CumplimientoPLD.com.mx
Blog →
Artículo AuditoríaChecklistCNBV

Cómo preparar y aprobar una auditoría PLD en México: checklist completo

Prepara tu empresa para superar una auditoría PLD de la CNBV o el SAT. Checklist completo con todo lo que los auditores revisan.

La peor estrategia para enfrentar una auditoría PLD es prepararse cuando ya te notificaron que viene. Para entonces, tienes diez días — en el mejor de los casos — para ordenar años de expedientes, actualizar documentación que debía estar al día, y remediar observaciones que llevan meses pendientes. Es la situación más costosa y más evitable del cumplimiento regulatorio.

La mejor estrategia es estar siempre listo. No porque la autoridad vaya a llegar mañana, sino porque un programa que puede superar una auditoría en cualquier momento es un programa que funciona. Esta guía te explica cómo lograrlo.

¿Cómo funcionan las auditorías PLD en México?

En México, las auditorías de PLD las realizan principalmente dos autoridades:

El SAT (Servicio de Administración Tributaria), a través de la Administración General de Grandes Contribuyentes y la SPCIER (Servicio de Prevención de Lavado de Dinero del SAT), para las actividades vulnerables reguladas bajo la LFPIORPI. El SAT puede iniciar una revisión por varias razones: un programa de supervisión periódica, una denuncia, una inconsistencia detectada en los avisos enviados o una selección aleatoria dentro de un sector.

La CNBV (Comisión Nacional Bancaria y de Valores), para las entidades financieras reguladas (bancos, casas de bolsa, sofomes reguladas, fintech bajo Ley Fintech, entre otras). Las revisiones de la CNBV son más técnicas, más profundas y más frecuentes para entidades de mayor tamaño o riesgo.

En ambos casos, el proceso típico es:

  1. Notificación oficial de inicio de la revisión
  2. Solicitud de documentación inicial
  3. Visita de inspección (presencial o remota)
  4. Solicitudes de información adicional durante la revisión
  5. Informe de observaciones preliminares
  6. Oportunidad de respuesta y aclaraciones
  7. Resolución final

El tiempo entre la notificación y la visita puede ser tan corto como diez días hábiles. Por eso importa estar preparado antes de recibirla.

¿Qué revisa el SAT en una auditoría LFPIORPI?

El SAT, cuando revisa a una actividad vulnerable, se enfoca en los siguientes puntos:

  • Registro como sujeto obligado: verificar que la empresa esté inscrita en el SPPLD en la categoría correcta de actividad vulnerable
  • Manual de políticas y procedimientos: que exista, que esté actualizado y que cubra las secciones obligatorias
  • Oficial de cumplimiento designado: nombre, cargo, constancia de designación, nivel jerárquico
  • Programa de capacitación: evidencia de que el personal ha recibido capacitación en PLD y con qué frecuencia
  • Expedientes de clientes: que estén completos según los requisitos de las Reglas de Carácter General aplicables
  • Verificación en listas de sanciones: que se haya verificado a los clientes contra listas OFAC, ONU y PEPs
  • Monitoreo de operaciones: cómo se detectan y documentan las operaciones relevantes, inusuales e internas preocupantes
  • Avisos enviados al SPPLD: que los avisos correspondientes al período revisado se hayan enviado en tiempo y forma
  • Evaluación de riesgo: que exista una matriz de riesgo de la empresa y de sus clientes

Para entender cómo el SAT detecta incumplimientos antes de notificar una auditoría, consulta nuestro artículo sobre cómo el SAT detecta incumplimiento en PLD.

¿Qué revisa la CNBV en una auditoría PLD?

La revisión de la CNBV es más exhaustiva y técnicamente más profunda. Los auditores verifican:

  • Gobierno corporativo del programa PLD: que la alta dirección esté involucrada y que el oficial de cumplimiento tenga autoridad real
  • Evaluación de riesgo institucional (EBR): que la metodología sea robusta, documentada y que las conclusiones sean coherentes con las operaciones reales
  • Programa de KYC: profundidad de la identificación, actualización periódica de expedientes, tratamiento diferenciado por nivel de riesgo
  • Monitoreo transaccional: sistemas, umbrales, calidad de las alertas, proceso de investigación y resolución
  • PEPs y debida diligencia reforzada: procedimiento para identificar PEPs, medidas de debida diligencia reforzada aplicadas, autorización de nivel gerencial
  • Beneficiario controlador: proceso de identificación y documentación
  • Programas de capacitación: contenidos, frecuencia, evaluaciones, registros
  • Reporte de operaciones inusuales (ROI): calidad de los reportes, tiempos de envío, proceso interno de investigación previo al reporte
  • Auditoría interna: que el programa de PLD sea revisado periódicamente por auditores internos o externos
  • Tecnología y controles: sistemas de monitoreo, listas de sanciones automatizadas, controles de acceso

