CumplimientoPLD.mx
Blog →
Guía Principal SOFOMesEntidades FinancierasCNBV

Software PLD para SOFOMes en México: qué necesitas y cómo elegir

Las SOFOMes tienen obligaciones PLD específicas ante la CNBV. Guía para elegir el software que mejor se adapta a tu operación.

Las Sociedades Financieras de Objeto Múltiple (SOFOMes) son uno de los segmentos más supervisados del sistema financiero mexicano en materia de Prevención de Lavado de Dinero. Y, paradójicamente, uno de los que más dificultades enfrenta para implementar programas de cumplimiento robustos: son entidades financieras reales, con obligaciones regulatorias formales, pero generalmente sin los equipos ni los presupuestos de un banco.

Esta guía está escrita específicamente para directores generales, directores de operaciones y responsables de cumplimiento de SOFOMes. Su objetivo es ser práctica: qué exige la regulación, qué debe tener el software que uses para cubrirla, y cómo evaluar las opciones disponibles en 2026.

SOFOM E.R. vs. SOFOM E.N.R.: diferencias regulatorias en PLD

El primer punto de partida es entender qué tipo de SOFOM eres, porque las obligaciones regulatorias son distintas.

SOFOM Entidad Regulada (E.R.)

Una SOFOM E.R. es aquella que tiene vínculos patrimoniales con instituciones de crédito o con grupos financieros. Está supervisada directamente por la CNBV y le aplican las Disposiciones de Carácter General en Materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo para las Entidades Financieras (conocidas coloquialmente como “Disposiciones de CNBV”).

Esto implica obligaciones formales de mayor alcance: programa PLD documentado, oficial de cumplimiento designado, comité de comunicación y control, reportes periódicos a la CNBV, evaluación basada en riesgo (EBR), entre otros.

SOFOM Entidad No Regulada (E.N.R.)

Una SOFOM E.N.R. no tiene vínculos con grupos financieros y, en principio, no está supervisada por la CNBV en materia prudencial. Sin embargo, su situación en materia de PLD es más compleja de lo que parece:

  • Si realiza operaciones de crédito, factoraje o arrendamiento financiero, puede estar sujeta a las disposiciones de la LFPIORPI como actividad vulnerable en las categorías de “mutuo con garantía” o financiamiento en general.
  • Aunque no tenga supervisión directa CNBV, muchas SOFOMes E.N.R. implementan voluntariamente un programa PLD robusto para acceder a fondeo de instituciones financieras que sí exigen cumplimiento como condición de sus líneas de crédito.
  • Hay SOFOMes E.N.R. que por su volumen de operación o por el perfil de sus socios terminan siendo objeto de revisión por parte de la CNBV bajo criterios de riesgo.

En la práctica: Si tu SOFOM busca fondeo de banca de desarrollo, bancos privados o emisión de deuda, el cumplimiento PLD es un requisito operativo aunque no seas E.R. El software que elijas debe poder documentar ese cumplimiento de forma ordenada.

Obligaciones PLD específicas para SOFOMes

Las SOFOMes E.R. están sujetas a un conjunto de obligaciones que, si no se tienen claras, es imposible evaluar correctamente qué necesita el software de cumplimiento.

Programa de Prevención

Deben contar con un Programa de Prevención de Operaciones con Recursos de Procedencia Ilícita por escrito, que incluya políticas de identificación de clientes, evaluación de riesgo, capacitación del personal, auditoría interna y mecanismos de reporte.

Identificación de clientes (KYC)

La identificación del cliente (Know Your Customer) en SOFOMes implica:

  • Recabar documentos de identificación oficial y comprobante de domicilio.
  • Identificar al beneficiario controlador (persona física que en última instancia controla o se beneficia de la persona moral).
  • Obtener información sobre el origen de recursos.
  • Mantener el expediente actualizado y disponible para revisión.

Evaluación Basada en Riesgo (EBR)

Las SOFOMes deben clasificar a sus clientes según el nivel de riesgo que representan para la entidad en materia de PLD. Esta clasificación —alto, medio o bajo riesgo— determina la intensidad de las medidas de diligencia aplicadas, la frecuencia de actualización del expediente y el nivel de monitoreo de las operaciones.

