Manual de Políticas Internas PLD en México: la pieza que convierte tu compliance en un sistema real (y no en un archivo olvidado)

En muchos negocios obligados por la LFPIORPI, el compliance PLD parece estar “completo” porque existen expedientes, formatos, avisos y hasta carpetas bien ordenadas. Pero cuando llega el momento de operar de verdad —identificar a un cliente de alto riesgo, escalar una alerta, decidir si se rechaza una operación o demostrar consistencia ante una revisión— aparece la pregunta incómoda: ¿dónde está escrito cómo debe actuar la empresa?

Ahí entra el verdadero valor del Manual de Políticas Internas. No como un documento decorativo, sino como el puente entre la ley, el riesgo y la operación diaria. Desde la reforma publicada el 16 de julio de 2025, la LFPIORPI ya no deja espacio para la improvisación: además de una evaluación con enfoque basado en riesgos, los sujetos obligados deben elaborar y observar un Manual de Políticas Internas con criterios, medidas y procedimientos para cumplir sus obligaciones, incluyendo el tratamiento de Personas Políticamente Expuestas (PEP).

El problema de fondo: cumplir no es juntar documentos

Durante años, muchas empresas entendieron el cumplimiento PLD como una suma de tareas: pedir identificación, integrar expediente, presentar avisos y guardar acuses. Eso sigue siendo importante, pero hoy ya no basta. La LFPIORPI exige también una lógica interna: evaluar riesgos, documentar criterios, capacitar personal, monitorear operaciones y revisar la efectividad del sistema. En otras palabras, la autoridad ya no solo puede preguntar “¿qué hiciste?”, sino también “¿con qué reglas decidiste hacerlo?”.

Sin un manual, el programa PLD suele caer en alguno de estos tres escenarios:

Primero, cada persona decide distinto. El área comercial acepta un expediente que compliance rechazaría. La sucursal A pide un documento, la sucursal B pide otro. Y el criterio cambia según quién esté de guardia.

Segundo, la empresa detecta señales de alerta, pero no sabe cómo escalarlas. Hay sospecha, pero no procedimiento. Hay duda, pero no ruta de aprobación. Hay riesgo, pero no evidencia de por qué se actuó —o no se actuó— de cierta manera.

Tercero, el negocio cree que tiene control, cuando en realidad solo tiene archivos. Y en PLD, un archivo sin criterio puede ser tan frágil como una puerta cerrada sin llave.

¿Qué exige hoy la ley?

El artículo 18 de la LFPIORPI establece varias obligaciones que, vistas en conjunto, dejan claro por qué el manual ya no puede ser un “extra”. Entre ellas están: identificar a clientes y usuarios; solicitar información sobre el beneficiario controlador; conservar documentación; registrarse o actualizarse en el padrón; permitir visitas de verificación; presentar avisos e informes; realizar una evaluación con enfoque basado en riesgos; elaborar y observar un Manual de Políticas Internas; desarrollar procesos de selección y capacitación anual; contar con mecanismos automatizados de monitoreo; y someter el sistema a auditoría interna o externa, según el nivel de riesgo.

Eso cambia la conversación. El software PLD, la operación documental y la gobernanza interna ya no deben caminar separados. El manual se vuelve la “constitución” del programa: define cómo clasificar riesgos, qué documentos pedir, cuándo escalar una operación, cómo tratar PEPs, cómo usar el monitoreo automatizado y cómo conservar evidencia de cada decisión.

Lo que debe tener un Manual de Políticas Internas PLD útil de verdad

Un buen manual no se mide por cuántas páginas tiene, sino por cuántas decisiones resuelve. Si un equipo lo abre y sigue sin saber qué hacer frente a un cliente complejo, entonces no es un manual: es literatura corporativa.

1. Criterios de identificación y conocimiento del cliente

Debe definir con precisión qué información se solicita, en qué momento, para qué tipo de cliente, con qué validaciones y qué documentos son suficientes o insuficientes. También debe aterrizar qué ocurre cuando el cliente no entrega información. La ley es clara: si la persona cliente o usuaria se niega a proporcionar la información o documentación necesaria, quien realiza la Actividad Vulnerable debe abstenerse de llevar a cabo la operación.

2. Metodología de riesgo

No basta decir “aplicamos enfoque basado en riesgos”. El manual debe explicar cómo se mide ese riesgo: por tipo de cliente, producto, canal, geografía, monto, comportamiento transaccional, uso de intermediarios, relación con PEPs o estructuras complejas. La reforma también exige una evaluación de riesgos como obligación propia.

3. Tratamiento de PEPs y clientes de alto riesgo

La ley exige que el manual incluya medidas para identificar y dar seguimiento a operaciones con PEPs. Esto significa que el documento debe decir cuándo aplicar debida diligencia reforzada, quién autoriza la relación, qué monitoreo adicional se realiza y qué periodicidad de actualización corresponde.

