SOFOMs

SOFOM E.N.R. en México: constitución, PLD, productos y cumplimiento

En corto

Una Sociedad Financiera de Objeto Múltiple, Entidad No Regulada (SOFOM E.N.R.), puede realizar habitualmente y profesionalmente operaciones de crédito, arrendamiento financiero o factoraje financiero dentro del marco aplicable. “No regulada” no significa “sin regulación”: la entidad se relaciona con CONDUSEF, está sujeta a obligaciones PLD/FT y supervisión de la CNBV en esa materia, y debe coordinar contratos, comisiones, datos crediticios, gobierno y evidencia.

Mapa de seis componentes y cinco etapas del cumplimiento de una SOFOM E.N.R.
Una SOFOM operable alinea gobierno, PLD, producto, datos, evidencia y revisión durante todo su ciclo de vida.

Esta guía organiza 80 preguntas prácticas en ocho dossiers. Su propósito es ayudar a fundadores, consejos, responsables jurídicos, Oficiales de Cumplimiento y compradores a identificar qué decisión tomar y qué evidencia conservar.

Ruta rápida

Ruta rápida. Columnas: Si necesita… y Consulte.
Si necesita… Consulte
Constituir, transformar o iniciar operaciones Constitución, transformación y puesta en operación
Ordenar fechas, portales y acuses Calendario regulatorio
Diseñar consejo, poderes, OC y CCC Gobierno corporativo y PLD
Alinear manual, EBR y tecnología Manual, EBR y sistemas
Resolver KYC, UBO, PEP y alto riesgo KYC y beneficiario controlador
Analizar reportes, SITI y LPB SITI, reportes y LPB
Diseñar contratos y cargos de crédito Productos, CAT, comisiones y CONDUSEF
Comprar, vender o remediar una SOFOM M&A, financiamiento y remediación

Qué es y qué no es una SOFOM E.N.R.

La figura sirve para organizar profesionalmente determinados negocios de financiamiento. No es un banco, no autoriza captación del público ni convierte cualquier flujo en crédito. El diseño comienza por el producto real: quién entrega recursos, a quién, con qué obligación de restitución, qué garantías existen, quién cobra, qué terceros participan y cómo se contabiliza.

La denominación E.N.R. distingue a estas SOFOM de entidades reguladas en el sentido previsto por la LGOAAC. Aun así, existen obligaciones corporativas, registrales, de transparencia y protección al usuario, de información crediticia y de PLD/FT. Cada producto puede activar además reglas civiles, mercantiles, fiscales, de datos y consumo financiero.

El sistema de cumplimiento

Un programa funcional tiene seis capas conectadas:

  1. Gobierno: órganos, facultades, Oficial de Cumplimiento, CCC o consejo, auditoría y escalamiento.
  2. Normativa interna: manual, EBR, políticas de crédito, contratos, privacidad y procedimientos.
  3. Tecnología: onboarding, expediente, listas, alertas, cálculo, estados, reportes, SIC y bitácoras.
  4. Operación: originación, aprobación, disposición, pagos, cobranza, quejas y correcciones.
  5. Evidencia: versiones, actas, bases, pruebas, archivos enviados, folios y remediación.
  6. Revisión: monitoreo, auditoría, supervisión, cambios regulatorios y control de eficacia.

Si una capa contradice a otra, la SOFOM queda expuesta. Un manual puede decir que existe entrevista; la plataforma puede no capturarla. El contrato puede cobrar una comisión que RECO no refleja. El reporte SIC puede usar una fecha distinta de contabilidad. La prioridad es corregir la causa y no sólo el documento que la autoridad observó.

Ciclo de vida de una SOFOM

Diseño y vehículo

Compare constituir, transformar o adquirir. Defina productos, clientes, canal, fondeo y capacidad de cumplimiento antes de elegir el vehículo. Una sociedad antigua no ofrece ventaja si sus libros, impuestos o registros son inciertos.

Preparación regulatoria

Coordine dictamen técnico, SIPRES, SITI, UNE/REUNE, RECA/RECO, SIC, contratos, manual y sistemas. La secuencia depende del caso; cada actividad debe tener una condición clara de terminación.

Salida a producción

Pruebe el viaje del cliente completo y las excepciones. El comité de lanzamiento debe recibir evidencia, no sólo declaraciones de avance. Conserve acta de decisión y pendientes no críticos con responsable.

