CumplimientoPLD.com.mx
Blog →
Guía Principal ImplementaciónPrograma PLDDesde Cero

Cómo construir un programa PLD desde cero: guía para empresas que acaban de ser reguladas

Tu empresa acaba de volverse sujeto obligado en PLD. Guía paso a paso para construir un programa de cumplimiento sólido desde cero.

Respuesta directa

Para construir un programa PLD desde cero en México, sigue estos pasos fundamentales. Primero, confirma bajo qué régimen operas: actividades vulnerables (LFPIORPI, regulador SAT) o entidad financiera (CNBV, Banxico, CNSF), ya que las obligaciones y los plazos difieren. Segundo, nombra formalmente a un oficial de cumplimiento y dalo de alta ante el regulador; sin esta figura, el programa no tiene sustento legal. Tercero, realiza una Evaluación Basada en Riesgo analizando tus clientes, productos, canales y geografía; este diagnóstico determina la intensidad de los controles que necesitas. Cuarto, redacta el manual de políticas internas con procedimientos de KYC, monitoreo de operaciones, reporte al regulador y capacitación. Para actividades vulnerables, el manual y el canal de denuncias deben estar operativos en los primeros 90 días. El programa completo incluye: KYC documentado por cliente, monitoreo de transacciones contra umbrales y listas de sanciones, reportes periódicos al SAT o CNBV, capacitación anual al personal y tecnología que haga sostenible todo el proceso.

Alguien en tu empresa acaba de recibir una notificación, una carta de un notario, o simplemente tu abogado externo te dijo algo que cambió el panorama: tu empresa es sujeto obligado en materia de PLD. Ahora tienes que construir un programa de prevención de lavado de dinero.

La buena noticia —y es genuinamente una buena noticia— es que no tienes que inventar nada. Hay un camino claro, regulado y documentado. Miles de empresas en México han recorrido este camino antes que tú. Lo que sí requiere es orden, decisión ejecutiva y los recursos correctos. Esta guía te lleva paso a paso desde cero hasta un programa funcional.

Antes de empezar: qué significa realmente ser sujeto obligado

Ser sujeto obligado significa que la ley te exige implementar un sistema interno para prevenir, detectar y reportar operaciones que puedan estar vinculadas al lavado de dinero o al financiamiento al terrorismo. En México existen dos grandes universos de obligados:

  • Entidades financieras reguladas por la CNBV, CONDUSEF, Banxico o la CNSF (bancos, SOFOMes, casas de bolsa, aseguradoras, entre otras). Sus obligaciones se rigen por las Disposiciones de Carácter General emitidas por cada regulador.
  • Actividades vulnerables reguladas por el SAT bajo la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI). Aquí entran inmobiliarias, joyerías, notarías, desarrolladores de software, empresas de servicios profesionales, entre otras.

Saber bajo qué régimen caes es el punto de partida de todo lo demás. Las obligaciones son distintas, los plazos son distintos y los reguladores son distintos. Consulta la guía PLD México 2026 si aún no tienes certeza sobre tu clasificación.

Paso 1: Confirmar tu estatus como sujeto obligado y bajo qué regulación

No asumas —confirma. El primer paso es identificar con precisión:

  1. Bajo qué ley caes: ¿LFPIORPI (SAT) o las disposiciones sectoriales de CNBV, Banxico o CNSF?
  2. Qué actividad o servicio específico te genera la obligación: No toda la empresa necesariamente es sujeto obligado; puede ser solo una línea de negocio o un tipo específico de transacción.
  3. Cuál es el umbral: Algunas actividades solo generan obligación cuando se supera cierto valor de operación.

Cómo confirmarlo

  • Lee directamente el artículo 17 de la LFPIORPI si eres actividad vulnerable, o las disposiciones de tu regulador sectorial.
  • Consulta con un abogado o consultor especializado en PLD para validar tu interpretación.
  • Revisa si tu giro está listado explícitamente o si encaja en alguna de las categorías descritas en la ley.

Este paso es crítico porque construir un programa PLD sobre una interpretación incorrecta de tus obligaciones genera vulnerabilidades regulatorias desde el origen.

