CumplimientoPLD.com.mx
Blog →
Artículo Manual PLDPolíticas InternasDocumentación

El manual de políticas PLD: qué debe incluir y cómo redactarlo

El manual de políticas PLD es obligatorio para todos los sujetos obligados. Qué debe contener, cómo estructurarlo y mantenerlo actualizado.

Pocas cosas generan más angustia en un oficial de cumplimiento que recibir la indicación de “redactar el manual de políticas PLD” sin mayor orientación sobre qué debe incluir. El documento existe — hay menciones a él en la regulación, en las auditorías, en las listas de verificación — pero las instrucciones sobre cómo construirlo son, en el mejor de los casos, fragmentarias.

Esta guía resuelve ese problema. Aquí encontrarás qué secciones debe tener el manual, qué debe decir cada una, cómo adaptarlo al tipo de empresa y cómo demostrar ante una auditoría que no solo existe, sino que se aplica.

¿Por qué es obligatorio y qué dice la regulación?

La obligación de contar con un manual de políticas y procedimientos en materia de PLD no es una recomendación de buenas prácticas: está establecida expresamente en la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) y en las Reglas de Carácter General emitidas por el SAT para cada tipo de actividad vulnerable.

El artículo 18 de la LFPIORPI establece que los sujetos obligados deben contar con políticas de identificación de clientes y usuarios, así como con mecanismos para detectar y reportar operaciones. Las Reglas de Carácter General — que varían según el tipo de actividad vulnerable — son más específicas: exigen que esas políticas estén formalizadas por escrito, que sean conocidas por el personal, y que estén actualizadas.

En términos prácticos: si no tienes el manual, ya estás incumpliendo. Si lo tienes pero está desactualizado o el personal no lo conoce, también estás incumpliendo. Y si lo tienes, está actualizado, pero nadie puede demostrar que se aplica, estás en una zona de riesgo.

Para el contexto regulatorio completo, consulta nuestra guía PLD México 2026.

Índice tipo del manual de políticas PLD

Antes de entrar al detalle de cada sección, aquí está la estructura recomendada:

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS EN MATERIA DE PLD/FT

1. Introducción y propósito
2. Marco regulatorio aplicable
3. Gobierno y estructura de cumplimiento
   3.1 Responsabilidades de la dirección
   3.2 Designación del oficial de cumplimiento
   3.3 Comité de cumplimiento (si aplica)
4. Política de conoce a tu cliente (KYC)
   4.1 Identificación de personas físicas
   4.2 Identificación de personas morales
   4.3 Beneficiario controlador
   4.4 Personas Políticamente Expuestas (PEPs)
   4.5 Verificación en listas de sanciones
5. Clasificación y gestión del riesgo
   5.1 Metodología de evaluación de riesgo
   5.2 Factores de riesgo
   5.3 Perfil transaccional del cliente
   5.4 Revisión periódica de la clasificación
6. Monitoreo de operaciones
   6.1 Umbrales de operaciones relevantes
   6.2 Detección de operaciones inusuales
   6.3 Operaciones internas preocupantes
7. Reporte a autoridades
   7.1 Procedimiento para avisos al SAT/SPPLD
   7.2 Plazos y responsables
   7.3 Confidencialidad del reporte (tipping off)
8. Debida diligencia en PEPs y alto riesgo
9. Conservación de expedientes y registros
10. Programa de capacitación
11. Canal interno de reportes y denuncias
12. Actualizaciones y revisión del manual
13. Disposiciones finales

Sección por sección: qué debe decir cada una

1. Introducción y propósito

Esta sección establece el compromiso institucional con el cumplimiento en PLD/FT. No es un párrafo de relleno — es la declaración formal de que la empresa toma en serio estas obligaciones y que el manual es un instrumento vivo, no un documento de cajón.

Debe incluir: el nombre legal de la empresa, el tipo de actividad vulnerable que realiza, la normativa que le aplica y una declaración de la alta dirección sobre el compromiso con el cumplimiento. Idealmente, esta sección está firmada por el director general o el consejo de administración.