Operación y cambio

El calendario combina obligaciones periódicas y eventos. Cambios de accionistas, poderes, OC, producto, cargo, canal o proveedor pueden activar actualizaciones simultáneas. Ningún cambio material debe desplegarse sin análisis de impacto.

Auditoría, remediación o venta

Auditoría evalúa diseño e implementación. Los hallazgos se convierten en planes con causa, dueño, fecha y prueba. En M&A, esos mismos expedientes permiten verificar la entidad y asignar riesgos.

Gobierno y responsabilidad

El consejo o administrador conserva responsabilidades aunque contrate asesoría y tecnología. El OC necesita independencia, información y recursos; el CCC necesita datos y seguimiento; el proveedor necesita alcance y supervisión. Las actas deben mostrar análisis, decisión y cierre.

Una SOFOM pequeña puede tener una estructura más compacta, pero no una estructura informal. Si el consejo asume funciones que de otro modo corresponderían al CCC en el supuesto aplicable, debe documentarlas con igual disciplina.

PLD/FT basado en riesgo

El expediente mínimo no desaparece por riesgo bajo. La EBR agrega proporcionalidad: factores de cliente, producto, geografía, transacción y canal alimentan clasificación, diligencia y monitoreo. Los controles sólo reducen riesgo residual si funcionan y se puede probar.

Para personas morales, la entidad identifica representación, propiedad y control. Para clientes de alto riesgo, documenta fuente, propósito, aprobación y seguimiento. Para alertas y reportes, separa hechos, análisis y conclusión.

Productos, transparencia y datos

El producto debe mapear todos los flujos. Interés, comisión, gasto, seguro, tecnología, FX y cargo de tercero requieren naturaleza y soporte. Contrato, carátula, RECA, RECO, CAT, estado de cuenta y sistema deben coincidir.

La relación con SIC exige autorización, calidad y corrección. El dato crediticio no es un subproducto automático de contabilidad; necesita reglas, conciliación y trazabilidad.

Evidencia que una SOFOM debería poder mostrar

  • cadena corporativa, libros, poderes y nombramientos;
  • dictamen y expediente de solicitud/renovación;
  • manual, EBR, versiones y aprobaciones;
  • configuración y pruebas del sistema;
  • expedientes y decisiones de alto riesgo;
  • alertas, reportes, archivos y folios;
  • contratos, carátulas, cargos y registros;
  • reportes SIC y conciliaciones;
  • auditorías y remediaciones;
  • calendario y bitácora de eventos.

Diagnóstico de 12 preguntas

  1. ¿El objeto social coincide con productos y flujos reales?
  2. ¿La entidad puede recuperar todos sus accesos sin un proveedor?
  3. ¿El dictamen está vigente y su expediente completo?
  4. ¿Manual, EBR y sistema comparten definiciones?
  5. ¿El órgano competente revisa información PLD útil?
  6. ¿Cada cliente persona moral llega a personas físicas bajo una metodología documentada?
  7. ¿Las alertas tienen dueño, plazo y evidencia de cierre?
  8. ¿Los reportes pueden reconstruirse desde la base hasta el folio?
  9. ¿Cada cargo coincide en contrato, carátula, RECO y sistema?
  10. ¿La información SIC concilia con cartera y contabilidad?
  11. ¿Los cambios materiales activan una revisión multidisciplinaria?
  12. ¿Los hallazgos cerrados cuentan con prueba de eficacia?

Una respuesta negativa no siempre significa incumplimiento, pero sí una hipótesis que debe investigarse.

Cómo leer el cumplimiento por etapas

La misma obligación cambia de forma según el momento de la entidad. Una SOFOM en diseño necesita demostrar que sus decisiones tienen dueño y dependencia. Una entidad preoperativa debe probar configuración y ceros con bases. Una entidad con cartera necesita conciliar clientes, operaciones, estados y reportes. Una SOFOM en venta debe convertir todo lo anterior en evidencia transferible.

Etapa 1: diseño

El entregable central es un mapa de modelo: producto, cliente, canal, fondeo, flujo, terceros y datos. A partir de él se redactan estatutos, plan general, manual, política de crédito, contrato y arquitectura. Empezar por formatos separados suele producir contradicciones. La pregunta de control es: ¿cada verbo del contrato y plan corresponde a un actor, sistema y evidencia?

