CumplimientoPLD.mx
Blog →
Artículo EBREvaluación de RiesgoMetodología PLD

Cómo hacer una Evaluación Basada en Riesgo (EBR) para tu empresa: guía práctica

La Evaluación Basada en Riesgo (EBR) es obligatoria para todos los sujetos obligados en México. Aprende a hacerla paso a paso con esta guía.

La Evaluación Basada en Riesgo (EBR) es uno de los pilares del cumplimiento PLD moderno. No es un concepto abstracto ni una formalidad burocrática: es la herramienta que permite a cualquier empresa entender qué tan expuesta está al riesgo de lavado de dinero, dónde están sus puntos más vulnerables y cómo debe distribuir sus recursos de cumplimiento para mitigar esos riesgos de manera eficiente.

Si tu empresa es un sujeto obligado —ya sea bajo la LFPIORPI como actividad vulnerable, o bajo disposiciones de la CNBV como entidad financiera, SOFOM o fintech—, la EBR no es opcional. Es una obligación regulatoria, y su ausencia o inadecuada implementación es una de las deficiencias más frecuentes que detectan las autoridades en sus visitas de verificación.

Esta guía explica qué es la EBR, por qué es obligatoria, cómo hacerla paso a paso, cómo documentarla y cómo mantenerla actualizada.

Evaluación Basada en Riesgo para empresas en México

Qué es la EBR y por qué es obligatoria

El concepto

La Evaluación Basada en Riesgo es un proceso metodológico mediante el cual una empresa:

  1. Identifica los factores de riesgo de lavado de dinero y financiamiento al terrorismo (LD/FT) presentes en su operación
  2. Mide el nivel de riesgo que representa cada factor
  3. Prioriza los riesgos más significativos
  4. Mitiga esos riesgos con controles y medidas adecuadas
  5. Documenta todo el proceso para poder demostrarlo ante las autoridades

La lógica detrás del enfoque basado en riesgo es eficiente: en lugar de aplicar el mismo nivel de diligencia a todos los clientes y operaciones por igual —lo que sería costoso e imprácticamente exhaustivo—, la empresa concentra sus recursos de cumplimiento donde el riesgo es mayor y aplica medidas más simples donde el riesgo es menor.

Marco regulatorio

La obligación de realizar una EBR tiene fundamentos regulatorios distintos dependiendo del tipo de entidad:

Para entidades financieras bajo supervisión de la CNBV (bancos, SOFOMes, casas de bolsa, fintechs, etc.): las Disposiciones de Carácter General emitidas por la CNBV —específicamente el artículo 18 y sus equivalentes en cada sector— establecen la obligación de contar con una metodología de evaluación de riesgo y de aplicarla de manera continua.

Para actividades vulnerables bajo la LFPIORPI (inmobiliarias, joyerías, notarías, agencias de autos, etc.): las Reglas de Carácter General de la LFPIORPI también establecen la obligación de contar con una evaluación de riesgo que sustente el programa de cumplimiento.

En ambos casos, la EBR no es un documento que se hace una sola vez y se guarda en un cajón. Debe actualizarse periódicamente —como mínimo una vez al año— y cada vez que haya cambios significativos en el negocio, en los productos o en el entorno regulatorio.

Para entender el marco general del PLD en México y cómo encaja la EBR en el sistema de cumplimiento, consulta nuestra guía PLD México 2026.

Los 4 factores de riesgo que toda EBR debe evaluar

La metodología EBR reconocida internacionalmente —y requerida por la regulación mexicana— se organiza alrededor de cuatro grandes categorías de factores de riesgo:

1. Clientes

El perfil de tus clientes es el factor de riesgo más importante. No todos los clientes representan el mismo nivel de riesgo. Algunos factores que elevan el riesgo asociado a un cliente:

  • Personas Políticamente Expuestas (PPEs): funcionarios públicos, legisladores, jueces, candidatos políticos y sus familiares directos representan un riesgo mayor debido al acceso que tienen a recursos públicos.
  • Clientes de jurisdicciones de alto riesgo: personas o empresas provenientes de países que el GAFI (FATF) ha identificado como deficientes en sus controles AML.
  • Clientes con perfil económico inconsistente: cuando las operaciones de un cliente no son congruentes con su actividad económica declarada o con su capacidad financiera aparente.
  • Clientes con estructuras opacas: empresas con múltiples capas de personas morales que dificultan identificar al beneficiario real.
  • Clientes con antecedentes negativos: presencia en listas de sancionados, PEPs, o personas vinculadas a investigaciones de lavado de dinero.