Reportes regulatorios a la CNBV

Los reportes que toda SOFOM E.R. debe generar y enviar a la CNBV son tres categorías principales:

Operaciones Relevantes (OR): Operaciones en efectivo que superen los umbrales establecidos (actualmente 7,500 dólares americanos o su equivalente en pesos, aunque los umbrales específicos pueden variar por disposición). Se reportan mensualmente a través del sistema establecido por la CNBV.

Operaciones Inusuales (OI): Operaciones que, independientemente de su monto, por sus características, montos, frecuencia, tipos, naturaleza, lugar de realización, instrumentos monetarios utilizados o por ser inconsistentes con los antecedentes y actividad económica conocida del cliente, no tienen una justificación razonable. No tienen periodicidad fija; se reportan dentro de los 60 días hábiles posteriores a que el Comité las califique como inusuales.

Operaciones Internas Preocupantes (OIP): Operaciones que son detectadas por la entidad como potencialmente relacionadas con conductas indebidas internas. Se reportan en plazos específicos establecidos en las disposiciones.

Oficial de Cumplimiento

Las SOFOMes E.R. deben designar un Oficial de Cumplimiento responsable del programa PLD. Este funcionario debe tener el nivel y la autoridad necesarios para cumplir su función, y debe reportar directamente a la alta dirección.

Comité de Comunicación y Control

Las entidades de cierto tamaño deben contar con un Comité de Comunicación y Control que sesione periódicamente para evaluar las alertas detectadas, calificar operaciones inusuales y dar seguimiento al programa PLD.

Qué debe tener un software PLD para SOFOMes

Con ese marco regulatorio claro, la evaluación de software se vuelve más concreta. Estos son los criterios que deben evaluarse:

1. Integración con el core crediticio

El core de operaciones de una SOFOM —donde se registran los créditos, los pagos, los saldos y las transacciones de los clientes— es la fuente principal de datos para el monitoreo transaccional PLD. Un software que no puede conectarse a ese core está funcionando a ciegas.

La integración puede ser vía API (ideal para cores modernos), vía archivos de importación programados (aceptable para cores más tradicionales) o vía conexión directa a base de datos (posible pero requiere mayor configuración). Lo importante es que el flujo de datos sea continuo y confiable.

2. Gestión de expedientes KYC

El software debe permitir:

  • Crear y mantener el expediente digital completo del cliente (persona física y moral).
  • Registrar y almacenar documentos de identificación con validez legal.
  • Capturar la información del beneficiario controlador.
  • Establecer la clasificación de riesgo del cliente (EBR).
  • Registrar las actualizaciones periódicas del expediente.
  • Generar alertas cuando un expediente está próximo a su fecha de actualización.

Un expediente bien estructurado es la primera línea de defensa en una auditoría. Si el software no facilita esa estructuración, cualquier otra funcionalidad pierde valor.

3. Monitoreo transaccional

El motor de monitoreo debe:

  • Analizar las operaciones del cliente contra reglas predefinidas (umbrales de monto, frecuencia, tipo de operación).
  • Detectar automáticamente operaciones que deben ser reportadas como OR.
  • Generar alertas para revisión manual de operaciones potencialmente inusuales.
  • Permitir configurar reglas personalizadas según el perfil de riesgo de la SOFOM.
  • Registrar el resultado de cada alerta (descartada, escalada, calificada como OI).

4. Generación automática de reportes CNBV

Este es un criterio crítico y a veces subestimado. El software debe poder generar los reportes OR, OI y OIP en el formato exacto que la CNBV requiere para su envío a través del sistema oficial. Si el reporte debe ser manipulado manualmente antes de enviarse, hay riesgo de errores y de inconsistencias con la información en el expediente.

5. EBR configurable

La Evaluación Basada en Riesgo no es una fórmula única. Cada SOFOM tiene un perfil de clientes y operaciones diferente, y la metodología EBR debe reflejar esa realidad. El software debe permitir configurar los factores de riesgo y sus ponderaciones, no imponer una metodología rígida que no se adapte al perfil de la entidad.