Paso 2: Nombrar al oficial de cumplimiento

El oficial de cumplimiento (OC) es la figura central de tu programa PLD. Es la persona responsable ante el regulador, quien firma los reportes, gestiona los procesos internos y es el punto de contacto oficial. Sin un OC nombrado formalmente, técnicamente no puedes tener un programa PLD.

Quién puede ser el oficial de cumplimiento

La regulación exige que el OC:

  • Sea un directivo o funcionario con nivel de decisión dentro de la empresa
  • Tenga conocimiento suficiente de los procesos de la organización
  • No tenga conflictos de interés con las funciones de cumplimiento
  • Sea dado de alta ante el regulador correspondiente (ante el SAT o ante la CNBV, según el caso)

Lee la guía completa sobre el oficial de cumplimiento PLD en México para entender el perfil, las responsabilidades y cómo dar de alta a esta figura ante el regulador.

¿Puede ser externo?

Sí, en el caso de las actividades vulnerables la regulación permite que el OC sea externo. Para entidades financieras los requisitos son más estrictos. Más adelante en esta guía abordamos el tema de la externalización.

Paso 3: Hacer la Evaluación Inicial de Riesgo

Antes de escribir una sola política, necesitas saber a qué riesgos específicos se enfrenta tu empresa. Esto se llama Evaluación Basada en Riesgo (EBR) y es el fundamento sobre el cual se construye todo lo demás.

Una EBR inicial debe analizar cuatro dimensiones:

  • Clientes: ¿Quiénes son tus clientes? ¿Qué proporción son personas físicas vs morales? ¿Tienes clientes extranjeros? ¿Clientes de alto valor?
  • Productos y servicios: ¿Qué vendes o prestas? ¿Implica manejo de efectivo? ¿Transacciones de alto valor?
  • Canales de distribución: ¿Vendes en persona, en línea, a través de intermediarios?
  • Geografía: ¿Operas en zonas de alto riesgo? ¿Tienes operaciones internacionales?

El resultado de esta evaluación determina el nivel de riesgo inherente de tu empresa y, por tanto, la intensidad de los controles que necesitas implementar. Una empresa con riesgo bajo no necesita el mismo nivel de controles que una de riesgo alto.

Consulta nuestra guía sobre evaluación basada en riesgo para empresas para el proceso completo.

Paso 4: Redactar el manual de políticas internas

Con tu EBR en mano, puedes redactar el documento central de tu programa: el manual de políticas, criterios, medidas y procedimientos internos (así se llama oficialmente en la regulación).

Este manual debe incluir, como mínimo:

  • Política de identificación del cliente (KYC): qué documentos pides, cómo verificas la identidad, cuándo aplicas debida diligencia reforzada.
  • Política de aceptación de clientes: criterios para aceptar o rechazar un cliente.
  • Política de monitoreo de operaciones: cómo monitoreas las transacciones para detectar comportamientos inusuales.
  • Política de reporte al regulador: cuándo y cómo reportas operaciones inusuales y relevantes.
  • Política del canal de denuncias: cómo los empleados reportan internamente conductas sospechosas.
  • Política de conservación de registros: cuánto tiempo guardas los expedientes y de qué forma.
  • Política de capacitación: con qué frecuencia capacitas al personal y qué temas cubres.

El manual no puede ser un documento genérico copiado de internet. Debe reflejar los riesgos específicos de tu empresa (identificados en la EBR) y los procesos reales de tu organización.

Paso 5: Implementar el proceso de KYC

El KYC (Know Your Customer, o Conoce a Tu Cliente) es el proceso mediante el cual identificas y verificas la identidad de tus clientes antes de establecer una relación comercial. Es el primer control práctico de tu programa.