2. Productos y servicios

Los productos y servicios que ofrece tu empresa pueden ser, por su naturaleza, más o menos atractivos para el lavado de dinero. Factores que elevan el riesgo:

  • Anonimato: productos que permiten operar sin revelar la identidad del usuario.
  • Liquidez: productos que pueden convertirse fácilmente en efectivo o en otros activos.
  • Internacionalidad: productos que facilitan transferencias transfronterizas.
  • Complejidad: productos financieros o legales complejos que dificultan el rastreo.
  • Valor elevado: productos de alto valor unitario que permiten concentrar grandes recursos en pocas operaciones.

Para una inmobiliaria, el producto de riesgo más alto es la compraventa de inmuebles de alto valor con pago en efectivo. Para una joyería, los metales y piedras preciosas en transacciones en efectivo. Para una fintech, los productos que permiten transferencias rápidas y de alto volumen.

3. Canales de distribución

La forma en que tu empresa llega a sus clientes y ejecuta sus operaciones también determina el nivel de riesgo. Canales de mayor riesgo:

  • Canales no presenciales: cuando el cliente nunca está físicamente presente (ventas por internet, plataformas digitales, intermediarios). Es más difícil verificar la identidad y el contexto.
  • Intermediarios no controlados: cuando la empresa opera a través de agentes externos sobre los cuales tiene poco control y supervisión.
  • Efectivo: la posibilidad de recibir o hacer pagos en efectivo siempre eleva el riesgo de un canal.

Canales de menor riesgo son, en general, los presenciales con verificación de identidad cara a cara, los que operan a través del sistema financiero formal (transferencias bancarias trazables) y los que involucran intermediarios regulados.

4. Geografía

El lugar donde opera tu empresa y el origen geográfico de tus clientes son factores relevantes de riesgo:

  • Estados con alta incidencia de crimen organizado: algunas entidades federativas tienen mayores índices de actividad de organizaciones criminales que pueden querer lavar dinero a través de negocios legales.
  • Zonas fronterizas: las ciudades fronterizas tienen mayor exposición al flujo de recursos de actividades ilícitas transfronterizas.
  • Clientes de jurisdicciones internacionales de riesgo: ya mencionado en la dimensión de clientes.
  • Operación en múltiples geografías: empresas que operan en varias regiones o países tienen una exposición geográfica más diversa y compleja.

Metodología paso a paso para hacer tu EBR

Paso 1: Identificar los factores de riesgo

El primer paso es hacer un inventario exhaustivo de los factores de riesgo presentes en tu empresa. Para cada una de las cuatro categorías —clientes, productos, canales, geografía—, lista todos los elementos relevantes para tu operación específica.

Ejemplo para una agencia de autos:

  • Clientes: individuos de alto patrimonio, empresas con accionistas no identificados, clientes extranjeros, clientes recurrentes de compra de múltiples vehículos.
  • Productos: vehículos de alta gama (más de $1 millón), operaciones con componente en efectivo.
  • Canales: ventas a través de intermediarios (concesionarios de otras marcas), operaciones donde el comprador actúa a través de representante.
  • Geografía: agencias en ciudades fronterizas o en zonas con alta actividad de organizaciones criminales.

Paso 2: Medir el riesgo

Para cada factor identificado, debes asignar un nivel de riesgo: bajo, medio o alto. Esta medición puede hacerse de forma cualitativa (basada en el juicio de los responsables del cumplimiento) o cuantitativa (con una escala numérica). Lo más común en empresas que no son entidades financieras sofisticadas es un enfoque cualitativo bien documentado.

Los criterios para asignar el nivel de riesgo incluyen:

  • Probabilidad: ¿qué tan probable es que este factor sea explotado para lavar dinero?
  • Impacto: si se materializara el riesgo, ¿qué tan grave sería el daño para la empresa?
  • Controles existentes: ¿ya tienes controles que mitiguen este riesgo? ¿Qué tan efectivos son?

