Introducción analítica

La Evaluación Basada en Riesgos (EBR) se ha convertido en un pilar fundamental dentro del marco de cumplimiento de la LFPIORPI. La reforma sustantiva publicada el 16 de julio de 2025 en el Diario Oficial de la Federación (DOF) transformó las obligaciones de los sujetos obligados, introduciendo la EBR documentada como una de las nuevas exigencias bajo la fracción VII del Artículo 18. Esta evolución responde a la necesidad de fortalecer las capacidades de identificación, evaluación y mitigación de riesgos de lavado de dinero y financiamiento al terrorismo (PLD/FT) que enfrentan las más de 8,500 entidades registradas ante el SAT.

El contexto económico y regulatorio en México ha intensificado la vigilancia sobre las prácticas de PLD, especialmente en sectores de alto riesgo como el inmobiliario, financiero y de activos virtuales. La incorporación de la EBR documentada no solo alinea a México con las recomendaciones del GAFI, sino que también promueve una cultura de cumplimiento más proactiva y basada en datos. Las cifras recientes del GAFI, que colocan a México como el segundo destino global de dinero procedente de ciberdelitos, subrayan la urgencia de implementar evaluaciones de riesgo efectivas y adaptativas.

En este artículo, exploraremos la implementación práctica de la EBR bajo la LFPIORPI, sus implicaciones regulatorias y las mejores prácticas adoptadas por los sujetos obligados avanzados en México.

La Evaluación Basada en Riesgos está formalmente establecida en la fracción VII del Artículo 18 de la LFPIORPI tras la reforma de 2025. Esta disposición requiere que los sujetos obligados documenten y mantengan actualizada una evaluación de riesgos que considere la naturaleza, tamaño y complejidad de sus operaciones. El objetivo es identificar y mitigar los riesgos asociados al lavado de dinero y financiamiento del terrorismo de manera efectiva.

Conforme al Artículo 18, las obligaciones ahora constan de 11 fracciones, ampliadas desde las 6 anteriores a la reforma. Las fracciones VII a XI incorporan requisitos específicos que abarcan desde la implementación de mecanismos automatizados de monitoreo hasta la realización de auditorías PLD, internas o externas.

Los umbrales para la determinación de la actividad vulnerable se expresan en veces el valor diario de la Unidad de Medida y Actualización (UMA) en lugar del salario mínimo general. En 2026, el valor diario de la UMA es de $113.14 MXN. Por ejemplo, para actividades vinculadas al desarrollo inmobiliario, cualquier operación que supere las 1,600 veces el valor de la UMA (equivalente a aproximadamente $181,024 MXN) debe ser reportada como actividad vulnerable.

La EBR debe contemplar factores de riesgo como el tipo de cliente, la geografía, el canal de distribución y el tipo de producto o servicio ofrecido. Esto implica que los sujetos obligados deben desarrollar una matriz de riesgo personalizada que se ajuste a su perfil operativo específico.

Análisis práctico

Implementar una Evaluación Basada en Riesgos efectiva requiere un enfoque sistemático y detallado. Un ejemplo ilustrativo es una empresa de bienes raíces que opera con un volumen mensual de ventas de $10 millones de MXN. Esta empresa debe estructurar su EBR considerando el riesgo inherente de sus operaciones, evaluando factores como la ubicación de las propiedades, el perfil de los compradores y la estructura de financiamiento utilizada.

Procedimiento paso a paso:

  1. Identificación de Riesgos: Los sujetos obligados deben identificar todas las fuentes potenciales de riesgo PLD/FT. Por ejemplo, una inmobiliaria debe evaluar el riesgo asociado a cada proyecto, considerando la ubicación y el tipo de desarrollo.

  2. Evaluación y Ponderación de Factores de Riesgo: Se debe asignar una ponderación a cada factor de riesgo identificado. Factores como el país de origen del cliente, la actividad económica y el historial financiero podrían recibir un peso mayor en la matriz de riesgos.

  3. Desarrollo de la Matriz de Riesgo: Con base en la identificación y evaluación de riesgos, se crea una matriz que asigna calificaciones de riesgo a cada cliente y transacción. Por ejemplo, un cliente con antecedentes financieros inciertos podría recibir una calificación de alto riesgo.

  4. Implementación de Controles: Una vez identificados los riesgos, se deben implementar controles para mitigarlos. Esto puede incluir la verificación de identidad reforzada para clientes de alto riesgo y el monitoreo continuo de transacciones sospechosas.

  5. Documentación y Actualización Continua: La EBR debe ser un documento vivo que se actualice regularmente para reflejar cambios en el entorno operativo y jurídico. Cada actualización debe registrarse y justificarse adecuadamente.

  6. Capacitación del Personal: Proporcionar capacitación continua a los empleados sobre la EBR y los riesgos identificados es crucial para asegurar la efectividad de los controles implementados.

