CumplimientoPLD.mx
Blog →
Artículo controles PLDprograma PLDcumplimiento

Top 10 Controles Mínimos de un Programa PLD Efectivo

Los 10 controles fundamentales que todo programa PLD en México debe tener para funcionar efectivamente y superar inspecciones de CNBV y SAT.

Un programa PLD no se evalúa por el grosor de su manual ni por el número de políticas que contiene. Se evalúa por la efectividad de sus controles: los mecanismos concretos que previenen, detectan y reportan el lavado de dinero.

El GAFI establece que un programa PLD efectivo debe tener controles proporcionales al riesgo de la entidad. Los reguladores mexicanos —CNBV, SAT, UIF— evalúan si esos controles realmente funcionan, no solo si están escritos.

Estos son los 10 controles mínimos que cualquier programa PLD en México debe tener.

Control 1: Identificación y verificación de clientes (KYC)

El KYC es el control fundamental de cualquier programa PLD. Debe incluir:

  • Captura de datos de identidad del cliente (nombre, RFC, CURP, domicilio)
  • Verificación de documentos de identidad oficiales
  • Confirmación de que el cliente es quien dice ser (biometría o verificación presencial)

Por qué es un control: Sin KYC, la empresa no puede saber con quién está haciendo negocios. El KYC es la primera línea de defensa contra el uso de la empresa como vehículo de lavado.

Control 2: Screening de listas de sanciones y PEPs

Cada cliente debe verificarse contra:

  • Listas de sanciones internacionales (OFAC, ONU, UE)
  • Listas de personas bloqueadas por la CNBV
  • Bases de datos de PEPs (Personas Políticamente Expuestas)
  • Listas nacionales relevantes (EDOS/EFOS del SAT)

Frecuencia: Al onboarding y periódicamente para clientes existentes (mínimo anual para clientes de bajo riesgo; más frecuente para alto riesgo).

Control 3: Clasificación de clientes por nivel de riesgo

Cada cliente debe tener una clasificación de riesgo (bajo/medio/alto) basada en criterios objetivos:

  • Tipo de actividad económica
  • Volumen y tipo de transacciones esperadas
  • País de origen o residencia
  • Si es PEP o tiene vínculos con PEPs
  • Resultados del screening de sanciones

Por qué importa: La clasificación de riesgo determina el nivel de diligencia debida aplicado y la frecuencia de revisión del expediente.

Control 4: Diligencia debida reforzada para clientes de alto riesgo

Los clientes clasificados como alto riesgo requieren:

  • Aprobación de la alta dirección antes de iniciar la relación
  • Información adicional sobre el origen de fondos
  • Monitoreo más frecuente de sus transacciones
  • Revisión periódica del expediente con mayor frecuencia (semestral en lugar de anual)

Los PEPs siempre son alto riesgo, independientemente de otros factores.

Control 5: Monitoreo transaccional continuo

Las transacciones de los clientes deben monitorearse sistemáticamente para detectar:

  • Operaciones que superan umbrales definidos
  • Patrones inusuales comparados con el perfil del cliente
  • Fragmentación intencional (structuring)
  • Operaciones con contrapartes de riesgo elevado

El error más común: Tener el monitoreo configurado pero no revisar las alertas que genera. Un sistema de alertas sin seguimiento no es un control efectivo.

Control 6: Proceso de investigación y reporte de operaciones inusuales

Cuando se detecta una alerta, debe existir un proceso claro para:

  1. Investigar el contexto de la operación
  2. Documentar los hallazgos de la investigación
  3. Decidir si corresponde emitir un Reporte de Operación Inusual (ROI)
  4. Enviar el ROI a la CNBV o al SAT según corresponda
  5. Registrar todo el proceso con marcas de tiempo

El proceso debe ser documentado: la CNBV puede pedir evidencia no solo de que enviaste reportes, sino de cómo llegaste a la decisión de reportar o no reportar.

Control 7: Capacitación periódica del personal

Todo el personal en contacto con clientes o con acceso a información financiera debe recibir capacitación en PLD al menos una vez al año. La capacitación debe incluir:

  • Qué es el lavado de dinero y sus etapas
  • Red flags específicos del sector de la empresa
  • El procedimiento interno para reportar sospecha
  • Las obligaciones legales del personal

Control crítico: El registro de capacitación (quién tomó el curso, cuándo, con qué contenidos) es evidencia que los reguladores solicitan frecuentemente.

Control 8: Gestión de expedientes con historial de auditoría

Los expedientes de clientes deben gestionarse en un sistema que registre:

  • Qué documentos se capturaron y cuándo
  • Quién accedió al expediente y qué cambios realizó
  • El historial de clasificaciones de riesgo y sus justificaciones
  • Los resultados de screenings periódicos

Sin trazabilidad no hay control: si no puedes demostrar que el proceso se siguió correctamente, es como si no lo hubieras hecho.

Control 9: Revisión periódica de la efectividad del programa

El programa PLD debe evaluarse al menos una vez al año para verificar que:

  • Los controles funcionan como fueron diseñados
  • Las políticas están actualizadas con la regulación vigente
  • Los riesgos identificados en la evaluación inicial siguen siendo los relevantes
  • El personal sigue capacitado y cumple con los procedimientos

La autoevaluación debe documentarse: un informe de revisión anual firmado por el oficial de cumplimiento y la alta dirección es evidencia de que el programa es activo, no estático.

Control 10: Reporte y comunicación con la alta dirección

El oficial de cumplimiento debe reportar periódicamente a la alta dirección sobre:

  • El estado del programa PLD
  • Las alertas más relevantes del período
  • Los reportes enviados a reguladores
  • Las observaciones de inspecciones y su estado de corrección
  • Cambios regulatorios que impactan a la empresa

Por qué es un control: La alta dirección debe estar informada y comprometida con el programa PLD. Sin ese compromiso, los controles carecen de respaldo institucional.

Herramientas para implementar estos controles

Los 10 controles son alcanzables con tecnología adecuada. Regcheq implementa los 10 controles de forma integrada:

  • KYC + screening de listas en el onboarding
  • Clasificación automática de riesgo
  • Monitoreo transaccional con alertas configurables
  • Flujo de trabajo para investigación de alertas y generación de reportes
  • Módulo de capacitación con registro de asistencia
  • Expedientes digitales con historial de auditoría completo
  • Dashboard para reportes a la alta dirección

Preguntas frecuentes

¿Los 10 controles son obligatorios para todas las empresas? No necesariamente en la misma forma. La regulación exige que los controles sean proporcionales al riesgo. Una empresa de bajo riesgo puede implementar versiones simplificadas de algunos controles. Lo importante es que existan y funcionen.

¿Cómo sé si mis controles son efectivos? La efectividad se mide por resultados: ¿el programa detecta operaciones inusuales? ¿Los expedientes están completos? ¿Los reportes llegan a tiempo al regulador? Una auditoría interna anual puede revelar dónde los controles fallan.

¿Un programa PLD con estos 10 controles me protege de sanciones? Te protege significativamente. Los reguladores reconocen cuando existe un programa genuinamente implementado, aunque tenga áreas de mejora. La buena fe y los esfuerzos documentados cuentan en el proceso sancionatorio.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.