4. Escalamiento y toma de decisiones

Una de las mayores debilidades en compliance PLD es que todos detectan “algo raro”, pero nadie sabe qué hacer después. El manual debe establecer rutas claras: quién analiza, quién aprueba, quién rechaza, quién documenta, quién presenta aviso y en qué plazo. Esto es todavía más importante porque la LFPIORPI prevé avisos dentro de las 24 horas cuando exista sospecha o indicios de que los recursos pudieran provenir o destinarse a delitos, incluso si la operación no se celebró.

5. Monitoreo y perfil transaccional

La reforma incorporó la obligación de contar con mecanismos automatizados para el monitoreo permanente, capaces de identificar operaciones fuera del perfil transaccional y dar seguimiento intensificado a clientes PEP o de alto riesgo. El manual debe traducir eso a reglas operativas: qué alertas existen, qué umbrales internos se usan, cómo se documenta la revisión y cuándo una alerta se cierra o escala. Aquí es donde un software PLD deja de ser un lujo y se convierte en estructura operativa.

6. Conservación de evidencia

No hay manual serio si no define cómo se conserva la evidencia. La LFPIORPI exige conservar la información y documentación de manera física o electrónica por al menos diez años para la mayoría de los supuestos relevantes reformados; además, el Reglamento dispone conservar copia de los avisos y sus acuses por un plazo no menor a cinco años.

7. Capacitación y auditoría

El manual debe vivir en la operación, no solo en la intranet. Por eso la ley también exige capacitación anual y revisión de efectividad mediante auditoría interna o externa, según el nivel de riesgo. Si el manual no se enseña, no se usa; y si no se prueba, no se fortalece.

El error más común: copiar un formato genérico

Uno de los riesgos más subestimados en compliance PLD en México es usar un manual “bonito” pero desconectado del negocio. Un documento genérico puede sonar impecable y aun así fallar en la primera operación real.

¿Por qué? Porque no refleja la actividad vulnerable específica, ni sus umbrales, ni su flujo comercial, ni sus canales de cobro, ni sus intermediarios, ni su forma real de integrar expedientes. Y cuando un manual no refleja la realidad, el personal deja de usarlo. En ese momento el compliance se divide en dos mundos: el documento que “dice” y la operación que “hace”.

Ese desfase sale caro. El artículo 53 prevé sanciones por incumplir obligaciones del artículo 18, y el artículo 54 establece multas que pueden ir de 200 a 2,000 UMAs para varios incumplimientos formales, y de 2,000 a 10,000 UMAs o incluso más en otros supuestos, según la conducta aplicable.

Cómo saber si tu manual sirve o solo existe

Una prueba sencilla: imagina que mañana entra un cliente con estructura accionaria compleja, un apoderado actuando por terceros y una operación que, aunque legal en apariencia, no encaja con su perfil económico.

Ahora pregúntate:

¿Tu equipo sabe exactamente qué documentos pedir?
¿Sabe quién debe aprobar el alta?
¿Sabe qué hacer si detecta indicios?
¿Sabe si corresponde seguimiento reforzado?
¿Sabe dónde dejar evidencia de la decisión?
¿Sabe qué datos alimentar al monitoreo?
¿Sabe cuándo escalar a la persona representante encargada del cumplimiento?

Si la respuesta es “depende”, entonces el negocio no tiene un sistema robusto: tiene memoria institucional frágil.

Donde el software PLD hace la diferencia

Un software PLD bien implementado no sustituye el criterio jurídico ni el diseño del manual, pero sí puede volverlo ejecutable. Ayuda a estandarizar expedientes, automatizar flujos de aprobación, registrar decisiones, activar alertas, monitorear desvíos del perfil transaccional, conservar evidencia y preparar al negocio para auditoría o verificación. Esa conexión entre política escrita y ejecución digital es la que realmente madura un programa de compliance.

Dicho de otra forma: el manual te dice qué hacer; el software PLD ayuda a que eso ocurra igual, siempre y con evidencia.

Conclusión

En la nueva etapa del compliance PLD en México, el Manual de Políticas Internas ya no debe verse como un requisito secundario. Es el documento que convierte obligaciones dispersas en un sistema coherente: une evaluación de riesgos, tratamiento de PEPs, monitoreo, capacitación, conservación de evidencia y toma de decisiones.

Un negocio puede tener expedientes impecables y seguir siendo vulnerable si cada decisión depende del criterio improvisado del día. En cambio, cuando existe un manual claro, actualizado y aterrizado a la operación —apoyado por procesos y, idealmente, por tecnología— el cumplimiento deja de ser una carga reactiva y empieza a funcionar como una arquitectura real de control.

Y en PLD, esa diferencia se nota justo donde más importa: cuando el riesgo deja de ser teórico y toca la puerta.