Introducción analítica

El entorno regulatorio en México ha experimentado cambios significativos en los últimos años, particularmente en lo que respecta a la prevención de lavado de dinero (PLD). Uno de los cambios más destacados es la inclusión de la Evaluación Basada en Riesgos (EBR) como una obligación formal para los sujetos obligados, conforme a la reforma de 2025 en la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI). Publicada originalmente el 17 de octubre de 2012, esta ley sufrió su última reforma sustantiva el 16 de julio de 2025, publicada en el Diario Oficial de la Federación.

La EBR, ahora requerida bajo la fracción VII del Artículo 18, es una herramienta crucial para identificar, evaluar y mitigar los riesgos asociados con el lavado de dinero y el financiamiento del terrorismo. Este enfoque permite a las entidades ajustar sus políticas y procedimientos de acuerdo con los riesgos específicos que enfrentan. En México, la EBR es especialmente relevante dado el tamaño y la complejidad del mercado. Según el último padrón público del SAT, hay más de 8,500 sujetos obligados que deben cumplir con estas normativas.

La incorporación de la EBR ha sido una respuesta a las recomendaciones del Grupo de Acción Financiera Internacional (GAFI), del cual México es miembro. Esta medida busca fortalecer el sistema de PLD al garantizar que las medidas de control estén alineadas con el perfil de riesgo de cada entidad. Cabe destacar que, durante la administración actual (2024-2026), la Unidad de Inteligencia Financiera (UIF) ha inmovilizado aproximadamente 5,000 millones de pesos en recursos vinculados a actividades ilícitas, lo que subraya la necesidad de un enfoque más dinámico y adaptativo en la lucha contra el lavado de dinero.

La reforma de la LFPIORPI de 2025 introdujo cambios significativos en las obligaciones de los sujetos obligados, especialmente en el Artículo 18. La fracción VII, que establece la obligación de realizar una Evaluación Basada en Riesgos (EBR) documentada, es particularmente relevante. Esta evaluación debe ser un proceso continuo y sistemático para identificar y evaluar los riesgos de lavado de dinero y financiamiento del terrorismo a los que se enfrenta una entidad en particular.

Conforme a la LFPIORPI, los sujetos obligados deben implementar políticas y procedimientos diseñados para mitigar eficazmente los riesgos identificados. Estos procedimientos deben estar documentados y disponibles para su revisión por las autoridades competentes, incluyendo el SAT y la UIF. Además, los sujetos obligados deben actualizar periódicamente su evaluación de riesgos para reflejar cambios en el entorno operativo o en el alcance de sus actividades.

Los umbrales establecidos en la LFPIORPI se expresan en veces el valor diario de la Unidad de Medida y Actualización (UMA). Para 2026, la UMA se ha fijado en $113.14 MXN diarios. Esto implica que las actividades vulnerables que superen ciertos umbrales, calculados en UMA, requieren una atención especial en las evaluaciones de riesgo. Por ejemplo, una operación que exceda las 8,025 UMA, equivalente a aproximadamente novecientos mil pesos, debe ser considerada como de alto riesgo y manejada con medidas de control más estrictas.

Análisis práctico

La implementación de la Evaluación Basada en Riesgos (EBR) en la práctica requiere un enfoque detallado y metódico por parte de los sujetos obligados. Un ejemplo concreto de cómo llevar a cabo este proceso es el caso de una inmobiliaria que gestiona la venta de 12 unidades mensuales, con un valor promedio de $2.8 millones de pesos cada una. En este escenario, la inmobiliaria debería realizar una EBR específica para cada transacción que supere los umbrales establecidos, lo que implicaría un análisis detallado del cliente, la fuente de los fondos y el propósito de la transacción.

Procedimientos paso a paso para la EBR:

  1. Identificación del riesgo: Comienza por identificar los riesgos inherentes a las actividades de la entidad. Esto incluye analizar factores como la ubicación geográfica, los tipos de clientes y las características de las transacciones.
  2. Evaluación del riesgo: Una vez identificados, los riesgos deben ser evaluados en términos de probabilidad e impacto. Esto implica cuantificar la posibilidad de que se materialice un riesgo y la gravedad de sus consecuencias.
  3. Mitigación del riesgo: Desarrolla medidas de control para mitigar los riesgos identificados. Esto puede incluir procedimientos de debida diligencia del cliente (DDC) más estrictos, monitoreo transaccional mejorado o capacitación adicional para el personal.
  4. Documentación y actualización: Documenta todo el proceso de EBR y asegúrate de revisarlo y actualizarlo regularmente para reflejar cualquier cambio en las operaciones o el entorno regulatorio.

La implementación efectiva de la EBR no solo ayuda a cumplir con los requisitos regulatorios, sino que también protege a la entidad de posibles infracciones y sanciones. Es importante que los sujetos obligados consideren el uso de tecnologías avanzadas para facilitar este proceso. Por ejemplo, plataformas de compliance como Artu, que ofrecen módulos de Evaluación Basada en Riesgo, pueden automatizar gran parte del proceso, asegurando un cumplimiento continuo y eficiente.

Riesgos y consecuencias

El incumplimiento de las obligaciones establecidas en la LFPIORPI, incluyendo la EBR, puede acarrear sanciones significativas. Según el Artículo 54 de la ley, las multas pueden oscilar entre 200 y 65,000 UMA, lo que representa un rango de aproximadamente $22,628 a $7,354,100 MXN. Además, las sanciones pueden calcularse también como un porcentaje del valor de la operación involucrada, variando entre el 10 y el 100% del valor total.