2. Marco regulatorio aplicable

Lista las normas específicas que aplican a tu empresa:

  • Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI)
  • Reglamento de la LFPIORPI
  • Reglas de Carácter General de la SPCIER/SAT aplicables a tu tipo de actividad
  • Estándares GAFI relevantes
  • Cualquier normativa sectorial adicional (si aplica CNBV, CNSF, etc.)

Esta sección se actualiza cada vez que hay cambios regulatorios.

3. Gobierno y estructura de cumplimiento

Aquí se define quién es responsable de qué. Debe especificar:

  • El nombre y cargo del oficial de cumplimiento designado
  • Sus funciones y atribuciones específicas
  • La línea de reporte (a quién reporta el oficial de cumplimiento)
  • Si existe un comité de cumplimiento, su composición y frecuencia de reunión
  • Las responsabilidades de la alta dirección en materia de PLD

El oficial de cumplimiento no puede ser una designación nominal. La regulación exige que tenga autoridad suficiente para implementar las políticas y acceso directo a la alta dirección. Para más detalle sobre este rol, consulta nuestra guía sobre el oficial de cumplimiento PLD en México.

4. Política de Conoce a Tu Cliente (KYC)

Esta es probablemente la sección más extensa y más importante del manual. Debe describir exactamente qué información se solicita a cada tipo de cliente, en qué momento y con qué documentos de respaldo.

Para personas físicas:

  • Nombre completo, CURP, RFC
  • Identificación oficial vigente
  • Comprobante de domicilio
  • Actividad económica
  • Origen de los recursos (cuando aplica por umbral)

Para personas morales:

  • Acta constitutiva y poderes notariales
  • RFC y constancia de situación fiscal
  • Identificación del representante legal
  • Estructura de propiedad y beneficiario controlador
  • Objeto social y actividad económica

Beneficiario controlador: Desde la reforma fiscal de 2022, hay obligaciones específicas de identificar a las personas físicas que finalmente controlan una persona moral. Tu manual debe describir el proceso de identificación del beneficiario controlador, incluyendo qué pasa cuando el cliente no proporciona esa información. Para más detalle, consulta el artículo sobre beneficiario controlador en PLD México.

PEPs: Describir el proceso de identificación de Personas Políticamente Expuestas, qué umbrales o criterios activan la debida diligencia reforzada y quién autoriza la relación con un cliente PEP.

Verificación de listas: El procedimiento exacto para consultar listas de sanciones (OFAC, ONU, lista de GAFI, listas nacionales) y qué se hace cuando aparece una coincidencia.

5. Clasificación y gestión del riesgo

El manual debe describir la metodología de evaluación basada en riesgo (EBR) que usa la empresa. Esto incluye:

  • Los factores de riesgo que se evalúan (tipo de cliente, zona geográfica, tipo de producto/servicio, canal de distribución)
  • La escala de clasificación (típicamente bajo, medio, alto)
  • Qué medidas aplican a cada nivel de riesgo
  • Con qué frecuencia se revisa la clasificación de cada cliente

La EBR no es un documento separado del manual — debe estar integrada en él o referenciada explícitamente. Para más detalle sobre cómo construirla, consulta nuestra guía sobre la evaluación basada en riesgo.

6. Monitoreo de operaciones

Esta sección define qué se monitorea, cómo y con qué frecuencia. Debe incluir:

  • Los umbrales de operaciones relevantes según el tipo de actividad vulnerable (son distintos para cada actividad — joyería, notaría, inmobiliaria, etc.)
  • Los criterios de detección de operaciones inusuales: comportamiento fuera del perfil del cliente, estructuración, uso de efectivo inusual, inconsistencias entre actividad declarada y operaciones reales
  • El procedimiento cuando se detecta una operación que requiere análisis: quién lo analiza, en qué plazo, qué documentación se genera
  • La definición de operación interna preocupante y el proceso para reportarla internamente

7. Reporte a autoridades

Esta sección es crítica: describe exactamente cómo y cuándo se envían los avisos al SAT a través del SPPLD. Incluye:

  • Los tipos de aviso que aplican a tu actividad
  • Los plazos máximos de reporte
  • Quién tiene acceso al SPPLD y quién autoriza el envío
  • El proceso de documentación interna del reporte
  • La obligación de confidencialidad (“tipping off”): está expresamente prohibido informar al cliente o al sujeto de la operación que fue reportado

8. Debida diligencia en PEPs y alto riesgo

Más allá del KYC estándar, los clientes de alto riesgo requieren un proceso de debida diligencia reforzada. El manual debe especificar qué medidas adicionales aplican: verificación adicional de origen de recursos, aprobación de nivel gerencial para iniciar la relación, monitoreo más frecuente de las operaciones, revisión periódica del expediente.