Paso 3: Construir la matriz de riesgo

La matriz de riesgo es la representación visual y estructurada de los resultados del análisis. Combina los factores identificados con su nivel de riesgo y los controles existentes.

Aquí un ejemplo simplificado de cómo puede verse una matriz de riesgo para una empresa:

Factor de RiesgoCategoríaProbabilidadImpactoNivel de RiesgoControl ExistenteRiesgo Residual
Clientes PPEClientesMediaAltoAltoKYC reforzado para PPEsMedio
Pagos en efectivoCanalesAltaAltoAltoLímite de efectivo, declaración de fuenteMedio
Clientes extranjerosClientesBajaMedioBajoKYC estándar + pasaporteBajo
Ventas online sin verificación presencialCanalesMediaMedioMedioVerificación documental digitalMedio
Operaciones en zona fronterizaGeografíaAltaAltoAltoMayor diligencia en sucursales fronterizasMedio
Clientes con estructuras complejas de empresaClientesBajaAltoMedioIdentificación de beneficiario controladorBajo

El riesgo residual es el nivel de riesgo que queda después de aplicar los controles existentes. Es el punto de partida para decidir si necesitas controles adicionales.

Paso 4: Priorizar los riesgos

Una vez que tienes la matriz, ordena los factores por nivel de riesgo residual. Los de riesgo alto son tu prioridad máxima: ahí debes concentrar los recursos de cumplimiento. Los de riesgo medio requieren controles adecuados pero no necesariamente los más exigentes. Los de riesgo bajo pueden manejarse con controles simplificados.

Paso 5: Mitigar los riesgos

Para cada factor de riesgo alto o medio, define medidas de mitigación específicas. Estas medidas se convierten en parte de tu programa de cumplimiento:

  • Para clientes de alto riesgo: aplicar Debida Diligencia Ampliada (mayor documentación, mayor escrutinio de la fuente de recursos, aprobación de un nivel superior antes de aceptar al cliente).
  • Para pagos en efectivo: establecer límites, requerir declaración de fuente firmada, documentar la congruencia con el perfil del cliente.
  • Para zonas geográficas de riesgo: mayor frecuencia de monitoreo de operaciones inusuales en esas ubicaciones.

Paso 6: Documentar todo el proceso

La EBR tiene que estar documentada de forma que un auditor externo o un inspector del SAT o la CNBV pueda entender qué hiciste, cómo lo hiciste y por qué tomaste las decisiones que tomaste. La documentación debe incluir:

  • La metodología utilizada (explicación de cómo asignaste los niveles de riesgo)
  • El inventario de factores de riesgo
  • La matriz de riesgo completa
  • Las medidas de mitigación definidas
  • Las personas que participaron en el análisis
  • La fecha de elaboración y la fecha de la próxima revisión

Cómo categorizar a tus clientes: alto, medio y bajo riesgo

Uno de los outputs más prácticos de la EBR es el perfil de riesgo del cliente. Basándote en tu análisis, debes ser capaz de categorizar a cada cliente cuando lo incorporas:

Clientes de alto riesgo: requieren Debida Diligencia Ampliada (EDD en inglés). Esto significa más documentación, mayor escrutinio de la fuente de recursos, aprobación de un nivel superior, monitoreo continuo de sus operaciones, y revisión más frecuente del expediente.

Ejemplos típicos de clientes de alto riesgo:

  • PPEs y sus familiares directos
  • Personas o empresas de jurisdicciones de alto riesgo según el GAFI
  • Clientes cuyas operaciones no son congruentes con su perfil económico
  • Clientes con presencia en listas de sancionados o con antecedentes negativos documentados

Clientes de riesgo medio: requieren Debida Diligencia Estándar. El KYC estándar aplica, con monitoreo regular y revisión periódica del expediente.

Clientes de bajo riesgo: pueden aplicar Debida Diligencia Simplificada (menos documentación, procesos más ágiles). Sin embargo, incluso los clientes de bajo riesgo requieren identificación básica y documentación mínima.

Importante: la categoría de riesgo de un cliente no es permanente. Puede cambiar si hay variaciones en su comportamiento, en sus operaciones o en su perfil (por ejemplo, si un cliente de riesgo bajo comienza a realizar operaciones significativamente por encima de su patrón histórico).

