Evaluación de Riesgos PLD: Metodología LFPIORPI 2026
Aprende cómo realizar la evaluación de riesgos PLD que exige la LFPIORPI. Guía 2026 con ISO 28000, las 3 fases y el plazo límite julio 2026.
Isaac Vazquez 
La evaluación de riesgos PLD es una de las obligaciones más complejas que introdujo la reforma de julio de 2025 a la LFPIORPI. Si realizas una actividad vulnerable en México, esta metodología basada en la norma ISO 28000 exige diseñar, implementar y valorar un proceso formal que documente tus riesgos de lavado de dinero y los controles para mitigarlos.
¿Qué es la evaluación de riesgos PLD?
Definición y fundamento legal
La evaluación de riesgos PLD es un proceso metodológico que permite a los sujetos obligados al régimen antilavado —tanto entidades financieras como quienes realizan actividades vulnerables— medir los riesgos a los que están expuestos en materia de operaciones con recursos de procedencia ilícita y, a partir de esa medición, establecer controles que disminuyan su exposición.
Su fundamento legal se encuentra en la fracción IX del artículo 18 de la LFPIORPI, adicionada en la reforma publicada el 16 de julio de 2025:
«IX. Diseñar, implementar y valorar una metodología de evaluación de riesgos, en los términos y condiciones que se establezcan en las Reglas de Carácter General.»
— Art. 18, Fr. IX, LFPIORPI (reforma julio 2025)
Diferencia entre EBR y evaluación de riesgos PLD
Es común confundir el Enfoque Basado en Riesgos (EBR) con la evaluación de riesgos PLD. Aunque están relacionados, son conceptos distintos dentro de la ley:
| Concepto | EBR (Art. 18, Fr. VII) | Evaluación de Riesgos PLD (Art. 18, Fr. IX) |
|---|---|---|
| Naturaleza | Enfoque general para todas las obligaciones | Metodología específica con diseño, implementación y valoración |
| Alcance | Criterio de aplicación transversal | Proceso formal con fases, documentación y ciclo anual |
| Referencia | Estándares GAFI | ISO 28000 y guías UIF |
| Producto | Políticas y criterios de riesgo | Matriz numérica, documentos de soporte, mitigantes |
En términos simples: el EBR es el qué (aplicar un enfoque de riesgos) y la evaluación de riesgos PLD es el cómo (la metodología formal para ejecutarlo).
Base normativa: ISO 28000 y LFPIORPI
La norma ISO 28000 como marco de referencia
La evaluación de riesgos PLD está basada en la norma ISO 28000, un estándar internacional para sistemas de gestión de la seguridad en la cadena de suministro. Esta norma proporciona el marco metodológico para:
- Identificar amenazas y vulnerabilidades en los procesos de la entidad
- Medir la probabilidad de ocurrencia y el impacto potencial de cada riesgo
- Establecer controles y mitigantes proporcionales al nivel de riesgo
- Monitorear la eficacia de los controles implementados de forma continua
Al adoptar este estándar, México alinea sus requisitos de prevención de lavado de dinero con las mejores prácticas internacionales reconocidas por el GAFI.
Art. 18, Fracción IX: la nueva obligación
La fracción IX del artículo 18 es una de las adiciones más relevantes de la reforma de julio de 2025. Antes de esta reforma, la evaluación de riesgos PLD era una práctica recomendada pero no obligatoria para actividades vulnerables. Solo las entidades financieras tenían esta obligación formal.
Con la reforma, todos los sujetos obligados que realizan actividades vulnerables según la LFPIORPI deben diseñar, implementar y valorar una metodología. Los detalles específicos se definirán en las Reglas de Carácter General que la SHCP debe publicar antes de julio de 2026.
Las 3 fases de la evaluación de riesgos PLD
La metodología consta de tres fases principales que forman un ciclo continuo e ininterrumpido:
Fase 1 — Diseño
El diseño es la fase más compleja y se subdivide en tres etapas:
- Identificación de riesgos: Determinar a qué riesgos específicos de lavado de dinero está expuesta tu entidad según su giro, tipo de clientes, zona geográfica y volumen de operaciones.
- Medición de riesgos: Cuantificar cada riesgo identificado mediante una matriz numérica con dos ejes: probabilidad de ocurrencia (eje X) y daño o consecuencia (eje Y).
- Establecimiento de mitigantes: Definir controles proporcionales al nivel de riesgo detectado para cada amenaza identificada.
Punto clave: Cada sujeto obligado es diferente. La evaluación de riesgos PLD debe estar hecha a la medida de tu entidad, considerando tus características propias y únicas. No sirve copiar la metodología de otra empresa, incluso si realiza la misma actividad vulnerable.
