Matriz de Riesgo
Herramienta PLD que cruza factores de riesgo —cliente, producto, geografía— para priorizar controles y recursos.
¿Qué es la matriz de riesgo PLD?
La matriz de riesgo es el instrumento metodológico y documental que materializa los resultados de la Evaluación Basada en Riesgo (EBR) de un sujeto obligado. Consiste en una estructura tabular o matricial que cruza los principales factores de riesgo —cliente, producto o servicio, canal de distribución y geografía— asigna ponderaciones y puntajes a cada uno, y genera un nivel de riesgo residual que sirve de base para determinar los controles PLD aplicables.
Todos los supervisores mexicanos —CNBV, SAT, CNSF, CONSAR— exigen que el programa PLD institucional incluya una matriz de riesgo documentada, aprobada por el órgano de gobierno y actualizada periódicamente.
Estructura básica de una matriz de riesgo
Una matriz de riesgo PLD típica sigue esta lógica:
Paso 1: Identificación de factores de riesgo
Se listan los tipos de clientes, productos, canales y geografías que maneja la entidad, identificando cuáles representan mayor exposición al lavado de dinero.
Paso 2: Ponderación de factores
Cada factor recibe un peso relativo dentro del riesgo total. Por ejemplo: cliente (40 %), producto (30 %), geografía (20 %), canal (10 %). Los pesos deben justificarse en función del perfil de la entidad.
Paso 3: Puntuación de riesgo inherente
Se califica el nivel de riesgo de cada elemento antes de aplicar controles (riesgo inherente): bajo (1), medio (2) o alto (3).
Paso 4: Evaluación de controles existentes
Se valora la efectividad de los controles actuales para mitigar cada riesgo: deficiente, adecuado, robusto.
Paso 5: Riesgo residual
El cruce entre riesgo inherente y efectividad de controles genera el riesgo residual: el riesgo real al que está expuesta la entidad después de sus mitigantes.
Paso 6: Definición de acciones
El riesgo residual determina el nivel de CDD o EDD requerido, la frecuencia de monitoreo y si se necesitan controles adicionales.
Factores de riesgo más comunes en México
| Factor | Ejemplos de alto riesgo |
|---|---|
| Cliente | PEPs, residentes en jurisdicciones de riesgo, estructuras complejas |
| Producto | Efectivo, transferencias internacionales, instrumentos al portador |
| Geografía | Estados con alta actividad del crimen organizado, paraísos fiscales |
| Canal | Onboarding digital sin verificación presencial, corresponsalía |
Actualización y gobierno de la matriz
La matriz de riesgo no es estática. Debe revisarse:
- Anualmente, como parte del ciclo de EBR.
- Ante cambios significativos: nuevos productos, fusiones, cambios regulatorios.
- Cuando la UIF publique nuevas tipologías de lavado relevantes para el sector.
El resultado de la revisión debe quedar documentado con firma del oficial de cumplimiento y aprobación del consejo de administración o equivalente.
En la práctica
Una sofom de crédito al consumo en Jalisco construye su matriz de riesgo anual. En la dimensión de cliente, identifica que el 15 % de su cartera son trabajadores informales sin comprobante de ingresos formal, clasificados como riesgo medio-alto. En la dimensión de canal, los créditos solicitados por aplicación móvil —sin visita presencial— reciben el mayor puntaje de riesgo inherente. Al cruzar ambos factores, la matriz determina que ese segmento requiere controles adicionales: validación de identidad biométrica, verificación de ingresos con estados de cuenta y monitoreo mensual del perfil transaccional.
El documento resultante —la matriz de riesgo— es el primer documento que el supervisor pedirá en la siguiente auditoría PLD. Para aprender a construirla paso a paso, consulta la guía de evaluación basada en riesgo para empresas.