Checklist completo de documentación para auditoría PLD

DocumentoFormato recomendadoDónde debe estarFrecuencia de actualización
Manual de políticas y procedimientos PLDPDF firmado con número de versiónCarpeta de cumplimiento + sistema PLDAnual mínimo o ante cambios regulatorios
Constancia de designación del oficial de cumplimientoPDF firmado por direcciónExpediente del oficial + SPPLDAnte cada cambio de titular
Evaluación de riesgo institucional (EBR)PDF con metodología, matriz y conclusionesCarpeta de cumplimientoAnual o ante cambios significativos en el negocio
Expedientes completos de clientes activosSistema PLD con documentos adjuntosPlataforma de gestiónActualización continua
Expedientes de clientes dados de bajaArchivo histórico accesibleSistema PLD o archivo físico/digitalConservar mínimo 5 años
Registros de consulta a listas de sancionesEvidencia digital por cliente y fechaSistema PLDPor cada onboarding y revisión periódica
Avisos enviados al SPPLD con acuse de reciboAcuse digital del SATCarpeta de reportesPor cada aviso enviado
Registros de operaciones relevantesBase de datos estructuradaSistema PLDContinuo
Análisis de operaciones inusualesDocumento de análisis por casoExpediente del casoPor cada operación analizada
Registros de capacitación del personalLista de asistencia + evaluacionesSistema de RRHH o PLDAnual mínimo
Contenido del programa de capacitaciónPresentación o material del cursoCarpeta de capacitaciónAnual o ante cambios regulatorios
Actas de revisiones internas del programa PLDActa firmada con hallazgos y accionesCarpeta de cumplimientoAnual mínimo
Política de PEPs y debida diligencia reforzadaSección del manual o documento separadoCarpeta de cumplimientoAnual
Registros de PEPs identificadosDocumentación del proceso y decisiónExpediente del clientePor cada caso
Canal de denuncias: registros de reportes recibidosLog de comunicacionesSistema de denunciasContinuo

Las 5 observaciones más frecuentes y cómo evitarlas

1. Expedientes incompletos

El problema: faltan documentos en los expedientes de los clientes — identificación vencida, sin comprobante de domicilio, sin información de actividad económica, sin registro del beneficiario controlador.

Cómo evitarlo: define en el manual exactamente qué documentos son obligatorios para cada tipo de cliente. Usa una plataforma que bloquee la creación de un expediente si falta algún campo obligatorio. Programa revisiones periódicas (al menos anuales) de la completitud de los expedientes activos.

2. Capacitación no documentada

El problema: el personal dice haber recibido capacitación, pero no hay registros que lo demuestren. O los registros existen pero el contenido de la capacitación no cubría los temas mínimos requeridos.

Cómo evitarlo: usa una plataforma que genere automáticamente las constancias de capacitación con nombre del participante, fecha, contenido y resultado. Conserva esas constancias por al menos el período de revisión de la autoridad.

3. Reportes enviados fuera de plazo

El problema: las operaciones relevantes o inusuales se detectan pero el aviso al SPPLD se envía después del plazo máximo establecido en la regulación.

Cómo evitarlo: configura alertas automáticas en el sistema que notifiquen cuando una operación calificada está próxima al plazo de reporte. Establece en el manual un proceso interno con responsables y plazos intermedios — no esperes hasta el último día. Consulta nuestro artículo sobre operaciones relevantes, inusuales e internas preocupantes para claridad sobre qué reportar y cuándo.

4. Evaluación de riesgo desactualizada o genérica

El problema: la EBR existe pero es un documento de 2020 que no refleja los cambios en el modelo de negocio de la empresa, o es tan genérico que podría aplicar a cualquier empresa del sector.

Cómo evitarlo: la EBR debe ser específica para tu empresa — con tus clientes reales, tus zonas geográficas de operación, tus productos y servicios. Y debe revisarse y actualizarse cada vez que algo importante cambia. Consulta nuestra guía sobre la evaluación basada en riesgo.

5. Oficial de cumplimiento sin autoridad real

El problema: el oficial de cumplimiento está designado formalmente pero no tiene autonomía para tomar decisiones, no tiene acceso a la información necesaria o sus funciones son claramente secundarias a otras responsabilidades en la empresa.

Cómo evitarlo: la designación formal es solo el primer paso. El oficial de cumplimiento debe tener línea de reporte directa a la dirección, presupuesto para implementar el programa y tiempo suficiente para cumplir sus funciones. Para más detalle sobre este rol, consulta nuestra guía del oficial de cumplimiento PLD en México.

¿Qué hacer cuando te notifican una auditoría: los 10 días más importantes?

