Análisis de Riesgo y Debida Diligencia (Due Diligence) en Compliance PLD: cómo cumplir LFPIORPI con un enfoque basado en riesgos

En cumplimiento PLD (Prevención de Lavado de Dinero), el reto no es “juntar papeles”, sino tomar mejores decisiones con evidencia: ¿a quién le vendo?, ¿con qué controles?, ¿cada cuándo reviso?, ¿cuándo debo escalar a debida diligencia reforzada? Por eso, los marcos modernos de compliance se sostienen sobre dos pilares: análisis de riesgo y debida diligencia (due diligence / CDD), bajo un enfoque basado en riesgos (Risk-Based Approach). fatf-gafi.org+1

En México, si realizas Actividades Vulnerables, la LFPIORPI te exige identificar y conocer a clientes/usuarios, conservar información y, cuando aplique, presentar Avisos a la autoridad a través del SPPLD del SAT. Es decir: el análisis de riesgo y la debida diligencia no son “opcionales”; son la forma práctica de cumplir y demostrar cumplimiento. diputados.gob.mx+2sppld.sat.gob.mx+2

1) ¿Qué es el análisis de riesgo en compliance PLD?

El análisis de riesgo PLD es el proceso para medir la probabilidad e impacto de que una operación, cliente o transacción se utilice para lavar dinero (o financiar delitos) y definir controles proporcionales. La lógica coincide con estándares internacionales (GAFI/FATF) y se alinea con ejercicios como la Evaluación Nacional de Riesgos publicada por autoridades mexicanas. fatf-gafi.org+1

Factores de riesgo típicos (los que más “mueven la aguja”)

• Cliente: perfil económico, giro, estructura corporativa, beneficiario controlador, PEP (persona políticamente expuesta), historial.

• Producto/servicio: facilidad de anonimato, alta liquidez, reventa rápida.

• Canal: presencial vs. remoto, intermediarios, uso de terceros.

• Geografía: zonas/fronteras, operaciones internacionales, jurisdicciones de mayor riesgo.

• Comportamiento transaccional: montos inusuales, fraccionamiento, patrones repetitivos.

El objetivo final es construir una matriz de riesgo (o un scoring) que te diga, con criterios consistentes: riesgo bajo / medio / alto, y qué nivel de due diligence corresponde.

2) Debida diligencia: qué revisar y qué evidencia conservar

La debida diligencia (CDD / KYC) es el conjunto de medidas para identificar, verificar y entender a tu cliente/usuario, su actividad y el propósito de la relación comercial. En Actividades Vulnerables, el SAT detalla obligaciones de identificación y lineamientos operativos (manuales y procedimientos) para la identificación de clientes o usuarios. sppld.sat.gob.mx+1

Tres niveles prácticos (y cuándo usarlos)

1. Simplificada: riesgo bajo y justificado (ojo: debe estar documentado).

2. Estándar: la base para la mayoría de relaciones; identificación + verificación + expediente.

3. Reforzada (EDD): riesgo alto (PEP, estructuras complejas, señales de alerta, jurisdicciones sensibles, operaciones atípicas). FATF recomienda intensificar controles cuando el riesgo lo amerita. fatf-gafi.org+1

Evidencia mínima “a prueba de auditoría”

• Identificación y verificación (documentos válidos / medios confiables).

• Beneficiario controlador (cuando aplique) y trazabilidad de la estructura.

• Propósito de la relación y origen/destino esperado de recursos (según el caso).

• Registro de alertas, decisiones y aprobaciones (quién, cuándo y por qué).

3) El punto crítico: riesgo no es “una foto”, es una película

Muchos programas fallan por hacer el KYC “una vez” y olvidarlo. El enfoque basado en riesgos exige monitoreo continuo: si el comportamiento cambia, el riesgo cambia, y tu due diligence debe escalar. fatf-gafi.org+1

Señales típicas para “re-score” inmediato:

• Incrementos súbitos de montos o frecuencia.

• Operaciones fraccionadas para evitar umbrales.

• Cambios en accionistas/beneficiarios.

• Inconsistencias entre perfil y operación real.

Y si eres Actividad Vulnerable, recuerda que además de identificar, puede existir obligación de presentar Avisos cuando se superan montos/umbrales definidos por la autoridad, usando el SPPLD. sppld.sat.gob.mx+1

4) ¿Dónde entra un software PLD (y por qué marca la diferencia)?

En la práctica, el “cuello de botella” no es saber qué hacer, sino hacerlo siempre igual, a tiempo y con evidencia. Un software PLD ayuda a aterrizar el análisis de riesgo y la debida diligencia con:

• Onboarding KYC con expedientes digitales y validaciones.

• Matrices de riesgo configurables (cliente/producto/canal/geografía).

• Alertas y monitoreo por reglas/patrones.

• Bitácora y audit trail (prueba de cumplimiento).

• Control de umbrales y preparación ordenada para reportes/avisos cuando aplique.

Para empresas que buscan estandarizar su cumplimiento LFPIORPI sin depender de hojas de cálculo, plataformas especializadas (por ejemplo, Artu.ai) suelen enfocarse justo en esto: convertir políticas en flujo operativo medible, documentado y escalable.