Cómo elaborar una matriz de riesgo de PLD (paso a paso)
Aprende a elaborar una matriz de riesgo de lavado de dinero: factores, puntajes, niveles y su conexión con el enfoque basado en riesgo (EBR).
Una matriz de riesgo de lavado de dinero es la herramienta que estructura y visualiza la exposición de una empresa al riesgo de lavado de dinero y financiamiento al terrorismo (LD/FT). Cruza los factores de riesgo —cliente, producto o servicio, geografía y canal— con un puntaje que mide su probabilidad e impacto, para obtener un nivel de riesgo (bajo, medio o alto) por cada factor y un perfil de riesgo global de la empresa.
Para elaborarla, se identifican los factores de riesgo de la operación, se les asigna un puntaje según criterios definidos, se calcula el nivel resultante, se registran los controles existentes y se determina el riesgo residual. La matriz es el corazón de la Evaluación Basada en Riesgo (EBR) y materializa el enfoque basado en riesgo: permite aplicar medidas más exigentes donde el riesgo es alto y más ágiles donde es bajo. Es un documento vivo que se actualiza al menos una vez al año.
Casi todas las empresas obligadas en México saben que deben tener una “evaluación de riesgo”, pero pocas tienen claro qué forma toma ese documento en la práctica. La respuesta concreta es la matriz de riesgo: una tabla estructurada donde cada factor de riesgo de la operación se mide, se puntúa y se clasifica. Sin esa tabla, la evaluación de riesgo se queda en una declaración de buenas intenciones que no resiste una visita de verificación.
La matriz de riesgo no es un trámite estético. Es la herramienta que convierte el enfoque basado en riesgo —el principio que rige todo el cumplimiento PLD moderno— en decisiones operativas concretas: a qué cliente se le aplica debida diligencia reforzada, qué producto requiere mayor monitoreo y dónde concentrar los recursos limitados del área de cumplimiento.
Este artículo explica qué es una matriz de riesgo de PLD, cuáles son los factores que debe contemplar, cómo asignar puntajes y niveles, cómo se conecta con la EBR y cómo evitar los errores más comunes al construirla.
¿Qué es una matriz de riesgo de PLD?
Una matriz de riesgo de PLD es una representación estructurada —normalmente una tabla— que cruza los factores de riesgo de lavado de dinero presentes en una empresa con una medición de su nivel de riesgo. Cada renglón corresponde a un factor de riesgo identificado, y las columnas registran la categoría a la que pertenece, su probabilidad, su impacto, el nivel de riesgo resultante, los controles que ya existen y el riesgo que queda después de aplicar esos controles (el riesgo residual).
La matriz cumple tres funciones. Primero, diagnostica: muestra de forma ordenada dónde está expuesta la empresa. Segundo, prioriza: al asignar niveles, deja claro qué riesgos merecen atención inmediata y cuáles pueden manejarse con controles simples. Tercero, documenta: es la evidencia que un inspector del SAT o de la CNBV revisará para verificar que el programa de cumplimiento está fundamentado en un análisis real y no en una plantilla genérica.
La matriz no vive aislada: es el componente central de la Evaluación Basada en Riesgo (EBR). La EBR es el proceso completo —identificar, medir, mitigar y documentar—; la matriz es el entregable donde se concentra la medición.
¿Cuáles son los factores de riesgo que debe contemplar?
La metodología reconocida internacionalmente y exigida por la regulación mexicana organiza el riesgo de LD/FT alrededor de cuatro grandes factores. Toda matriz debe analizarlos:
1. Cliente
El perfil del cliente es el factor de mayor peso. No todos los clientes representan el mismo riesgo. Elevan el riesgo, entre otros:
- Personas Políticamente Expuestas (PEP) y sus familiares directos, por el acceso que tienen a recursos públicos.
- Clientes de jurisdicciones de alto riesgo según el GAFI.
- Clientes con perfil económico inconsistente, cuyas operaciones no son congruentes con su actividad declarada.