Fase 2 — Implementación
Una vez diseñada la metodología, se pone en práctica dentro de la organización. Esto implica:
- Integrar la metodología al sistema automatizado antilavado
- Capacitar al personal involucrado en la aplicación de la metodología
- Documentar todos los procesos y sus resultados de forma trazable
- Configurar las alertas y umbrales en el sistema conforme a la matriz de riesgos
Fase 3 — Valoración
La valoración es la revisión periódica de la metodología implementada. Debe realizarse:
- Cada año de forma obligatoria como mínimo
- Cuando se publique una nueva Evaluación Nacional de Riesgo (ENR)
- Cuando ocurran cambios significativos en la operación de la entidad
Después de la valoración, el ciclo se reinicia: se rediseña la metodología con los nuevos hallazgos, se reimplementa y se vuelve a valorar. Es un ejercicio continuo que no termina mientras la entidad realice actividades vulnerables.
Cómo diseñar la evaluación de riesgos PLD paso a paso
Paso 1: Identificación de riesgos
Para identificar los riesgos a los que está expuesta tu entidad, debes considerar al menos los siguientes factores:
| Factor de riesgo | Preguntas clave |
|---|---|
| Clientes | ¿Quiénes son? ¿Hay PEPS? ¿Son de alto riesgo? ¿Cuál es su perfil transaccional habitual? |
| Productos y servicios | ¿Qué actividad vulnerable realizas? ¿Cuáles son los montos habituales? ¿Manejas efectivo? |
| Zona geográfica | ¿En qué estados operas? ¿Hay presencia de crimen organizado? ¿Son zonas fronterizas? |
| Canales de distribución | ¿Operaciones presenciales o remotas? ¿Usas intermediarios? ¿Plataformas digitales? |
| Volumen operativo | ¿Cuántas operaciones realizas al mes? ¿Cuál es el monto promedio por operación? |
Paso 2: Medición — La matriz de riesgos
Con los riesgos identificados, se construye una matriz numérica que cruza dos variables:
- Eje X — Probabilidad de ocurrencia: ¿Qué tan probable es que este riesgo se materialice? (escala 1 a 5)
- Eje Y — Impacto o consecuencia: ¿Qué tan grave sería si ocurriera? (escala 1 a 5)
El resultado es una calificación numérica para cada factor que permite clasificarlo en niveles de riesgo:
| Puntuación | Nivel de riesgo | Acción requerida |
|---|---|---|
| 1–6 | Bajo | Controles estándar, monitoreo básico, identificación simplificada |
| 7–14 | Medio | Controles reforzados, monitoreo periódico, auditoría interna anual |
| 15–25 | Alto | Debida diligencia reforzada, seguimiento intensificado, auditoría externa, aprobación directiva |
Paso 3: Establecimiento de mitigantes
Para cada riesgo clasificado, se definen controles específicos que reducen la probabilidad de ocurrencia o el impacto. Estos mitigantes deben ser:
- Proporcionales al nivel de riesgo detectado
- Medibles para poder evaluar su eficacia en la valoración anual
- Documentados en el manual de cumplimiento de la entidad
- Automatizables en la medida de lo posible a través del sistema automatizado
Relación con el sistema automatizado y el manual
La evaluación de riesgos PLD se ensambla sobre el sistema automatizado
Es fundamental entender que la evaluación de riesgos PLD no funciona de manera aislada. Se construye y opera sobre el sistema automatizado que exige la fracción X del mismo artículo 18 de la LFPIORPI.
El sistema automatizado es la herramienta tecnológica que permite:
- Aplicar la matriz de riesgos a cada cliente y operación en tiempo real
- Monitorear operaciones y detectar desviaciones del perfil transaccional
- Generar alertas automáticas cuando se superan los umbrales de identificación y aviso
- Documentar y almacenar los resultados del proceso para auditoría
Importante: Sin un sistema automatizado operativo, no es posible implementar la evaluación de riesgos PLD de forma efectiva. Ambas obligaciones (fracciones IX y X del Art. 18) están intrínsecamente vinculadas. Hasta que no se tenga sistema, no se tendrá metodología funcional.
Documentación obligatoria
Todo el proceso debe estar documentado de forma completa. Los documentos mínimos que debes generar incluyen:
- Documento de diseño: Descripción de la metodología, factores de riesgo identificados y criterios de medición aplicados
- Matriz de riesgos: El resultado numérico con la clasificación de cada riesgo por nivel
- Catálogo de mitigantes: Controles establecidos para cada nivel de riesgo detectado
- Informe de implementación: Evidencia de que la metodología se puso en práctica efectivamente
- Informe de valoración: Resultados de la revisión anual con hallazgos y ajustes realizados
Esta documentación debe integrarse al manual de cumplimiento que exige la fracción VIII del artículo 18 y el artículo 37 de las Reglas de Carácter General.
