EBR
Evaluación Basada en Riesgo
Metodología que permite a sujetos obligados identificar, medir y mitigar riesgos de lavado de dinero según su perfil.
¿Qué es la EBR?
La Evaluación Basada en Riesgo (EBR) es la metodología central del sistema PLD moderno. En lugar de aplicar controles uniformes a todos los clientes y operaciones, la EBR permite que cada sujeto obligado identifique sus propios riesgos, los mida con criterios objetivos y concentre sus recursos de cumplimiento donde el riesgo es genuinamente mayor.
El GAFI adoptó formalmente el enfoque basado en riesgo en su revisión de 2012 y México lo incorporó como eje estructural de su sistema PLD. Hoy, todas las disposiciones sectoriales —CNBV, CNSF, CONSAR, SAT— exigen que el programa PLD institucional parta de una evaluación de riesgo documentada.
Las cuatro dimensiones del riesgo en la EBR
Una EBR robusta analiza el riesgo desde cuatro ángulos:
1. Riesgo de cliente
¿Quiénes son los clientes? ¿Hay PEPs, personas con domicilio en jurisdicciones de alto riesgo o beneficiarios controladores no identificados? El perfil de la base de clientes define el riesgo más relevante para la mayoría de las entidades.
2. Riesgo de producto o servicio
Algunos productos son inherentemente más susceptibles al lavado de dinero: las transferencias internacionales, el efectivo, los instrumentos al portador o los préstamos de alto valor.
3. Riesgo geográfico
Operaciones con contrapartes en zonas con alta incidencia de crimen organizado, paraísos fiscales o países en lista gris del GAFI incrementan el riesgo de la cartera.
4. Riesgo de canal
Los canales digitales o no presenciales —onboarding remoto, operaciones por aplicación móvil— presentan riesgos distintos al canal presencial, principalmente en la verificación de identidad.
De la EBR a la Matriz de Riesgo
El resultado operativo de la EBR se plasma en la matriz de riesgo: un documento que cruza las dimensiones anteriores, asigna puntajes ponderados y genera un nivel de riesgo residual por segmento o cliente. Esta matriz es la base para definir el nivel de CDD o EDD que corresponde a cada cliente, así como la frecuencia de actualización de expedientes.
Revisión periódica
La EBR no es un documento estático. Debe revisarse al menos una vez al año o cuando ocurran cambios significativos en el entorno: nuevos productos, cambios regulatorios, fusiones o adquisiciones, o cuando la UIF emite tipologías actualizadas. Para conocer cómo documentar y actualizar la EBR, consulta la guía de evaluación basada en riesgo para empresas.
En la práctica
Una casa de cambio en la frontera norte de México realiza su EBR anual. En la dimensión de cliente, identifica que el 30 % de sus operaciones provienen de clientes con domicilio en el extranjero o sin RFC, lo que eleva el riesgo de ese segmento. En la dimensión de producto, las operaciones de cambio de divisas en efectivo por montos superiores a 500 dólares se clasifican como riesgo alto. Como resultado, la EBR determina que ese segmento requiere EDD automática y monitoreo diario de operaciones.
El oficial de cumplimiento documenta la metodología, somete la EBR al consejo de administración para su aprobación y la usa como base para actualizar el manual de políticas PLD. Este proceso completo es lo que el supervisor revisará en la próxima auditoría PLD.