Si recibes una notificación de auditoría, estos son los pasos críticos:

Día 1-2: Leer y clasificar

  • Lee detenidamente el oficio de notificación: identifica qué autoridad audita, qué período cubre la revisión, qué documentación inicial solicitan y cuál es la fecha de visita o entrega.
  • Notifica inmediatamente al oficial de cumplimiento y a la dirección.
  • Designa a un responsable interno de coordinación de la auditoría.

Día 2-4: Inventario de documentación

  • Haz un inventario rápido de toda la documentación que la notificación solicita.
  • Identifica brechas: qué existe, qué falta, qué está desactualizado.
  • No modifiques documentos para hacer que parezcan más actuales de lo que son — eso puede constituir una infracción adicional.

Día 4-6: Organización y preparación

  • Organiza la documentación solicitada en un orden lógico y accesible.
  • Prepara un índice de lo que entregas.
  • Si hay brechas que puedes remediar legítimamente (documentación que existe pero no está organizada), hazlo ahora.

Día 6-8: Briefing interno

  • Prepara al oficial de cumplimiento y al personal que podría ser entrevistado por los auditores.
  • Repasa los procesos que describen los manuales para asegurarte de que el equipo los conoce.
  • No instruyas al personal para que “adivine” o invente información — la coherencia entre lo que dicen los documentos y lo que dice el personal es crítica.

Día 8-10: Entrega y preparación para visita

  • Entrega la documentación inicial dentro del plazo.
  • Prepara el espacio físico o virtual para la visita.
  • Identifica quién será el interlocutor principal con los auditores durante la visita.

El rol del software en mantener evidencia auditable

Un programa de cumplimiento que opera principalmente en papel o en hojas de cálculo tiene un problema fundamental cuando llega una auditoría: la evidencia es difícil de recuperar, es propensa a inconsistencias y toma días organizar.

Un sistema especializado como Regcheq mantiene de forma automática el rastro de auditoría que los revisores buscan: fecha y hora de cada verificación de listas, historial completo de cada expediente, registro de cuándo se enviaron los reportes, constancias de capacitación por empleado. Cuando llega una notificación de auditoría, la documentación ya está organizada — solo hay que presentarla.

Eso no significa que el software reemplaza al oficial de cumplimiento ni que garantiza superar cualquier auditoría. Pero sí significa que la preparación es continua, no reactiva.

Preguntas frecuentes

¿Con qué anticipación notifica el SAT una auditoría? La regulación establece que la notificación debe darse con al menos 5 días hábiles de anticipación a la visita. En la práctica, el plazo puede ser de 10 días hábiles o más, pero no hay garantía de mayor anticipación.

¿Puede la CNBV o el SAT hacer una auditoría sin previo aviso? Las visitas de inspección formales requieren notificación previa. Sin embargo, las autoridades pueden solicitar información y documentación de forma remota con plazos más cortos. Las revisiones de escritorio (sin visita presencial) pueden iniciarse con plazos de entrega de documentación muy breves.

¿Qué pasa si encuentran observaciones en la auditoría? Las observaciones se clasifican por gravedad. Las leves generalmente implican un plan de remediación con plazo definido. Las graves pueden derivar en multas o en medidas adicionales. En cualquier caso, la actitud de la empresa ante las observaciones importa — remediar rápido y demostrar compromiso con el cumplimiento ayuda.

¿Puedo contratar un consultor externo que me represente ante la auditoría? Sí. Puedes tener asesoría jurídica y de cumplimiento durante el proceso. Sin embargo, el oficial de cumplimiento designado sigue siendo el responsable formal ante la autoridad. El consultor puede preparar la documentación, asesorar en las respuestas y acompañar en la visita, pero no puede reemplazar al oficial.

¿Cuánto tiempo dura una auditoría PLD? Depende del alcance y la complejidad. Una revisión de escritorio del SAT para una actividad vulnerable puede resolverse en semanas. Una inspección de la CNBV a una entidad financiera puede durar meses, con múltiples rondas de solicitudes de información.

¿Si paso la auditoría, me auditan de nuevo pronto? Superar una auditoría sin observaciones reduce la probabilidad de una nueva revisión inmediata, pero no la elimina. Las autoridades tienen programas de supervisión periódica que pueden incluir a cualquier sujeto obligado. La única forma de estar tranquilo es mantener el programa en buen estado siempre.

Las auditorías no deberían ser eventos de pánico. Deberían ser verificaciones de algo que ya funciona. Cuando el programa de cumplimiento está bien construido, documentado y actualizado, una notificación de auditoría es incómoda pero manejable. Cuando el programa tiene brechas, la auditoría expone algo que debía haberse resuelto antes.

La preparación no empieza cuando llega la notificación. Empieza hoy.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.