Existen casos documentados donde el incumplimiento de estas normativas ha resultado en sanciones severas. Por ejemplo, en 2025, una entidad financiera fue multada con 50,000 UMA por no haber documentado adecuadamente su evaluación de riesgos, lo que se tradujo en una multa de aproximadamente $5,657,000 MXN. Esto no solo tuvo un impacto financiero significativo, sino que también afectó su reputación y relaciones con clientes y socios de negocio.

Las implicaciones operativas del incumplimiento son igualmente importantes. La falta de una EBR adecuada puede resultar en una mayor exposición a actividades ilícitas, lo que podría llevar a investigaciones y auditorías más estrictas por parte de las autoridades. Adicionalmente, esto puede afectar la relación de la entidad con sus clientes, quienes podrían percibir una falta de compromiso con las mejores prácticas de compliance.

Mejores prácticas

Los sujetos obligados más avanzados han adoptado una serie de mejores prácticas para asegurar el cumplimiento efectivo de la EBR. Estas prácticas no solo aseguran el cumplimiento de la normativa, sino que también mejoran la eficiencia operativa y reducen el riesgo de exposición a actividades ilícitas.

Procesos y controles recomendados:

  • Implementación de tecnologías avanzadas: Utilizar plataformas de compliance como Artu para automatizar la evaluación de riesgos, el monitoreo transaccional y la generación de reportes. Esto reduce la carga operativa y minimiza el riesgo de errores humanos.
  • Capacitación continua del personal: Realizar programas de capacitación anual, conforme a la obligación de la fracción IX del Artículo 18, para asegurar que el personal esté actualizado sobre las últimas regulaciones y técnicas de mitigación de riesgos.
  • Monitoreo y auditoría regular: Establecer un sistema de auditoría interna o externa, como lo requiere la fracción XI del Artículo 18, para evaluar la efectividad de los controles implementados y realizar ajustes cuando sea necesario.
  • Documentación detallada y accesible: Mantener una documentación completa y actualizada de todas las evaluaciones de riesgo y las medidas de mitigación implementadas, conforme a la fracción IV del Artículo 18 que exige la conservación de documentos por 10 años.

Tabla comparativa de obligaciones

Obligación Antes de la Reforma 2025 Después de la Reforma 2025
Evaluación Basada en Riesgos (EBR) No especificada Fracción VII del Artículo 18
Manual de Políticas Internas General Fracción VIII del Artículo 18
Capacitación Anual No obligatoria Fracción IX del Artículo 18
Monitoreo Automatizado No obligatoria Fracción X del Artículo 18
Auditoría PLD/FT No especificada Fracción XI del Artículo 18

Conclusión estratégica

La incorporación de la Evaluación Basada en Riesgos como una obligación bajo la LFPIORPI representa un cambio significativo en el enfoque hacia la prevención de lavado de dinero en México. Para los sujetos obligados, este no es solo un requerimiento legal, sino una oportunidad para fortalecer sus controles internos y protegerse contra los riesgos inherentes a sus operaciones.

Recomiendo a todas las entidades sujetas a esta normativa que evalúen sus procesos actuales y consideren la integración de soluciones tecnológicas avanzadas para facilitar el cumplimiento. La automatización de estas obligaciones no solo asegura un cumplimiento más efectivo, sino que también libera recursos que pueden ser redirigidos hacia actividades más estratégicas.

Simplifica tu cumplimiento PLD con Artu

Artu ayuda a sujetos obligados en México a automatizar cada obligación del Art. 18: desde la identificación del cliente hasta la presentación de avisos al SAT. Modular, auditable y con implementación en 4 semanas.

Conoce Artu →

FAQ OBLIGATORIO — 5 preguntas específicas del tema

  1. ¿Debo actualizar mi matriz de riesgo cada vez que incorporo un producto nuevo? Sí, la matriz de riesgo debe ser un documento vivo que se actualice cada vez que haya cambios significativos en el perfil de riesgo de la entidad, incluyendo la incorporación de nuevos productos o servicios. Esto asegura que la evaluación de riesgos refleje fielmente el entorno operativo actual y permita implementar controles adecuados.

  2. ¿La EBR documentada sustituye al Manual de Políticas Internas o son documentos separados? No, la EBR documentada y el Manual de Políticas Internas son documentos separados, cada uno con un propósito distinto. La EBR se centra en identificar y evaluar riesgos específicos, mientras que el Manual de Políticas Internas establece cómo se gestionarán esos riesgos de manera operativa.

  3. ¿Qué sucede si mi evaluación de riesgos no está actualizada? Una evaluación de riesgos desactualizada puede exponer a la entidad a sanciones significativas bajo la LFPIORPI, además de aumentar el riesgo de involucrarse en actividades ilícitas. Las autoridades pueden imponer multas que varían entre 200 y 65,000 UMA por incumplimiento.

  4. ¿Cuán detallada debe ser la documentación de mi EBR? La documentación de la EBR debe ser lo suficientemente detallada como para demostrar un entendimiento claro de los riesgos identificados y las medidas de mitigación implementadas. Esta documentación debe estar disponible para las autoridades durante auditorías o revisiones.

  5. ¿Cómo puedo asegurar que mi EBR cumpla con las expectativas regulatorias? Para asegurar el cumplimiento, es recomendable utilizar herramientas tecnológicas avanzadas que puedan automatizar parte del proceso de EBR, como Artu. Además, es crucial mantener una comunicación abierta con las autoridades y estar al tanto de las mejores prácticas en la industria.