Evaluación de riesgos basada en enfoque: fracción VII Art. 18 LFPIORPI
Descubre cómo implementar la Evaluación Basada en Riesgos bajo la LFPIORPI en México tras la reforma de 2025.
Introducción analítica
En el dinámico entorno regulatorio de México, la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) juega un papel crítico en la lucha contra el lavado de dinero. Desde su publicación en 2012, ha visto múltiples reformas, siendo la más reciente la del 16 de julio de 2025, que introdujo cambios significativos en el ámbito de cumplimiento para sujetos obligados. Según el padrón público del SAT, hay más de 8,500 sujetos obligados registrados en México, incluyendo instituciones financieras, empresas inmobiliarias y otros sectores vulnerables.
Uno de los cambios más cruciales en esta reforma es la inclusión de la Evaluación Basada en Riesgos (EBR) documentada, detallada en la fracción VII del artículo 18 de la LFPIORPI. Este enfoque requiere que los sujetos obligados evalúen y documenten los riesgos específicos de lavado de dinero y financiamiento al terrorismo (PLD/FT) a los que están expuestos, y ajusten sus controles internos en consecuencia. Implementar una EBR efectiva es ahora una obligación legal, y su importancia no puede subestimarse en un país que ha sido clasificado como el segundo destino global para el dinero de ciberdelitos, según el FBI Internet Crime Report 2025.
Este artículo desglosará el marco legal detallado de la EBR, cómo se implementa en la práctica, los riesgos y consecuencias del incumplimiento, y las mejores prácticas adoptadas por los sujetos obligados más avanzados. Además, proporcionará una tabla comparativa de umbrales y obligaciones antes y después de la reforma de 2025.
Marco legal detallado
La Evaluación Basada en Riesgos, como se encuentra en la fracción VII del Artículo 18 de la LFPIORPI, obliga a los sujetos obligados a implementar un enfoque documentado para identificar, evaluar y mitigar los riesgos de PLD/FT. Esta obligación se suma a las ya existentes, como la debida diligencia del cliente (DDC) y la presentación de avisos de actividad vulnerable al SAT.
La reforma de 2025 incrementó el número de obligaciones de seis a once fracciones en el Artículo 18, reflejando una estrategia más integral contra el lavado de dinero. Los umbrales para la identificación de operaciones ahora se expresan en veces el valor diario de la Unidad de Medida y Actualización (UMA), que para 2026 es de $113.14 MXN. Por ejemplo, si un umbral es de 805 UMA, equivale aproximadamente a $91,100 MXN.
Una EBR documentada debe considerar factores de riesgo inherentes, tales como:
- El tipo de cliente o relación comercial
- La naturaleza de los productos, servicios y transacciones ofrecidos
- La ubicación geográfica de las operaciones
Es crucial entender que el incumplimiento de estas obligaciones puede resultar en sanciones significativas. Según el Artículo 54 de la LFPIORPI, las multas pueden variar desde 200 hasta 65,000 UMA, lo que equivale a entre $22,628 y $7,354,100 MXN.
Análisis práctico
Implementar una Evaluación Basada en Riesgos efectiva requiere un enfoque sistemático y bien documentado. A continuación, se describe cómo los sujetos obligados pueden aplicar este requisito en la práctica:
Paso 1: Identificación de Riesgos
La identificación de riesgos debe ser el primer paso en cualquier EBR. Esto implica un análisis exhaustivo de las operaciones de la empresa para identificar áreas potenciales de riesgo de lavado de dinero. Por ejemplo, una inmobiliaria que vende 12 unidades por $2.8 millones de pesos mensuales necesita considerar el tipo de compradores y la fuente de los fondos como factores de riesgo clave.
Paso 2: Evaluación de Riesgos
Una vez identificados, los riesgos deben ser evaluados en términos de probabilidad y posible impacto. Este proceso suele incluir la creación de una matriz de riesgo que categorice los riesgos en niveles bajo, medio y alto. La ponderación de factores como el historial del cliente, el país de origen y el volumen de transacciones es esencial.
Paso 3: Mitigación de Riesgos
Este paso implica ajustar los controles internos para mitigar los riesgos identificados. Puede incluir medidas como la implementación de procedimientos de debida diligencia mejorada para clientes de alto riesgo, y la capacitación del personal en la detección de operaciones inusuales.
Paso 4: Documentación y Revisión Continua
La EBR debe estar documentada y ser revisada regularmente para reflejar cambios en el perfil de riesgo de la entidad. La documentación debe incluir los métodos y criterios utilizados para la identificación y evaluación de riesgos, así como los controles implementados para mitigarlos.
Riesgos y consecuencias
El incumplimiento de la obligación de realizar una EBR documentada puede tener consecuencias severas para los sujetos obligados. Las sanciones, según el Artículo 54 de la LFPIORPI, pueden alcanzar hasta 65,000 UMA, unos $7,354,100 MXN. Además de las sanciones financieras, el incumplimiento puede resultar en daño reputacional y pérdida de licencias.