Plazo límite y regulación pendiente
Julio 2026: fecha clave para las reglas
Las Reglas de Carácter General que definirán los términos y condiciones específicos de la evaluación de riesgos PLD para actividades vulnerables deben publicarse dentro de los 12 meses siguientes a la reforma, es decir, antes de julio de 2026.
A la fecha de publicación de este artículo, todavía no existen reglas específicas para actividades vulnerables. Sin embargo, esto no es excusa para no prepararse. Las empresas que inicien el proceso de evaluación de riesgos PLD desde ahora tendrán una ventaja significativa cuando las reglas se publiquen.
Guías de la UIF como referencia anticipada
Mientras se publican las reglas para actividades vulnerables, la Unidad de Inteligencia Financiera (UIF) ha publicado guías sobre cómo realizar metodologías de evaluación de riesgos para entidades financieras. Según expertos en la materia, el proceso para actividades vulnerables será extremadamente similar al de las entidades financieras, por lo que estas guías representan una referencia valiosa.
Las guías pueden consultarse en el sitio oficial de la UIF y cubren aspectos como la estructura de la matriz, los factores mínimos de riesgo a considerar y los requisitos de documentación del proceso.
La Evaluación Nacional de Riesgo y su impacto
La Evaluación Nacional de Riesgo (ENR) es un documento que publica el gobierno de México para identificar las amenazas, vulnerabilidades y consecuencias del lavado de dinero a nivel país. Cuando se publica una nueva ENR, los sujetos obligados deben revalorar su propia metodología para incorporar los nuevos hallazgos nacionales.
Esto significa que, además de la valoración anual obligatoria, cualquier publicación de una ENR actualizada detona automáticamente un nuevo ciclo de evaluación de riesgos PLD para todas las entidades que realizan actividades vulnerables.
Sanciones por incumplimiento
No contar con una evaluación de riesgos PLD documentada puede derivar en multas y sanciones severas. La LFPIORPI establece multas que van desde 200 hasta 2,000 UMA por cada obligación incumplida del artículo 18.
Con el valor de la UMA 2026 de $117.31 MXN (vigente del 1 de febrero de 2026 al 31 de enero de 2027), esto representa:
| Tipo de multa | Monto 2026 |
|---|---|
| Mínima (200 UMA) | $23,462 MXN |
| Máxima (2,000 UMA) | $234,620 MXN |
La falta de una metodología documentada puede ser un agravante en caso de auditoría por parte del SAT, ya que evidencia una falta de diligencia en el cumplimiento de las 13 obligaciones de la LFPIORPI.
Preguntas frecuentes
¿Es obligatoria la evaluación de riesgos PLD para actividades vulnerables?
Sí. Desde la reforma de julio de 2025, la fracción IX del artículo 18 de la LFPIORPI establece la obligación de diseñar, implementar y valorar una metodología de evaluación de riesgos. Los términos específicos se definirán en las Reglas de Carácter General que se esperan antes de julio de 2026.
¿Puedo copiar la metodología de otra empresa?
No. Cada sujeto obligado tiene características propias y únicas: tipo de actividad vulnerable, perfil de clientes, zona geográfica y volumen de operaciones. La evaluación de riesgos PLD debe estar hecha a la medida de tu entidad específica.
¿Cada cuánto debo actualizar la metodología?
La valoración debe realizarse al menos una vez al año, o cuando se publique una nueva Evaluación Nacional de Riesgo. Después de la valoración, se rediseña y reimplementa la metodología con los nuevos hallazgos detectados.
¿Necesito un sistema automatizado para la evaluación de riesgos PLD?
Sí. La metodología se ensambla sobre el sistema automatizado que exige la fracción X del artículo 18. Sin un sistema operativo, no es posible implementar la evaluación de riesgos PLD de forma efectiva. Plataformas como KYC SYSTEMS integran matrices de riesgo automatizadas diseñadas para la LFPIORPI.
¿Las personas físicas también deben hacer evaluación de riesgos PLD?
Sí. Las personas físicas que realizan actividades vulnerables cumplen de manera personal y directa con todas las obligaciones del artículo 18, incluyendo esta metodología. No pueden delegar esta responsabilidad en un tercero, como lo establece el artículo 20 de la ley.
¿Qué relación tiene con la auditoría anual?
La auditoría anual (fracción XI del Art. 18) revisará, entre otros aspectos, que la evaluación de riesgos PLD esté diseñada, implementada y documentada correctamente. Si la auditoría detecta deficiencias, se deberán corregir en el siguiente ciclo de valoración.
Prepara tu evaluación de riesgos PLD con KYC SYSTEMS
Nuestra plataforma incluye matrices de riesgo automatizadas, perfiles transaccionales y documentación lista para auditoría, todo diseñado para cumplir con la LFPIORPI.