9. Conservación de expedientes y registros

La regulación exige conservar los expedientes durante un mínimo de 5 años desde el cierre de la relación comercial. El manual debe especificar:

  • Qué se conserva (expedientes completos, reportes, comunicaciones con la autoridad)
  • Por cuánto tiempo
  • En qué formato (físico, digital o ambos)
  • Quién tiene acceso y bajo qué circunstancias

10. Programa de capacitación

Esta sección describe el plan de capacitación del personal en materia de PLD/FT. Debe incluir:

  • Frecuencia mínima de la capacitación (la regulación generalmente exige al menos una vez al año)
  • Contenidos mínimos del programa
  • Cómo se documenta que el personal asistió y aprobó
  • Proceso de inducción para nuevo personal

Para una guía detallada sobre este tema, consulta nuestro artículo sobre capacitación PLD en empresas mexicanas.

11. Canal interno de reportes y denuncias

El manual debe describir el mecanismo a través del cual cualquier empleado puede reportar sospechas de operaciones inusuales sin temor a represalias. Esto incluye cómo funciona el canal (correo electrónico, plataforma digital, buzón físico), quién lo gestiona y cómo se garantiza la confidencialidad del denunciante.

12. Actualizaciones y revisión del manual

Esta sección establece la periodicidad mínima de revisión del manual (generalmente anual) y el proceso de aprobación cuando hay cambios. También describe qué eventos disparan una revisión extraordinaria — por ejemplo, un cambio regulatorio significativo o una observación de la autoridad.

¿Cómo adaptar el manual al tipo de empresa?

El manual no es un documento genérico. Debe adaptarse a la realidad de tu empresa:

Para una notaría: Los umbrales de relevancia son distintos, el tipo de operaciones que monitoreas está relacionado con actos jurídicos y transmisión de bienes, y el KYC de personas morales es especialmente relevante dado el tipo de actos que se instrumentan.

Para una joyería o galería de arte: El foco está en las operaciones en efectivo, la verificación de identidad en transacciones por encima del umbral y la atención a operaciones fraccionadas.

Para una inmobiliaria: La identificación del propietario final de inmuebles, la verificación de fondos para compraventa y la atención a operaciones en zonas de alto riesgo geográfico son prioritarias.

Para un despacho contable: Los umbrales de servicios profesionales, la identificación del cliente y la verificación de que los servicios prestados no facilitan estructuras para evasión o lavado.

Frecuencia de actualización

El manual debe revisarse formalmente al menos una vez al año. Adicionalmente, debe actualizarse cuando:

  • Hay cambios en la regulación aplicable (Reglas de Carácter General, reformas a la LFPIORPI)
  • Hay cambios en el modelo de negocio de la empresa
  • La empresa incorpora nuevos productos, servicios o canales de distribución
  • Se identifica una deficiencia en el programa durante una auditoría interna o externa

Cada versión del manual debe tener fecha de aprobación, número de versión y la firma de quien lo aprobó. Conserva todas las versiones anteriores — en una auditoría puede pedirse la versión vigente en un período específico.

¿Cómo demostrar ante una auditoría que el manual se aplica?

Tener el manual es el primer paso. Demostrar que se aplica es el segundo — y el que más frecuentemente falla en las auditorías.

Los auditores verifican la aplicación del manual a través de evidencias indirectas:

  • Expedientes de clientes: ¿están completos según lo que dice el manual?
  • Registros de capacitación: ¿el personal conoce el manual?
  • Registros de consultas a listas: ¿se hicieron las verificaciones que el manual describe?
  • Reportes enviados al SPPLD: ¿los avisos se enviaron dentro de los plazos que el manual establece?
  • Actas de revisión del manual: ¿hay evidencia de que el manual se actualizó cuando debía?