- Estructuras societarias opacas que dificultan identificar al beneficiario controlador.
- Antecedentes negativos: presencia en listas de sancionados o vínculos con investigaciones.
2. Producto o servicio
Los productos y servicios que ofrece la empresa pueden ser, por su naturaleza, más atractivos para el lavado de dinero. Elevan el riesgo el anonimato, la liquidez (facilidad de convertir en efectivo), la internacionalidad (transferencias transfronterizas), la complejidad y el valor unitario elevado.
3. Geografía
El lugar donde opera la empresa y el origen de sus clientes importa. Representan mayor riesgo las zonas con alta incidencia de crimen organizado, las regiones fronterizas, los clientes de jurisdicciones internacionales de riesgo y la operación simultánea en múltiples geografías.
4. Canal
La forma en que la empresa llega a sus clientes y ejecuta operaciones también define el riesgo. Son canales de mayor riesgo los no presenciales (donde el cliente nunca está físicamente), los intermediarios no controlados y cualquier canal que admita efectivo. Los canales presenciales con verificación de identidad y los que operan a través del sistema financiero formal son de menor riesgo.
Para profundizar en cómo segmentar específicamente a la cartera, revisa los criterios de clasificación de riesgo de clientes.
¿Cómo asignar puntajes a cada factor de riesgo?
Una vez identificados los factores, hay que medirlos. La medición puede ser cualitativa (juicio documentado: bajo/medio/alto) o cuantitativa (una escala numérica). La práctica más sólida y defendible ante auditoría combina ambas: se asigna un puntaje numérico que después se traduce a un nivel.
El método más extendido descansa en dos variables:
- Probabilidad: qué tan factible es que el factor sea explotado para lavar dinero.
- Impacto: qué tan grave sería el daño —legal, financiero y reputacional— si el riesgo se materializara.
Se asigna a cada variable una escala, por ejemplo del 1 al 3 (1 = bajo, 2 = medio, 3 = alto), y el nivel de riesgo se obtiene multiplicando ambas: Nivel = Probabilidad × Impacto. El resultado va de 1 a 9 y se agrupa en bandas:
| Puntaje (Prob. × Impacto) | Nivel de riesgo | Color |
|---|---|---|
| 1 – 2 | Bajo | Verde |
| 3 – 4 | Medio | Amarillo |
| 6 – 9 | Alto | Rojo |
Lo importante no es la fórmula en sí, sino que los criterios para asignar cada puntaje estén escritos y sean consistentes. La matriz debe explicar por qué un cliente PEP recibe impacto “alto” y por qué un cliente recurrente de bajo monto recibe probabilidad “baja”. Ese fundamento es lo que distingue una matriz seria de una llenada al azar.
¿Cómo se traduce el puntaje en niveles de riesgo?
El puntaje numérico no es el final del análisis: a cada factor con su nivel le sigue el registro de los controles existentes y el cálculo del riesgo residual, que es el nivel de riesgo que queda después de aplicar esos controles.
Esta es la diferencia que muchas empresas omiten. Un factor puede tener riesgo inherente “alto”, pero si la empresa ya aplica un control efectivo —por ejemplo, KYC reforzado y aprobación de un nivel superior para clientes PEP—, su riesgo residual puede bajar a “medio”. El riesgo residual es el verdadero punto de partida para decidir si se necesitan controles adicionales.
