Análisis de Riesgo y Debida Diligencia (Due Diligence) en Compliance PLD: cómo cumplir LFPIORPI con un enfoque basado en riesgos

19 dic 2025

En cumplimiento PLD (Prevención de Lavado de Dinero), el reto no es “juntar papeles”, sino tomar mejores decisiones con evidencia: ¿a quién le vendo?, ¿con qué controles?, ¿cada cuándo reviso?, ¿cuándo debo escalar a debida diligencia reforzada? Por eso, los marcos modernos de compliance se sostienen sobre dos pilares: análisis de riesgo y debida diligencia (due diligence / CDD), bajo un enfoque basado en riesgos (Risk-Based Approach). fatf-gafi.org+1

En México, si realizas Actividades Vulnerables, la LFPIORPI te exige identificar y conocer a clientes/usuarios, conservar información y, cuando aplique, presentar Avisos a la autoridad a través del SPPLD del SAT. Es decir: el análisis de riesgo y la debida diligencia no son “opcionales”; son la forma práctica de cumplir y demostrar cumplimiento. diputados.gob.mx+2sppld.sat.gob.mx+2

1) ¿Qué es el análisis de riesgo en compliance PLD?

El análisis de riesgo PLD es el proceso para medir la probabilidad e impacto de que una operación, cliente o transacción se utilice para lavar dinero (o financiar delitos) y definir controles proporcionales. La lógica coincide con estándares internacionales (GAFI/FATF) y se alinea con ejercicios como la Evaluación Nacional de Riesgos publicada por autoridades mexicanas. fatf-gafi.org+1

Factores de riesgo típicos (los que más “mueven la aguja”)

  • Cliente: perfil económico, giro, estructura corporativa, beneficiario controlador, PEP (persona políticamente expuesta), historial.

  • Producto/servicio: facilidad de anonimato, alta liquidez, reventa rápida.

  • Canal: presencial vs. remoto, intermediarios, uso de terceros.

  • Geografía: zonas/fronteras, operaciones internacionales, jurisdicciones de mayor riesgo.

  • Comportamiento transaccional: montos inusuales, fraccionamiento, patrones repetitivos.

El objetivo final es construir una matriz de riesgo (o un scoring) que te diga, con criterios consistentes: riesgo bajo / medio / alto, y qué nivel de due diligence corresponde.

2) Debida diligencia: qué revisar y qué evidencia conservar

La debida diligencia (CDD / KYC) es el conjunto de medidas para identificar, verificar y entender a tu cliente/usuario, su actividad y el propósito de la relación comercial. En Actividades Vulnerables, el SAT detalla obligaciones de identificación y lineamientos operativos (manuales y procedimientos) para la identificación de clientes o usuarios. sppld.sat.gob.mx+1

Tres niveles prácticos (y cuándo usarlos)

  1. Simplificada: riesgo bajo y justificado (ojo: debe estar documentado).

  2. Estándar: la base para la mayoría de relaciones; identificación + verificación + expediente.

  3. Reforzada (EDD): riesgo alto (PEP, estructuras complejas, señales de alerta, jurisdicciones sensibles, operaciones atípicas). FATF recomienda intensificar controles cuando el riesgo lo amerita. fatf-gafi.org+1

Evidencia mínima “a prueba de auditoría”

  • Identificación y verificación (documentos válidos / medios confiables).

  • Beneficiario controlador (cuando aplique) y trazabilidad de la estructura.

  • Propósito de la relación y origen/destino esperado de recursos (según el caso).

  • Registro de alertas, decisiones y aprobaciones (quién, cuándo y por qué).

3) El punto crítico: riesgo no es “una foto”, es una película

Muchos programas fallan por hacer el KYC “una vez” y olvidarlo. El enfoque basado en riesgos exige monitoreo continuo: si el comportamiento cambia, el riesgo cambia, y tu due diligence debe escalar. fatf-gafi.org+1

Señales típicas para “re-score” inmediato:

  • Incrementos súbitos de montos o frecuencia.

  • Operaciones fraccionadas para evitar umbrales.

  • Cambios en accionistas/beneficiarios.

  • Inconsistencias entre perfil y operación real.

Y si eres Actividad Vulnerable, recuerda que además de identificar, puede existir obligación de presentar Avisos cuando se superan montos/umbrales definidos por la autoridad, usando el SPPLD. sppld.sat.gob.mx+1

4) ¿Dónde entra un software PLD (y por qué marca la diferencia)?

En la práctica, el “cuello de botella” no es saber qué hacer, sino hacerlo siempre igual, a tiempo y con evidencia. Un software PLD ayuda a aterrizar el análisis de riesgo y la debida diligencia con:

  • Onboarding KYC con expedientes digitales y validaciones.

  • Matrices de riesgo configurables (cliente/producto/canal/geografía).

  • Alertas y monitoreo por reglas/patrones.

  • Bitácora y audit trail (prueba de cumplimiento).

  • Control de umbrales y preparación ordenada para reportes/avisos cuando aplique.

Para empresas que buscan estandarizar su cumplimiento LFPIORPI sin depender de hojas de cálculo, plataformas especializadas (por ejemplo, Artu.ai) suelen enfocarse justo en esto: convertir políticas en flujo operativo medible, documentado y escalable.

Atrás