Riesgos y consecuencias

El incumplimiento de las obligaciones establecidas en la fracción VII del Artículo 18 puede acarrear severas sanciones. Según el Artículo 54 de la LFPIORPI, las multas por incumplimiento varían de 200 a 65,000 UMAs, lo que en 2026 se traduce en montos de $22,628 a $7,354,100 MXN, o hasta el 100% del valor de la operación en cuestión.

Un caso notable documentado por la UIF en 2025 involucró a una entidad financiera que no documentó adecuadamente su EBR, resultando en una multa de $3,500,000 MXN tras detectarse operaciones sin el debido monitoreo. Este ejemplo subraya la importancia de implementar un enfoque de riesgo robusto y regularmente actualizado.

Las implicaciones operativas del incumplimiento no se limitan a sanciones económicas; también incluyen daños reputacionales significativos, que pueden afectar la confianza de los clientes y la relación con los reguladores. Además, las organizaciones podrían enfrentar restricciones operativas o incluso la suspensión de su licencia para operar.

Mejores prácticas

Los sujetos obligados más avanzados en México han adoptado varias prácticas efectivas para cumplir con las exigencias de la EBR bajo la LFPIORPI:

Procesos y Controles

  • Automatización del Monitoreo: Muchas empresas han implementado sistemas automatizados para el monitoreo de transacciones, como la solución de Artu, que permite una integración modular con otros sistemas de cumplimiento y facilita la generación de reportes XML al SAT.
  • Capacitación Continua: Las organizaciones líderes han establecido programas de capacitación anual que actualizan al personal sobre cambios regulatorios y nuevas amenazas de PLD/FT.
  • Revisión Periódica de la Matriz de Riesgo: Revisar y ajustar la matriz de riesgo trimestralmente para asegurar que refleje los cambios en el entorno de riesgo.

Documentación y Auditoría

  • Documentación Exhaustiva: Mantener registros detallados de cada evaluación de riesgo y de las medidas tomadas para mitigar esos riesgos.
  • Auditorías Internas/Externas: Realizar auditorías regulares para evaluar la eficacia de la EBR y el cumplimiento general de la LFPIORPI.

Tabla comparativa

Obligación Antes de Reforma 2025 Después de Reforma 2025
Número de Fracciones del Art. 18 6 11
Evaluación Basada en Riesgos No obligatoria Obligatoria (Fracción VII)
Manual de Políticas Internas Requerido (general) Requerido (documentado)
Mecanismos de Monitoreo No especificado Automatizados (Fracción X)

Conclusión estratégica

En conclusión, la implementación de una Evaluación Basada en Riesgos efectiva es crucial para cumplir con las obligaciones de la LFPIORPI y mitigar los riesgos PLD/FT. Los sujetos obligados deben adoptar un enfoque integral, que incluya la automatización de procesos, la capacitación continua y la revisión periódica de las matrices de riesgo.

Recomiendo que todas las organizaciones reevaluen sus matrices de riesgo al menos una vez al año y consideren soluciones tecnológicas avanzadas, como las ofrecidas por Artu, para optimizar sus procesos de cumplimiento y reducir la carga operativa.

FAQ

¿Debo actualizar mi matriz de riesgo cada vez que incorporo un producto nuevo?

Sí, la actualización de la matriz de riesgo es esencial cada vez que se introducen nuevos productos o servicios, ya que estos pueden alterar significativamente el perfil de riesgo de la organización. La LFPIORPI exige que los sujetos obligados mantengan una evaluación de riesgos actualizada, reflejando cambios en su operación y entorno.

¿La EBR documentada sustituye al Manual de Políticas Internas o son documentos separados?

Son documentos separados pero complementarios. La EBR documentada se centra en la identificación y mitigación de riesgos específicos, mientras que el Manual de Políticas Internas establece los procedimientos generales de cumplimiento. Ambos son requeridos por la LFPIORPI, conforme a las fracciones VIII y IX del Artículo 18.

¿Qué sucede si no puedo cumplir con las nuevas obligaciones de la fracción VII del Art. 18?

El incumplimiento puede resultar en sanciones severas, incluyendo multas de hasta 65,000 UMA o el 100% del valor de la operación. Además, existe el riesgo de daños reputacionales y posibles restricciones operativas impuestas por las autoridades regulatorias.

¿Cómo puedo automatizar el proceso de EBR para garantizar el cumplimiento?

Implementar soluciones tecnológicas como Artu puede ser una estrategia efectiva. Artu ofrece módulos de evaluación de riesgos y monitoreo transaccional, facilitando la integración automatizada de procesos de cumplimiento.

¿Qué tan frecuente debo realizar auditorías internas de mi EBR?

Se recomienda al menos una vez al año para asegurar que la EBR sea efectiva y cumpla con los requisitos regulatorios. Las auditorías ayudan a identificar áreas de mejora y asegurar que los controles implementados están funcionando adecuadamente.

Simplifica tu cumplimiento PLD con Artu

Artu ayuda a sujetos obligados en México a automatizar cada obligación del Art. 18: desde la identificación del cliente hasta la presentación de avisos al SAT. Modular, auditable y con implementación en 4 semanas.

Conoce Artu →