Un caso notorio es el de una institución financiera sancionada en 2025 por la Comisión Nacional Bancaria y de Valores (CNBV) por no implementar adecuadamente una EBR. La multa, cercana a 30,000 UMA, fue acompañada de medidas correctivas obligatorias.
Operativamente, la falta de una EBR robusta puede llevar a la identificación incorrecta de clientes de alto riesgo, lo que a su vez puede facilitar la entrada de recursos ilícitos en el sistema financiero. Esto no solo vulnera a la entidad a sanciones legales, sino que también compromete la integridad del sistema financiero en su conjunto.
Mejores prácticas
Para cumplir con la fracción VII del Artículo 18 de la LFPIORPI, los sujetos obligados deben adoptar las mejores prácticas de la industria. Algunas recomendaciones incluyen:
Documentación exhaustiva
- Mantener un registro detallado de todos los riesgos identificados, las evaluaciones realizadas y las medidas de mitigación implementadas.
Capacitación Continua
- Realizar programas de capacitación anuales para el personal, como lo requiere la fracción IX del Artículo 18, para asegurar que todos los empleados estén al tanto de las políticas y procedimientos PLD/FT.
Uso de Tecnología
- Implementar soluciones tecnológicas avanzadas para el monitoreo automatizado de transacciones y la identificación de actividades sospechosas. Artu, por ejemplo, ofrece un software de compliance 360 que facilita la EBR y la presentación de avisos al SAT.
Auditorías Regulares
- Llevar a cabo auditorías internas o externas, como lo exige la fracción XI del Artículo 18, para evaluar la efectividad de la EBR y los controles asociados.
Tabla comparativa de umbrales antes y después de la reforma 2025
| Actividad Vulnerable | Antes de 2025 (Salario Mínimo) | Después de 2025 (UMA) |
|---|---|---|
| Compra de bienes inmuebles | 8,025 veces el SM (~$1,200,000) | 8,025 UMA (~$908,098) |
| Operaciones con metales preciosos, piedras y joyas | 805 veces el SM (~$120,000) | 805 UMA (~$91,100) |
| Juegos con apuestas, concursos y sorteos | 1,605 veces el SM (~$240,000) | 1,605 UMA (~$181,743) |
Conclusión estratégica
La implementación de una Evaluación Basada en Riesgos documentada no solo es una obligación legal según la LFPIORPI, sino una herramienta esencial para proteger a las entidades y al sistema financiero mexicano contra el lavado de dinero. Los sujetos obligados deben adoptar un enfoque proactivo, utilizando tecnología como Artu para automatizar y optimizar sus procesos de cumplimiento. Un enfoque robusto y bien documentado no solo asegura el cumplimiento, sino que también fortalece la resiliencia de la organización ante el riesgo de PLD/FT.
Simplifica tu cumplimiento PLD con Artu
Artu ayuda a sujetos obligados en México a automatizar cada obligación del Art. 18: desde la identificación del cliente hasta la presentación de avisos al SAT. Modular, auditable y con implementación en 4 semanas.
Conoce Artu →FAQ
¿Cómo afecta la EBR a mi matriz de riesgo actual?
La EBR debe integrarse en la matriz de riesgo actual, actualizándola para reflejar cualquier cambio en el perfil de riesgo de la entidad. Esto incluye nuevos productos, tipos de clientes o cambios regulatorios que puedan alterar el nivel de riesgo de PLD/FT. Es esencial revisar la matriz de riesgo al menos anualmente, o más frecuentemente si se producen cambios significativos en el negocio o el entorno regulatorio.
¿La EBR documentada sustituye al Manual de Políticas Internas?
No, la EBR documentada y el Manual de Políticas Internas son documentos separados pero complementarios. La EBR se enfoca en la identificación y evaluación de riesgos específicos de PLD/FT, mientras que el Manual de Políticas Internas establece los procedimientos y controles necesarios para mitigar esos riesgos. Ambas herramientas son esenciales para un programa efectivo de cumplimiento PLD.
¿Qué tecnologías pueden facilitar la implementación de una EBR efectiva?
El uso de soluciones tecnológicas avanzadas, como Artu, puede facilitar significativamente la implementación de una EBR efectiva. Estas soluciones ofrecen módulos para KYC, monitoreo transaccional y generación de reportes, lo que permite automatizar y optimizar el proceso de identificación y evaluación de riesgos. Además, las tecnologías basadas en IA pueden ayudar a identificar patrones de riesgo emergentes.
¿Cuáles son las sanciones por no implementar una EBR documentada?
El incumplimiento de la obligación de implementar una EBR documentada puede resultar en sanciones significativas, que van desde 200 hasta 65,000 UMA, equivalentes a entre $22,628 y $7,354,100 MXN. Además de las multas, las entidades enfrentan riesgos de daño reputacional y pérdida de licencias operativas.
¿Con qué frecuencia debo revisar mi EBR?
Es recomendable revisar la EBR al menos una vez al año, o más frecuentemente si hay cambios significativos en el negocio o en el entorno regulatorio. Revisar regularmente la EBR asegura que los controles internos se mantengan efectivos y alineados con los riesgos actuales de PLD/FT.