Elementos básicos del KYC

Para personas físicas:

  • Identificación oficial vigente (INE, pasaporte)
  • Comprobante de domicilio reciente
  • RFC con homoclave
  • En ciertos casos: CURP, comprobante de ingresos

Para personas morales:

  • Acta constitutiva y sus modificaciones
  • Poder notarial del representante legal
  • Identificación del representante legal
  • RFC de la persona moral
  • Comprobante de domicilio fiscal
  • Identificación de beneficiarios controladores (quién es el dueño real detrás de la empresa)

Debida diligencia reforzada

Algunos clientes requieren un proceso más intensivo: Personas Políticamente Expuestas (PEPs), clientes de alto valor, clientes de países de alto riesgo o aquellos que generan señales de alerta. Para estos casos, el KYC básico no es suficiente —necesitas obtener más información, validarla con más rigor y documentar más detalladamente.

Paso 6: Configurar el monitoreo de operaciones

El monitoreo consiste en revisar de forma continua las transacciones que realiza tu empresa para detectar comportamientos que se desvíen del perfil esperado del cliente o que coincidan con patrones típicos de lavado de dinero.

Qué monitorear

  • Operaciones que superen los umbrales de reporte (en el caso de la LFPIORPI, generalmente 16,000 UDIS para reportar al SAT)
  • Patrones inusuales: pagos fraccionados (estructuración), incrementos repentinos de volumen, clientes que realizan operaciones inconsistentes con su perfil
  • Operaciones con contrapartes en listas de sanciones (OFAC, ONU, listas del SAT)

Cómo implementarlo

En las etapas iniciales, el monitoreo puede hacerse de forma manual con hojas de cálculo si el volumen de operaciones es bajo. Sin embargo, a medida que el volumen crece, este enfoque se vuelve insostenible e ineficiente. Más adelante en esta guía hablamos sobre tecnología.

Paso 7: Establecer el proceso de reporte al regulador

Una vez que tu programa detecta una operación que supera los umbrales o que presenta señales de alerta, debes reportarla al regulador correspondiente.

Tipos de reporte

  • Operaciones relevantes: transacciones en efectivo que superan el umbral establecido (varía según el tipo de entidad y regulador). Se reportan de forma periódica aunque no sean sospechosas.
  • Operaciones inusuales: transacciones que, independientemente del monto, generan sospechas de lavado de dinero. Se reportan cuando el oficial de cumplimiento determina que existe suficiente base.
  • Operaciones internas preocupantes: conductas de empleados o directivos que generan sospecha.

Para actividades vulnerables, los reportes se presentan a través del Sistema de Portal de PLD (SPPLD) del SAT. Para entidades financieras, a través de los sistemas de la CNBV o el regulador correspondiente.

Lee más sobre los distintos tipos de operaciones relevantes, inusuales e internas.

Paso 8: Capacitar a todo el personal

La capacitación no es opcional ni cosmética. Es una obligación regulatoria y, más importante, es el mecanismo mediante el cual tus empleados se convierten en los ojos y oídos del programa PLD.

Quién debe recibir capacitación

  • Todo el personal, sin excepción, debe recibir capacitación general sobre qué es el lavado de dinero y cuáles son las consecuencias.
  • El personal de contacto con clientes (ventas, atención, operaciones) requiere capacitación específica sobre señales de alerta y procedimientos de reporte interno.
  • El oficial de cumplimiento y los supervisores necesitan capacitación avanzada y actualización continua.

Con qué frecuencia

La regulación generalmente exige capacitación al menos una vez al año. Sin embargo, las mejores prácticas recomiendan:

  • Inducción para todo empleado nuevo, antes de que tenga contacto con clientes
  • Capacitación anual general para todo el personal
  • Capacitaciones específicas cuando hay cambios regulatorios relevantes

Revisa la guía completa sobre capacitación PLD para empresas en México para modelos de temarios y formatos.

Paso 9: Implementar el canal de denuncias

El canal de denuncias (también llamado canal de alertas o línea ética) es el mecanismo formal mediante el cual los empleados pueden reportar de forma anónima y sin represalias cualquier conducta que consideren sospechosa o irregular.

