
2. Listas de asistencia firmadas por los participantes
3. Constancias de capacitación emitidas
4. Materiales didácticos disponibles
5. Evaluaciones aplicadas y resultados

e) Sistemas automatizados — 19 funciones verificadas

Disposición 43a (13 funciones base):

1. Conservar, actualizar y consultar expedientes KYC (Fr. I)
2. Generar y transmitir reportes ROR, ROI, ROIP, activos virtuales, transferencias, ME (Fr. II)
3. Clasificar operaciones/productos para detectar inusuales (Fr. III)
4. Detectar y monitorear operaciones por cliente — 11 tipos con umbrales ($500 USD, $300K PF, $500K PM, etc.) (Fr. IV)
5. Ejecutar sistema de alertas de perfil transaccional — regla de 6 meses implementada (Fr. V)
6. Contribuir a detección/análisis de inusuales y preocupantes con info histórica, saldos promedio (Fr. V Bis)
7. Base consolidada por cliente: contratos, cuentas, saldos, operaciones (Fr. VI)
8. Registros históricos de posibles inusuales y preocupantes (Fr. VII)
9. Canal seguro, confidencial y auditable para reporte interno (Fr. VIII)
10. Seguridad de información: integridad, disponibilidad, auditabilidad, confidencialidad (Fr. IX)
11. Información para la Metodología EBR Entidad (Fr. IX Bis)
12. Alertas para PEPs, lista de personas bloqueadas y países de alto riesgo (Fr. X)
13. Verificación de datos y documentos no presenciales (Fr. XI)

Lineamientos 2024 (6 funciones adicionales):

14. Trazabilidad de activos virtuales: origen y destino
15. Gestión de alertas con 8 sub-funciones: consulta por periodo, perfil histórico, resultado de análisis, evidencia, asignación a analistas, estatus, días transcurridos, datos demográficos/transaccionales
16. Conservación de datos de transferencias nacionales/internacionales (6 sub-tipos)
17. Agrupación de operaciones con 5 umbrales: ≥$500 USD ME, >$300K MXN PF, >$500K MXN PM, ≥$1M MN/mes, ≥$100K USD ME/mes
18. Recabar identificación por umbrales: ≥$500 USD individual, ≥$1M MN/mes, ≥$100K USD/mes
19. Alertamiento para FT, narcotráfico, fentanilo y armas de destrucción masiva

Configuración: Alertas y umbrales personalizados según operativa real y EBR (no usar configuraciones de fábrica del proveedor).

f) Área de cumplimiento

1. Nombramiento formal del oficial de cumplimiento
2. Perfil del oficial documentado y adecuado
3. Organigrama del área de cumplimiento
4. Línea directa de reporte al consejo de administración
5. Actas del consejo donde se presentan informes PLD
6. Manual de cumplimiento PLD (Art. 87-P, inciso a)

Preguntas frecuentes sobre la auditoría CNBV SOFOM ENR

¿Con cuánta anticipación avisa la CNBV una visita de inspección?

Las visitas ordinarias forman parte del programa anual de la CNBV. Las visitas especiales y de investigación se realizan cuando el Presidente de la CNBV lo juzgue necesario, sin un plazo fijo de notificación previa. Por eso, la preparación debe ser permanente, no reactiva.

¿Qué pasa si me niego a recibir a los inspectores?

El Art. 57 de la LGOAAC establece que las SOFOMes ENR están obligadas a permitir las visitas de inspección. El principal funcionario de la entidad debe atender al inspector. Obstruir la inspección se sanciona con multa de 4,000 a 30,000 días de salario (Art. 89, Fr. XVII). Con el salario mínimo de 2026 en $278.80 MXN, esto equivale a entre $1,115,200 y $8,364,000 MXN.

¿La CNBV puede ordenar acciones a terceros por mi incumplimiento?

Sí. El Art. 95 Bis faculta a la CNBV para ordenar a instituciones de crédito, casas de bolsa y casas de cambio que suspendan o cancelen contratos con SOFOMes ENR que violen las obligaciones PLD. Perder la relación bancaria puede paralizar la operación de la SOFOM.

¿Cuántas funciones verifica la CNBV en el sistema automatizado?

Los Lineamientos de Inspección PLD 2024 establecen 19 tareas de verificación: 13 de la Disposición 43a de las DCG y 6 adicionales. El checklist incluye 11 tipos de operaciones monitoreadas, la regla de 6 meses para el perfil transaccional, 8 sub-funciones de gestión de alertas y 5 umbrales de agrupación de operaciones.

¿Puedo autocorregir si la CNBV ya inició la visita?

No. El Art. 94 Bis 1 establece que no pueden ser materia de autocorrección las irregularidades detectadas por la CNBV en el transcurso de una visita de inspección. La autocorrección solo funciona si la SOFOM detecta y reporta la irregularidad antes de que la CNBV la identifique.

¿Puedo impugnar la resolución de la CNBV?

Sí. El Art. 92 de la LGOAAC permite interponer recurso de revisión dentro de los 15 días hábiles siguientes a la notificación de la resolución. El recurso se presenta ante la Junta de Gobierno de la CNBV y suspende los efectos de la multa mientras se resuelve (Art. 92 Bis). La resolución del recurso debe emitirse en máximo 90 días hábiles (Presidente) o 120 días hábiles (Junta de Gobierno).

¿Una auditoría CNBV SOFOM ENR puede terminar en la cancelación del registro?

Sí. El Art. 87-K de la LGOAAC establece que el incumplimiento reiterado del Art. 95 Bis es causa de cancelación del registro ante CONDUSEF. La cancelación significa que la sociedad deja de ser SOFOM: pierde la capacidad legal para otorgar créditos, realizar arrendamiento financiero o factoraje. Consulta nuestra guía sobre el régimen antilavado en México para entender el marco completo.