6. Trazabilidad y auditabilidad

Todo lo que ocurra en el sistema debe quedar registrado con sello de tiempo, usuario responsable y resultado. Desde la apertura de un expediente hasta la calificación de una alerta o la modificación de una regla de monitoreo. Esta trazabilidad es lo que permite responder a un auditor de forma ordenada y convincente.

7. Control de accesos y roles

En una SOFOM con varios empleados involucrados en el proceso de cumplimiento, el sistema debe permitir definir roles distintos: quién puede dar de alta clientes, quién puede calificar alertas, quién puede generar reportes regulatorios, quién tiene acceso de solo lectura. La segregación de funciones no es solo buena práctica: es un requisito de las disposiciones CNBV.

Tabla de criterios de evaluación

CriterioImprescindibleDeseableNotas
Integración con core crediticioAPI o importación automatizada
Expediente KYC digitalCon beneficiario controlador
Monitoreo transaccionalCon alertas configurables
Reportes OR/OI/OIP automáticosEn formato CNBV
EBR configurableMetodología adaptable
Trazabilidad completaPara auditorías
Control de accesos y rolesSegregación de funciones
API disponibleDeseablePara integraciones adicionales
Actualizaciones regulatorias automáticasDeseable
Soporte en auditoríasDeseableAcompañamiento CNBV
Dashboard de gestiónDeseableVisibilidad ejecutiva

Análisis de opciones para SOFOMes

Regcheq

Regcheq es una opción sólida para SOFOMes medianas. Su diseño cubre los requerimientos regulatorios específicos de la CNBV para entidades financieras, con un enfoque particular en la operatividad para equipos que no son especialistas en cumplimiento.

Puntos fuertes para SOFOMes:

  • Cobertura completa de reportes OR, OI y OIP en formato CNBV.
  • Gestión de expedientes KYC con clasificación de riesgo integrada.
  • Integración vía API con cores crediticios modernos.
  • Implementación rápida, lo que es crítico para SOFOMes que necesitan regularizarse en plazos cortos.
  • Acompañamiento activo ante auditorías de la CNBV.
  • Precio accesible para el segmento de SOFOMes medianas.

Consideraciones: Para SOFOMes con carteras muy grandes (más de 100,000 clientes activos) o con requerimientos de integración con sistemas legacy complejos, vale la pena evaluar si la plataforma escala adecuadamente.

ArmorAML

ArmorAML tiene mayor presencia en el segmento de instituciones financieras grandes. Para SOFOMes medianas, puede ser un exceso en términos de costo y complejidad de implementación. Sus ventajas son más relevantes cuando la SOFOM tiene el tamaño y la estructura de compliance para aprovechar sus capacidades avanzadas.

Cuándo considerar ArmorAML para una SOFOM: Si la SOFOM tiene más de 50,000 clientes, opera en múltiples segmentos de negocio con complejidad transaccional alta, y tiene un equipo de compliance con más de dos personas dedicadas, ArmorAML puede justificar su costo.

Caso práctico: flujo mensual de cumplimiento en una SOFOM

Para hacer el análisis más concreto, describimos el flujo de trabajo mensual típico de cumplimiento PLD en una SOFOM mediana con software adecuado:

Semana 1: Monitoreo y alertas

El motor de monitoreo analiza de forma continua (o en lotes nocturnos, dependiendo del volumen) las transacciones del mes en curso. Las alertas generadas se distribuyen automáticamente al analista de cumplimiento responsable, con el expediente del cliente y el contexto de la alerta.

El analista revisa cada alerta: la descarta con justificación documentada, o la escala al Comité de Comunicación y Control para calificación como OI.

Semana 2: Gestión de expedientes

Revisión sistemática de expedientes con actualizaciones pendientes. El sistema genera automáticamente la lista de clientes cuyo expediente debe actualizarse en el mes. El equipo contacta a los clientes, recaba la documentación actualizada y registra el cierre en el sistema.

Si un cliente tiene expediente vencido y tiene operaciones activas, el sistema genera una alerta de riesgo que debe resolverse antes de continuar con la operación.