Cómo documentar la EBR para que sea válida ante auditorías

Una EBR mal documentada es casi tan problemática como no tenerla. Los inspectores de la CNBV y del SAT no solo verifican que exista el documento: revisan que sea coherente, que esté fundamentado y que se refleje en las prácticas reales de la empresa.

Lo que debe contener el documento de EBR:

  • Portada: nombre de la empresa, fecha de elaboración, versión del documento, responsable de la elaboración y aprobación.
  • Introducción: descripción del negocio, del tipo de clientes que atiende, de los productos y servicios que ofrece, y de las geografías donde opera.
  • Metodología: explicación de cómo se asignaron los niveles de riesgo (criterios utilizados, escala empleada).
  • Análisis de factores de riesgo: sección por sección para clientes, productos/servicios, canales y geografía.
  • Matriz de riesgo: la tabla consolidada con todos los factores, sus niveles y los controles.
  • Plan de mitigación: las medidas concretas para cada factor de riesgo relevante.
  • Conclusión: el nivel de riesgo global de la empresa (el “apetito de riesgo” o perfil general).
  • Firmas: del responsable de cumplimiento y, en empresas más grandes, del órgano de gobierno (consejo de administración o equivalente).

Consistencia con la práctica: la EBR debe reflejarse en cómo la empresa realmente opera. Si la EBR dice que los clientes PPE requieren aprobación del director general, pero en la práctica los vendedores los aprueban solos, la EBR no es válida ante una auditoría.

Frecuencia de actualización

La EBR no es un documento estático. Debes actualizarla:

  • Al menos una vez al año: revisión anual completa del análisis de riesgo.
  • Cuando haya cambios significativos en el negocio: nuevos productos, nuevos mercados, nuevas líneas de negocio, cambios en el modelo de distribución.
  • Cuando cambien las regulaciones: nuevas disposiciones de la CNBV o del SAT que modifiquen las obligaciones PLD.
  • Cuando ocurra un evento de riesgo relevante: si se detecta una operación inusual importante, si hay una alerta de un cliente, o si el sector sufre un escándalo de lavado de dinero que el regulador tome en cuenta.

Cómo el software PLD puede automatizar y facilitar la EBR

Para empresas con alto volumen de clientes u operaciones, hacer y mantener la EBR manualmente es una tarea que consume tiempo y es propensa a errores. Los sistemas de gestión PLD modernos pueden ayudar significativamente:

  • Perfilamiento automático del cliente: el sistema asigna un nivel de riesgo al cliente en el momento de la incorporación, basándose en los criterios que tú configuras en la EBR.
  • Monitoreo continuo de transacciones: detecta automáticamente patrones de operaciones que no son congruentes con el perfil de riesgo del cliente.
  • Alertas de actualización de expediente: te avisa cuando el expediente de un cliente de alto riesgo debe revisarse.
  • Registro de decisiones: documenta automáticamente las decisiones tomadas sobre clientes y operaciones, generando el rastro documental que necesitas para la auditoría.
  • Dashboards de riesgo: visualización del perfil de riesgo de tu portafolio de clientes para que puedas monitorear la distribución de riesgo de manera global.

Para empresas reguladas por la CNBV, consulta nuestra guía de software PLD para SOFOMes. Para actividades vulnerables, visita nuestra sección de software PLD para actividades vulnerables. Y para una comparativa general del mercado, revisa nuestra guía de los mejores softwares PLD en México 2026.

Plantilla de EBR: estructura que puedes replicar

A continuación se presenta la estructura básica de una EBR que puedes usar como punto de partida para tu empresa. Adapta cada sección a tu realidad específica:

SECCIÓN 1: DESCRIPCIÓN DEL NEGOCIO

  • Tipo de empresa y giro principal
  • Tipos de clientes atendidos (persona física, persona moral, nacionales, extranjeros)
  • Productos y servicios ofrecidos
  • Canales de distribución utilizados
  • Geografías donde opera

SECCIÓN 2: METODOLOGÍA DE EVALUACIÓN

  • Escala de riesgo utilizada (ej. 1-3 para bajo/medio/alto, o numérica del 1 al 10)
  • Criterios para asignar probabilidad
  • Criterios para asignar impacto
  • Fórmula de cálculo del nivel de riesgo (ej. Probabilidad × Impacto)