Por qué es esencial

  • Es una obligación regulatoria para muchas categorías de sujetos obligados
  • En la práctica, los empleados suelen detectar irregularidades antes que los sistemas automatizados
  • Protege a la empresa documentando que hay un canal formal para reportar

Cómo implementarlo

Puede ser tan simple como una dirección de correo electrónico dedicada con acceso solo por el oficial de cumplimiento, o tan sofisticado como una plataforma en línea con anonimato garantizado. Lo importante es que sea accesible, que el personal sepa que existe, y que las denuncias sean atendidas y documentadas.

Lee más sobre cómo implementar un canal de denuncias anónimo en tu empresa.

Paso 10: Elegir la tecnología que soporte todo lo anterior

Aquí está la realidad práctica: los pasos anteriores son posibles en papel, pero operarlos sin tecnología adecuada es extremadamente difícil. La tecnología no reemplaza al programa PLD —lo hace sostenible y eficiente.

Qué debe hacer tu software PLD

Un sistema tecnológico de cumplimiento PLD debe ser capaz de:

  • Gestionar expedientes de clientes: almacenar, organizar y hacer accesible la documentación del KYC
  • Hacer screening automático: contrastar clientes con listas de sanciones (OFAC, ONU, listas locales) en tiempo real
  • Monitorear transacciones: detectar automáticamente operaciones que superen umbrales o que activen señales de alerta
  • Gestionar alertas: crear un flujo de trabajo para que el oficial de cumplimiento revise, investigue y documente cada alerta
  • Generar reportes regulatorios: facilitar la generación de los reportes al SAT o a la CNBV en el formato correcto
  • Documentar todo: mantener un registro de auditoría completo de cada decisión tomada

Herramientas como Regcheq están diseñadas específicamente para el mercado mexicano y combinan todas estas funcionalidades en una sola plataforma. Para empresas que acaban de convertirse en sujetos obligados, contar con un sistema que automatice el monitoreo y la gestión de alertas puede ser la diferencia entre un programa que funciona y uno que solo existe en papel.

Consulta nuestra comparativa de software PLD para actividades vulnerables para evaluar las opciones disponibles en el mercado mexicano.

Plazos: cuánto tiempo tienes para implementar cada elemento

Los plazos varían dependiendo de si eres actividad vulnerable o entidad financiera. A continuación, una referencia general para actividades vulnerables bajo la LFPIORPI:

ElementoPlazo desde que inicias operaciones reguladas
Alta en el padrón del SAT (SPPLD)Inmediato (antes del primer aviso)
Nombramiento del oficial de cumplimientoInmediato
Manual de políticas internas90 días
Primer KYC aplicado a nuevos clientesDesde el primer día
Primera capacitaciónDentro del primer año, idealmente en los primeros 90 días
Canal de denuncias operativo90 días
Primer reporte al SATAl cierre del primer trimestre en que tengas operaciones que reportar

Para entidades financieras, los plazos y las disposiciones específicas varían por regulador. En algunos casos, los plazos son más estrictos y se cuentan desde la obtención de la autorización de operación.

Errores críticos que cometen las empresas en los primeros 6 meses

Haber visto a muchas empresas pasar por este proceso revela patrones de error que son evitables:

1. Copiar el manual de otra empresa

El manual de políticas debe reflejar los riesgos reales de tu empresa. Un manual genérico que no coincide con tus procesos reales es más peligroso que no tener ninguno —crea una falsa sensación de cumplimiento y genera inconsistencias que se detectan en una auditoría.

2. Nombrar al oficial de cumplimiento “en papel” pero sin darle poder real

El OC necesita autoridad real para decir no a una operación sospechosa, para acceder a información de toda la empresa y para reportar sin que le pregunten permiso. Si el OC no tiene ese poder, el programa no funciona.

3. Tratar el KYC como un formulario y no como un proceso de evaluación

Pedir documentos no es suficiente —hay que evaluarlos, verificarlos y actualizar el expediente cuando la situación del cliente cambia.

4. No capacitar al equipo de ventas

El equipo de ventas es la primera línea de contacto con el cliente. Si no sabe identificar señales de alerta, ninguna otra capa del programa puede compensarlo.