Un manual excelente que no tiene evidencia de aplicación es casi tan problemático como no tener manual. La documentación no es burocracia — es la prueba de que el programa funciona.

Errores comunes al redactar el manual

  • Copiar un manual genérico sin adaptarlo: los manuales descargados de internet o copiados de otra empresa pueden no corresponder al tipo de actividad vulnerable de tu empresa o a la versión vigente de la regulación.
  • Describir procesos que en la práctica no se siguen: si el manual dice que se hacen revisiones mensuales del expediente pero en la práctica solo se hace al inicio de la relación, la brecha entre texto y realidad es un problema serio en auditoría.
  • No actualizar cuando cambia la regulación: la LFPIORPI y sus Reglas de Carácter General han tenido cambios relevantes. Un manual de 2019 no está actualizado.
  • No incluir al beneficiario controlador: desde 2022 esta es una obligación explícita y muchos manuales anteriores no la incluyen.
  • Secciones de capacitación sin proceso documentado: decir “el personal recibirá capacitación anual” sin describir cómo se registra y verifica no es suficiente.

El rol del software en mantener el manual vigente

Una de las ventajas de usar una plataforma especializada en PLD como Regcheq es que los cambios regulatorios se integran automáticamente a los flujos de trabajo. Esto no reemplaza la actualización del manual — que es un documento institucional — pero sí garantiza que el proceso operativo está alineado con la normativa vigente, lo que hace más fácil actualizar el texto del manual cuando es necesario.

El software también facilita la generación de la evidencia que un auditor busca: expedientes completos, registros de consultas a listas, historial de reportes, constancias de capacitación. Todo eso debe estar descrito en el manual y ejecutado a través de la plataforma.

Preguntas frecuentes

¿El manual de políticas PLD es obligatorio para todas las actividades vulnerables? Sí. La LFPIORPI y sus Reglas de Carácter General establecen que todos los sujetos obligados deben contar con políticas y procedimientos formalizados. La denominación exacta puede variar (“manual de políticas”, “programa de cumplimiento”), pero el contenido es esencialmente el mismo.

¿Cuántas páginas debe tener el manual? No hay un mínimo ni máximo establecido en la regulación. La extensión depende del tamaño y complejidad de la empresa. Para una empresa pequeña con operaciones relativamente simples, 30-50 páginas pueden ser suficientes. Lo que importa es que cubra todas las secciones obligatorias con suficiente detalle para que pueda aplicarse en la práctica.

¿Quién debe firmar el manual? La regulación no especifica una firma en particular, pero es recomendable que el manual esté firmado por el director general o el consejo de administración — como señal del compromiso institucional — y por el oficial de cumplimiento designado.

¿El manual debe estar disponible para todo el personal? Sí. El personal que está involucrado en el proceso de identificación de clientes, monitoreo de operaciones o reporte debe conocer y tener acceso al manual. No es necesario que sea público externamente, pero sí debe ser accesible internamente.

¿Puedo usar el mismo manual para varias empresas del mismo grupo? Solo si las empresas realizan exactamente el mismo tipo de actividad vulnerable y están sujetas a las mismas Reglas de Carácter General. Si hay diferencias en el tipo de actividad o en la regulación aplicable, cada entidad debe tener su propio manual adaptado.

¿Qué pasa si en una auditoría encuentran que el manual está desactualizado? Es una observación que la autoridad puede calificar como incumplimiento. En función de la gravedad y el historial de la empresa, puede derivar en una amonestación, una multa o, en casos graves, en otras medidas de la autoridad. Lo importante es corregirlo tan pronto como se detecta la deficiencia.

El manual de políticas PLD es, en esencia, la constitución interna de tu programa de cumplimiento. Define qué haces, cómo lo haces y quién es responsable de hacerlo. Un manual bien redactado, actualizado y aplicado en la práctica no solo protege a la empresa ante la autoridad — también clarifica procesos internos, reduce errores y da certeza al equipo sobre cómo actuar en situaciones que de otra forma quedarían a la interpretación individual.

Redactarlo bien requiere tiempo y conocimiento de la regulación. Mantenerlo actualizado requiere disciplina. Pero es, sin duda, uno de los pilares del programa de cumplimiento que más retorno da por cada hora invertida.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.