Etapa 2: preparación

La entidad completa dictamen, registros, gobierno, contrato vigente con una sociedad de información crediticia, cuentas, proveedores y pruebas. “Disponible” no es “operativo”: un usuario SIC sin contrato vigente o un sistema sin escenarios negativos no supera la puerta de salida. El órgano competente debe recibir una matriz de bloqueadores y no una presentación que sólo muestre avances.

Etapa 3: primera operación

El primer cliente es una prueba regulatoria completa. Preserve qué documentos se recibieron, cómo se determinó propietario real, quién aprobó riesgo y crédito, qué contrato se firmó, cómo se dispuso, qué dato llegó a SIC y qué alertas se ejecutaron. El objetivo no es producir un expediente perfecto para exhibición, sino verificar que la operación ordinaria genera evidencia sin intervención extraordinaria.

Etapa 4: operación recurrente

El control se desplaza de existencia a eficacia. El consejo y OC necesitan tendencias: expedientes vencidos, alertas envejecidas, reportes corregidos, diferencias SIC, quejas, cambios y remediaciones. Una baja cantidad de incidentes no es automáticamente buena; puede indicar reglas mal configuradas o falta de detección.

Etapa 5: cambio, auditoría o venta

Cada modificación de control, producto, cargo, canal o proveedor debe activar una ficha de impacto. Auditoría prueba muestras y evidencia. En M&A, el comprador verifica continuidad y asigna riesgos. Una entidad madura puede entregar un paquete de evidencia por obligación sin depender de una persona específica.

La regla de consistencia entre documentos y operación

Para evaluar un control, siga una afirmación a través de seis capas:

  1. Fundamento: qué exige o permite la regla vigente.
  2. Gobierno: quién decidió y quién responde.
  3. Documento: dónde se describe la política o el producto.
  4. Sistema: cómo se ejecuta o bloquea.
  5. Operación: qué hace el usuario o colaborador.
  6. Evidencia: qué registro permite reconstruirlo.

Ejemplo: “se consulta una lista antes de disponer”. El fundamento define el deber; el manual señala momento y responsable; el sistema ejecuta y registra; operaciones no puede saltarlo; auditoría toma una muestra; y una incidencia genera remediación. Si falta una capa, la afirmación requiere corrección o formulación más precisa.

Esta regla también sirve para producto. Un cargo tecnológico debe aparecer con la misma naturaleza en propuesta, contrato, carátula, RECO, CAT, sistema y estado. Si una capa lo trata como obligatorio y otra como opcional, no existe un producto único y comprensible.

El contrato con una SIC como control de continuidad

La relación con sociedades de información crediticia merece atención propia. Conforme a las Disposiciones en materia de registros de CONDUSEF, la SOFOM debe mantener contrato vigente con al menos una SIC; los artículos 59 y 61 son la referencia próxima para la obligación y sus efectos registrales. Por eso, una negociación, carta de intención o acceso técnico sin contrato vigente no basta.

El control tiene tres dimensiones:

  • jurídica: contrato, anexos, vigencia, terminación y confidencialidad;
  • operativa: usuarios, layouts, autorizaciones, envíos, respuestas y controversias;
  • calidad: conciliación entre cartera, contabilidad, estados y dato reportado.

En una entidad sin cartera, el contrato sigue siendo relevante y el cero requiere evidencia. En una compraventa, el comprador debe confirmar que el contrato puede continuar o planear un traslape. En un cambio de producto, debe verificar cobertura y catálogos. La omisión no se resuelve enviando un archivo retrospectivo: requiere restaurar relación y analizar consecuencias.

Modelo de las tres líneas adaptado a una SOFOM

La primera línea —producto, crédito, operaciones, cobranza y atención— genera y controla el dato. La segunda —cumplimiento, riesgo y legal— diseña marcos, monitorea y escala. La tercera —auditoría— evalúa de manera independiente. En una entidad pequeña, las personas pueden ser pocas, pero las funciones no deben colapsar en una sola aprobación.

Una matriz RACI debe cubrir al menos: alta, propietario real, alto riesgo, crédito, disposición, cambios contractuales, comisiones, SIC, alertas, reportes, quejas, accesos y remediación. Cuando una persona acumula funciones, establezca revisión posterior, firma conjunta o muestreo independiente.