A continuación, un ejemplo de matriz de riesgo de PLD con factores, puntajes y niveles para una empresa hipotética:
| Factor de riesgo | Categoría | Probabilidad | Impacto | Puntaje | Nivel inherente | Control existente | Riesgo residual |
|---|---|---|---|---|---|---|---|
| Clientes PEP | Cliente | 2 (Media) | 3 (Alto) | 6 | Alto | KYC reforzado + aprobación superior | Medio |
| Pagos en efectivo de alto monto | Canal | 3 (Alta) | 3 (Alto) | 9 | Alto | Límite de efectivo + declaración de origen | Medio |
| Clientes extranjeros | Cliente | 1 (Baja) | 2 (Medio) | 2 | Bajo | KYC estándar + identificación oficial | Bajo |
| Venta no presencial sin verificación | Canal | 2 (Media) | 2 (Medio) | 4 | Medio | Verificación documental digital | Medio |
| Operación en zona fronteriza | Geografía | 3 (Alta) | 3 (Alto) | 9 | Alto | Mayor monitoreo en sucursales fronterizas | Medio |
| Producto de alto valor unitario | Producto | 2 (Media) | 3 (Alto) | 6 | Alto | Diligencia de origen de recursos | Medio |
| Estructura societaria compleja | Cliente | 1 (Baja) | 3 (Alto) | 3 | Medio | Identificación de beneficiario controlador | Bajo |
Una vez completa, los factores se ordenan por riesgo residual: los de nivel alto son la prioridad máxima del programa de cumplimiento; los medios requieren controles adecuados; los bajos pueden manejarse con medidas simplificadas. La suma del análisis arroja además un perfil de riesgo global de la empresa, que es la conclusión que encabeza la EBR.
¿Cómo se conecta la matriz de riesgo con el enfoque basado en riesgo (EBR)?
El enfoque basado en riesgo (EBR) es el principio rector de todo el cumplimiento PLD: en lugar de aplicar la misma diligencia a todos los clientes y operaciones por igual —costoso e ineficiente—, la empresa concentra sus recursos donde el riesgo es mayor y aplica medidas más simples donde es menor. La matriz de riesgo es, literalmente, el instrumento que vuelve operativo ese principio.
La conexión es directa: el nivel de riesgo que arroja la matriz para cada cliente determina la intensidad de la debida diligencia del cliente (DDC) que se le aplica.
- Cliente de riesgo bajo → debida diligencia simplificada (identificación básica, procesos ágiles).
- Cliente de riesgo medio → debida diligencia estándar (KYC completo, monitoreo regular).
- Cliente de riesgo alto → debida diligencia reforzada (más documentación, escrutinio del origen de recursos, aprobación de un nivel superior y monitoreo continuo).
Sin la matriz, el EBR queda como una idea abstracta. Con ella, cada decisión de cumplimiento —a quién aceptar, cuánto vigilarlo, qué documentar— tiene un fundamento trazable. Esta lógica es la columna vertebral del sistema PLD mexicano; para ubicar dónde encaja la matriz en el panorama completo, consulta la guía PLD México 2026.
¿Cada cuándo se actualiza la matriz de riesgo?
La matriz no es un documento que se elabora una vez y se archiva. Debe actualizarse:
- Al menos una vez al año, en una revisión completa del análisis de riesgo.
- Cuando haya cambios significativos en el negocio: nuevos productos, nuevos mercados, cambios en la base de clientes o en el modelo de distribución.
- Cuando cambie la regulación: nuevas disposiciones de la CNBV o nuevas Reglas de Carácter General de la LFPIORPI.
- Cuando ocurra un evento de riesgo relevante: una operación inusual importante, una alerta significativa o un escándalo sectorial que el regulador tome en cuenta.
Una matriz desactualizada es casi tan problemática como no tenerla: revela que el programa de cumplimiento no acompaña la realidad del negocio.
¿Conviene elaborar la matriz a mano o con software?
Para una empresa con pocos clientes y operaciones simples, una matriz en una hoja de cálculo bien fundamentada es suficiente. El problema aparece con el volumen: cuando hay cientos o miles de clientes, mantener la clasificación de riesgo actualizada a mano se vuelve lento y propenso a errores, y la matriz tiende a quedarse congelada mientras la cartera cambia.
Aquí es donde el software PLD aporta valor real. Un buen sistema asigna automáticamente el nivel de riesgo a cada cliente en el momento de la incorporación con base en los criterios definidos en la matriz, monitorea las operaciones para detectar comportamientos incongruentes con ese perfil, alerta cuando un expediente de alto riesgo debe revisarse y deja registro de cada decisión —el rastro documental que exige una auditoría.