SECCIÓN 3: ANÁLISIS POR FACTOR DE RIESGO

  • 3.1 Clientes: listado de tipos de clientes y su nivel de riesgo
  • 3.2 Productos y servicios: listado de productos y su nivel de riesgo
  • 3.3 Canales de distribución: listado de canales y su nivel de riesgo
  • 3.4 Geografía: mapa de riesgo geográfico de la empresa

SECCIÓN 4: MATRIZ CONSOLIDADA DE RIESGO

  • Tabla con todos los factores, niveles de riesgo y controles existentes
  • Columna de riesgo residual

SECCIÓN 5: PLAN DE MITIGACIÓN

  • Para cada factor de riesgo alto o medio: medida de mitigación, responsable, plazo

SECCIÓN 6: NIVEL DE RIESGO GLOBAL

  • Conclusión sobre el perfil de riesgo general de la empresa
  • Implicaciones para el programa de cumplimiento

SECCIÓN 7: VIGENCIA Y PRÓXIMA REVISIÓN

  • Fecha de elaboración
  • Fecha de la próxima revisión programada
  • Responsable de la revisión

Preguntas frecuentes sobre la EBR

¿Quién debe hacer la EBR en mi empresa?

Idealmente, la EBR debe ser elaborada por el oficial de cumplimiento o por la persona responsable del programa PLD, con la participación de las áreas de negocio (ventas, operaciones, productos) que tienen el conocimiento práctico de cómo opera la empresa. Si no tienes un oficial de cumplimiento dedicado, puede hacerla un directivo con conocimiento del negocio o un consultor externo especializado en PLD. Para saber más sobre el rol del oficial de cumplimiento, consulta nuestra guía de oficial de cumplimiento PLD en México.

¿Puede la EBR de mi empresa ser idéntica a la de un competidor?

No debería. La EBR debe reflejar las características específicas de tu empresa: tus clientes reales, tus productos reales, tus canales reales y tu geografía real. Una EBR genérica que no refleja la realidad del negocio es fácilmente detectable por un auditor experimentado y no cumple el propósito regulatorio. Puedes usar una plantilla como punto de partida, pero el análisis y las conclusiones deben ser propios.

¿Qué pasa si mi EBR dice que tengo alto riesgo?

Que la EBR revele un perfil de alto riesgo no es necesariamente un problema: es información valiosa que te permite enfocar tus recursos de cumplimiento donde más se necesitan. El problema sería tener un perfil de alto riesgo sin los controles adecuados para mitigarlo. La EBR es el diagnóstico; el programa de cumplimiento es el tratamiento. Si tu EBR revela riesgos significativos, el siguiente paso es fortalecer los controles correspondientes.

¿Con qué frecuencia debo actualizar la EBR?

Como mínimo una vez al año. Pero también debes actualizarla cuando haya cambios significativos en tu negocio (nuevos productos, nuevos mercados, cambios en la base de clientes) o cuando cambien las regulaciones. Un buen práctica es programar la revisión anual de la EBR para el inicio de cada año, cuando también se actualizan los valores de la UMA y otros parámetros regulatorios.

¿La EBR es diferente de la evaluación de riesgo que pide el SAT versus la que pide la CNBV?

La metodología es esencialmente la misma —identificar, medir, mitigar y documentar riesgos de LD/FT— pero los énfasis y los requisitos de documentación pueden diferir según el marco regulatorio aplicable. Las disposiciones de la CNBV tienden a ser más detalladas y exigentes para entidades financieras. Para actividades vulnerables bajo la LFPIORPI, los requisitos son similares en estructura pero pueden ser menos prescriptivos en la forma. En ambos casos, los cuatro factores de riesgo (clientes, productos, canales, geografía) son el núcleo del análisis.

La EBR no es una carga burocrática: es la brújula de tu programa de cumplimiento. Sin ella, el cumplimiento PLD se vuelve arbitrario —haces más o menos lo mismo con todos los clientes sin saber realmente dónde está el riesgo. Con ella, puedes ser más eficiente: más exigente donde el riesgo es mayor y más ágil donde el riesgo es menor. Las empresas que hacen bien su EBR no solo cumplen con la regulación: toman mejores decisiones de negocio y tienen menos probabilidad de ser vectores involuntarios de actividades ilícitas.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.