El consejo no ejecuta diariamente el control; recibe información que le permite gobernarlo. El OC no sustituye a producto; cuestiona y escala. Auditoría no diseña el mismo proceso que luego evaluará. Esta claridad reduce tanto la omisión como la expectativa irreal de que “cumplimiento se encarga de todo”.

Gestión de cambios: el control que conecta todo

Muchos incumplimientos no nacen al constituir, sino al cambiar. Un nuevo cargo puede afectar CAT y RECO; un nuevo proveedor cambia datos y accesos; una adquisición cambia control y poderes; un nuevo canal modifica EBR y sistema. La gestión de cambios debe comenzar antes de aprobar el negocio.

Use una ficha con: descripción; objetivo; dueño; fecha; clientes afectados; fundamento; impacto corporativo, PLD, CONDUSEF, SIC, fiscal, datos y tecnología; pruebas; comunicaciones; condición de salida; y revisión posterior. Cambios urgentes pueden tener vía abreviada, pero no ausencia de evidencia.

Después del despliegue, compare resultado esperado con datos reales. Si el cambio alteró clasificación, cargos, reportes o experiencia del usuario, realice muestra y documente corrección. Así el calendario por evento se vuelve una práctica de negocio y no un recordatorio exclusivo del área jurídica.

Qué significa estar listo para supervisión

Estar listo no significa mantener una sala de datos permanente con duplicados. Significa poder responder una pregunta mediante índice, fuente y evidencia. Para cada obligación material, la SOFOM debe localizar fundamento vigente, política, responsable, muestra operativa, presentación o acuse, hallazgo y estado de remediación.

Una respuesta supervisora sólida distingue cuatro categorías: hecho verificado; declaración de la entidad; interpretación jurídica; y acción futura. Evite presentar como implementado lo que está en desarrollo. Si algo no aplica, explique el supuesto y evidencias. Si hubo incumplimiento, describa causa y corrección sin retrofechar.

La privacidad forma parte de la preparación. Los expedientes contienen identificaciones, estructuras, alertas y reportes; no deben circular completos cuando una matriz o extracto satisface la solicitud. Controle propósito, acceso, transferencia y conservación.

Errores que atraviesan todo el pilar

  • Tratar “E.N.R.” como ausencia de supervisión.
  • Abrir operaciones con frentes críticos pendientes.
  • Copiar manuales, contratos o calendarios de otra entidad.
  • Dejar claves, archivos o conocimiento sólo en manos del proveedor.
  • Repetir datos sin conciliarlos.
  • Resolver observaciones con escritos, no con cambios operativos.
  • Confundir registro con autorización o aprobación total.
  • Publicar o circular evidencia con datos personales innecesarios.

Preguntas frecuentes

¿Una SOFOM E.N.R. puede captar ahorro del público?

La figura no habilita captación bancaria. El fondeo y flujo deben estructurarse y analizarse por separado.

¿Quién supervisa a una SOFOM E.N.R.?

Intervienen autoridades distintas según materia. La CNBV tiene funciones relevantes en PLD/FT; CONDUSEF administra registros y protección al usuario; otras autoridades actúan en sus ámbitos.

¿Puede tercerizarse el cumplimiento?

Pueden contratarse servicios y tecnología, pero la responsabilidad institucional, el gobierno y la evidencia no se transfieren por completo.

¿Cuál es el primer documento que debe prepararse?

Antes de redactar en masa, conviene un mapa del modelo y de obligaciones. Ese mapa determina estatutos, plan, manual, sistema y contratos.

Siguiente paso

SVA.LAW asesora en constitución y adquisición de SOFOM, PLD/FT, gobierno, producto, contratos, CONDUSEF, auditoría y remediación. El punto de partida puede ser un diagnóstico acotado con mapa de riesgos y entregables.

Esta guía es informativa, se refiere a México y no constituye asesoría legal. El régimen, plazos y obligaciones deben verificarse para la entidad, producto y fecha concretos.

Ruta editorial

Reportes y Lista de Personas Bloqueadas

SITI, reportes, LPB, operaciones inusuales y evidencia

SITI, reportes, LPB, operaciones inusuales y evidencia | Guía práctica de SVA LAW para identificar decisiones, controles y evidencia aplicables en México.