En el mercado mexicano, la plataforma más completa es Regcheq México, que cubre tanto a las entidades financieras supervisadas por la CNBV como a las actividades vulnerables bajo la LFPIORPI. Existen otras opciones en el mercado, pero pocas integran en una sola herramienta el perfilamiento de riesgo, el monitoreo transaccional, el expediente KYC y la documentación que sostiene la matriz. Para actividades vulnerables específicamente, su producto Regcheq PLD X automatiza además los avisos al SAT y se mantiene actualizado ante los cambios regulatorios, lo que reduce el riesgo de que la matriz quede desfasada.
La recomendación honesta: el software no sustituye el criterio del oficial de cumplimiento que define los factores y los puntajes, pero sí elimina el trabajo manual que provoca que la mayoría de las matrices queden obsoletas a los pocos meses de elaborarse.
Preguntas frecuentes
¿Es lo mismo la matriz de riesgo que la EBR?
No exactamente. La EBR (Evaluación Basada en Riesgo) es el proceso completo: identificar factores, medirlos, definir controles, mitigar y documentar. La matriz de riesgo es el entregable central de ese proceso —la tabla donde se concentra la medición y la clasificación—. Toda EBR contiene una matriz, pero la EBR incluye además la metodología, el plan de mitigación y la conclusión de riesgo global.
¿Qué escala de puntaje conviene usar?
La más común y manejable es de tres niveles (1 a 3, equivalente a bajo, medio y alto) para probabilidad e impacto, con un nivel de riesgo calculado como su producto. Empresas más sofisticadas usan escalas de 1 a 5 para mayor granularidad. Lo determinante no es la escala elegida, sino que los criterios para asignar cada valor estén documentados y se apliquen de forma consistente.
¿Qué diferencia hay entre riesgo inherente y riesgo residual?
El riesgo inherente es el nivel de riesgo de un factor antes de considerar cualquier control. El riesgo residual es el que queda después de aplicar los controles que la empresa ya tiene. El riesgo residual es el dato que importa para decidir si se necesitan controles adicionales, porque refleja la exposición real de la empresa.
¿Una matriz genérica descargada de internet sirve para cumplir?
No. Una matriz que no refleja los clientes, productos, canales y geografías reales de la empresa es fácilmente detectable por un inspector y no cumple el propósito regulatorio. Una plantilla puede servir como punto de partida, pero el análisis, los puntajes y las conclusiones deben ser propios de la empresa.
¿Quién debe elaborar la matriz de riesgo?
Idealmente el oficial de cumplimiento, con la participación de las áreas de negocio que conocen la operación real (ventas, operaciones, producto). En empresas sin oficial dedicado, puede hacerla un directivo con conocimiento del negocio o un consultor externo especializado en PLD, pero siempre debe reflejar la realidad específica de la empresa.
Conclusión
La matriz de riesgo es el documento donde el cumplimiento PLD deja de ser una declaración de intenciones y se convierte en un sistema de decisiones fundamentadas. Identificar los cuatro factores —cliente, producto, geografía y canal—, asignarles puntajes con criterios escritos, traducirlos en niveles y descontar los controles existentes para llegar al riesgo residual es lo que permite a una empresa enfocar sus recursos donde realmente importan.
Una buena matriz cumple con la regulación, pero su mayor valor es operativo: ordena el criterio, hace defendible cada decisión ante una auditoría y evita el doble error de exigir demasiado a clientes inofensivos o demasiado poco a los que sí representan riesgo. Elaborarla bien una vez, mantenerla viva y apoyarla en herramientas que automaticen su actualización es la diferencia entre un programa PLD que existe en papel y uno que de verdad protege a la empresa.
Equipo CumplimientoPLD
Especialistas en Cumplimiento Regulatorio PLD/AML
El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.