Líneas de defensa

El ciclo de interacción, gestión, asesoría e información dentro del SCI mantiene la autogestión, autocontrol y autorregulación de sus líneas de defensa para fortalecerlo con base en:

Información relevante

• Durante 2023 no registramos eventos de materialización de riesgos relacionados con terceros.
• Capacitación sobre los principios de gestión de riesgos. Durante el segundo semestre de 2023 se convocó a todos los colaboradores (desde el más alto nivel hasta el más bajo) a realizar el curso mandatorio “Formación de ética y riesgos”, con el objetivo de reforzar sus conocimientos en esta materia.

Compromisos 2024

• Fortaleceremos los procesos para la gestión de riesgos relacionados con fraude y corrupción.
• Alinearemos los procesos y metodologías de gestión de riesgos a cambios normativos y corporativos.
• Continuaremos mejorando el modelo de gobierno y las capacidades de gestión de los riesgos de seguridad de la información y ciberseguridad.
• Seguiremos impartiendo a todos los colaboradores capacitación sobre los principios de gestión de riesgos para incrementar la concientización sobre este tema.

Gobierno de ciberseguridad

En el Consejo de Administración hay un consejero con amplia experiencia en riesgos; mientras tanto el Comité Ejecutivo cuenta con una directora ejecutiva de tecnología y un director de riesgo operativo y tecnológico. Estas instancias de Afore SURA participan activamente en la estrategia de seguridad de la información y ciberseguridad de la Compañía.

Principales iniciativas y líneas de acción que conforman el plan de seguridad de la información 2024

• Actualizaremos el modelo operativo para habilitar el Modelo Corporativo de Seguridad de la Información y Ciberseguridad.
• Definiremos una arquitectura de seguridad basada en el estándar Zero Trust.
• Ejecutaremos pruebas de seguridad y de penetración.
• Realizaremos mejoras continuas al servicio de Inteligencia y monitoreo de amenazas.
• Definiremos e implementaremos un programa para todos los colaboradores con el fin de garantizar que sean conscientes de los problemas de amenazas y la importancia de la seguridad de la información y ciberseguridad.
• Ejecutaremos un programa de clasificación y protección de la información.
• Llevaremos a cabo mejoras al proceso de monitoreo de seguridad.

Durante 2023 realizamos un proceso de identificación de riesgos y oportunidades ligados a la sostenibilidad, incluyendo aquellos relacionados al cambio climático. En la ejecución de este ejercicio participaron colaboradores de todas las direcciones ejecutivas de la Organización. Los resultados se informaron al Comité de Sostenibilidad de Afore SURA.

En los siguientes años llevaremos a cabo la selección de los riesgos materiales más relevantes con el fin de realizar mediciones de los potenciales impactos en caso de que se materializaran y, de ser necesario, poder definir las modificaciones sobre la estrategia de la Compañía.

A continuación, exponemos el listado de los eventos de riesgo, los canales de transmisión y las consecuencias que pueden presentarse. Cabe destacar que distintos eventos pueden utilizar los mismos canales de transmisión o tener consecuencias similares, aunque en diversas magnitudes, y que cada consecuencia tiene impactos diferentes en cada proceso y/o área de la Compañía.

ODS relacionado

La actividad de la Unidad de Auditoría Corporativa (UAC) es independiente y objetiva; está diseñada para agregar valor, mejorar las operaciones y el Sistema de Control Interno (SCI) de Afore SURA. Esta área reporta de manera periódica al Comité de Auditoría, mismo que se encuentra conformado por miembros independientes a la organización y consejeros patrimoniales que representan a los accionistas, lo cual fortalece la independencia y objetividad de la función. Entre los asuntos que se reportan a este órgano de gobierno se encuentran: el plan anual y sus resultados, la gestión de hallazgos, el presupuesto asignado para el cumplimiento de sus actividades, el equipo de trabajo y su plan de desarrollo y capacitación, el resultado del programa de aseguramiento y mejora de la calidad, la confirmación de independencia, el desempeño y la retribución económica del director de Auditoría, entre otros temas.

El Plan de Auditoría Interna de 2023 estuvo conformado por 15 trabajos de aseguramiento y 10 trabajos de asesoría; de los cuales, el 80% se enfocaron en la revisión de los procesos vinculados a la estrategia del negocio y 20% en la validación del cumplimiento de disposiciones legales emitidas por el regulador. Auditoría Interna finalizó su plan de auditoría de manera satisfactoria.

Auditoría Interna. Plan de trabajo 2024

A continuación, enumeramos algunos de los temas en los que se enfocará el equipo de Auditoría Interna.

• Incentivo a corto plazo y participación de los trabajadores en las utilidades (PTU).
• ASG (criterios Ambientales, Sociales y de Gobernanza).
• Depósitos no identificados.
• Niveles de servicio.
• Gobierno de nuevas tecnologías.
• Ciberseguridad y Seguridad de la Información.
• Traspasos.
• Política de Inversiones Personales.
• Compensación comercial.
• Vulnerabilidad ante el riesgo tecnológico.
• Condiciones de mercado.
• Protección de datos personales.
• Compras descentralizadas.
• Resiliencia ante escenarios de seguridad.
• Proyecto antifraude.