Semana 3: Preparación de reportes

El sistema genera automáticamente el reporte de Operaciones Relevantes del mes, identificando todas las operaciones que superaron los umbrales establecidos. El oficial de cumplimiento revisa el reporte, valida la información y lo aprueba para envío.

Si hay OIs calificadas por el Comité en el período, el sistema genera el reporte en el formato requerido, listo para firma y envío.

Semana 4: Revisión del programa y documentación

El oficial de cumplimiento revisa el estado general del programa: expedientes actualizados, alertas cerradas, reportes enviados. El sistema genera un resumen ejecutivo para la alta dirección con los indicadores clave del mes.

Se documenta la sesión del Comité de Comunicación y Control con los temas tratados y los acuerdos tomados.

Preguntas que debes hacer al proveedor antes de contratar

Antes de comprometerte con cualquier plataforma, estas preguntas son obligatorias:

  1. ¿El sistema genera reportes OR, OI y OIP en el formato exacto que acepta el sistema de la CNBV?
  2. ¿Cómo se integra con [nombre de tu core crediticio]?
  3. ¿Cuánto tiempo tomó implementar la plataforma en una SOFOM similar a la mía?
  4. ¿Qué pasa cuando cambia una disposición CNBV? ¿Cómo se actualiza el sistema?
  5. ¿Qué soporte ofrecen ante una visita de inspección de la CNBV?
  6. ¿Puedo exportar todos mis expedientes y reportes si decido cambiar de plataforma?
  7. ¿Qué roles y permisos permite configurar el sistema?
  8. ¿La plataforma tiene certificación o validación de algún tipo para uso en SOFOMes?

Preguntas frecuentes

¿Una SOFOM E.N.R. está obligada a tener software PLD?

Depende de sus operaciones específicas. Si realiza actividades que la colocan como sujeto obligado bajo LFPIORPI, sí tiene obligaciones de cumplimiento que idealmente se gestionan con software. Además, si busca fondeo de instituciones financieras que exigen cumplimiento PLD como condición, un sistema formal es prácticamente obligatorio en términos operativos.

¿Cuánto cuesta típicamente un software PLD para SOFOMes?

El costo varía significativamente según el proveedor, el número de clientes monitoreados y el nivel de integración. Las opciones más accesibles para SOFOMes medianas pueden estar en rangos de decenas de miles de pesos anuales. Las soluciones enterprise pueden superar los cientos de miles. Lo más importante es evaluar el costo total incluyendo implementación y mantenimiento.

¿El oficial de cumplimiento puede ser externo en una SOFOM?

Las disposiciones CNBV establecen requisitos sobre el perfil y la dedicación del oficial de cumplimiento. En general, debe ser alguien con conocimiento del negocio y autoridad para implementar el programa. Algunos esquemas permiten oficiales de cumplimiento externos bajo ciertas condiciones, pero esto debe validarse con el regulador en función del perfil específico de la entidad.

¿Con qué frecuencia deben actualizarse los expedientes KYC en una SOFOM?

Las disposiciones CNBV establecen frecuencias de actualización basadas en el nivel de riesgo del cliente: los clientes de alto riesgo requieren actualizaciones más frecuentes (generalmente anuales), los de riesgo medio cada dos años, y los de riesgo bajo cada tres años o más. El software debe gestionar automáticamente estas fechas y generar alertas antes de que venzan.

¿Qué pasa si una SOFOM no presenta los reportes OR a tiempo?

El incumplimiento en la presentación de reportes OR dentro de los plazos establecidos es una infracción que puede generar sanciones de la CNBV, que van desde amonestaciones hasta multas económicas significativas, y en casos graves pueden afectar la autorización de la entidad. La automatización de estos reportes en el software es precisamente para eliminar el riesgo de omisiones por error humano.

¿Es suficiente con una hoja de cálculo para cumplir PLD en una SOFOM pequeña?

No es recomendable. Las disposiciones CNBV exigen un programa documentado con controles específicos, y una hoja de cálculo no puede garantizar la integridad de la información, la trazabilidad de los cambios ni la generación de reportes en los formatos requeridos. Ante una auditoría, un sistema manual presenta riesgos significativos de inconsistencias que pueden interpretarse como deficiencias del programa.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.