5. Subestimar el volumen de operaciones que habrá que monitorear

Muchas empresas diseñan su programa asumiendo que tendrán pocas operaciones que monitorear. Cuando el negocio crece, el sistema colapsa. El diseño debe contemplar el volumen esperado a 12-24 meses.

6. No documentar las decisiones del oficial de cumplimiento

Cada vez que el OC decide que una alerta no es reportable, esa decisión debe quedar documentada con la justificación. Si no está documentado, no ocurrió —eso es lo que dirá el auditor.

7. Ignorar las actualizaciones regulatorias

La regulación PLD cambia con frecuencia. Las empresas que no tienen un proceso para monitorear cambios regulatorios y actualizar su programa quedan desfasadas sin darse cuenta.

Preguntas Frecuentes

¿Cuánto tiempo tengo para construir el programa desde que me entero de que soy sujeto obligado? Técnicamente, las obligaciones comienzan cuando inicias la actividad regulada, no cuando te enteras. La ignorancia de la ley no exime de cumplirla. Si ya llevas tiempo operando sin programa PLD, el primer paso es hacer un diagnóstico de brecha y empezar a implementar de inmediato, priorizando los elementos de mayor riesgo regulatorio.

¿Puedo hacer todo esto yo mismo o necesito contratar a alguien? Depende del tamaño y complejidad de tu empresa. Una empresa pequeña con pocas operaciones puede implementar un programa básico con apoyo de un consultor externo puntual y una plataforma tecnológica. Una empresa mediana o grande generalmente necesita al menos un oficial de cumplimiento a tiempo completo y posiblemente apoyo externo para la implementación inicial.

¿Qué pasa si el regulador me audita antes de que termine de implementar el programa? Ser auditado durante la implementación es posible. Lo importante es poder demostrar que estás en proceso de implementación, que tienes un plan con fechas, que los elementos críticos (KYC, expedientes, nombramiento del OC) están operativos, y que tienes buena fe en el proceso. Un auditor puede ser más comprensivo con una empresa que está construyendo su programa de buena fe que con una que simplemente no ha hecho nada.

¿Es obligatorio tener software PLD o puedo hacerlo manualmente? La regulación no exige específicamente un software —exige que tengas los procesos implementados y documentados. Sin embargo, hacer el monitoreo y la gestión de expedientes manualmente se vuelve insostenible muy rápido. El regulador puede cuestionar si tu sistema manual es realmente capaz de cumplir con las obligaciones. La mayoría de las empresas con más de un par de docenas de clientes activos necesitarán algún tipo de apoyo tecnológico.

¿El programa PLD tiene que ser aprobado por el regulador antes de que pueda operar? Para la mayoría de las actividades vulnerables, no hay un proceso de aprobación previa del programa —tienes que tenerlo implementado y el regulador lo evalúa cuando hace una auditoría. Para entidades financieras, el proceso puede ser diferente y algunos reguladores requieren que el programa sea presentado y validado antes de autorizar la operación.

¿Qué pasa si un cliente me pide que haga una operación que me parece sospechosa pero no estoy seguro? Ante la duda, la recomendación es documentar la situación y presentarla al oficial de cumplimiento para su evaluación. No rechaces la operación automáticamente sin análisis —pero tampoco la proceses sin revisar. El oficial tiene la responsabilidad y la autoridad para decidir.

Conclusión

Construir un programa PLD desde cero es un proyecto que requiere decisión ejecutiva, recursos adecuados y constancia. No es instantáneo, pero tampoco es imposible. El camino es claro: confirmar tus obligaciones, nombrar a un oficial, evaluar tus riesgos, escribir tus políticas, implementar tus controles y apoyarte en tecnología para que todo sea sostenible.

La alternativa —ignorar las obligaciones o implementar un programa solo en papel— tiene un costo que tarde o temprano se materializa en multas, sanciones o daño reputacional. En cambio, un programa PLD bien construido no solo te protege del riesgo regulatorio: te da una base sólida de gestión de riesgo que beneficia a toda la empresa.

El primer paso es siempre el más difícil. Una vez que tienes el mapa, solo hay que recorrer el camino.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.