Alertas, investigaciones y reportes PLD: del monitoreo a la evidencia

Una alerta PLD no es un resultado final. Es el inicio de una pregunta: ¿esta operacion, cliente o patron tiene una explicacion razonable dentro del conocimiento que la institucion tiene del cliente?

La diferencia importa. Cuando una institucion trata cada alerta como si ya fuera una conclusion, satura al equipo de cumplimiento, genera decisiones inconsistentes y termina cerrando casos sin aprendizaje. Cuando la trata como una senal que debe investigarse con metodo, la alerta se convierte en evidencia: una ruta documentada que explica que se detecto, como se analizo, quien decidio, por que se escalo o por que se descarto.

En PLD/CFT, el monitoreo efectivo no termina en una regla que dispara un semaforo. Necesita un ciclo completo: deteccion, priorizacion, analisis, documentacion, decision, escalamiento, reporte cuando corresponda y retroalimentacion al modelo de riesgo. Sin ese ciclo, el sistema puede tener muchas alertas y aun asi poca capacidad de control.

Este articulo explica como operar alertas, investigaciones y reportes PLD desde una perspectiva practica para instituciones financieras, SOFOMes, fintechs, areas de cumplimiento, operaciones y tecnologia.

Nota editorial: este contenido es informativo y no sustituye la revision legal, normativa o de auditoria de cada entidad. Las obligaciones concretas de reporte, plazos, formatos y criterios deben validarse contra el marco aplicable, el manual interno de PLD/CFT y los criterios del oficial de cumplimiento.

Que es una alerta PLD

Una alerta PLD es una senal generada por una regla, modelo, evento operativo o revision humana que indica una posible desviacion frente al comportamiento esperado, el nivel de riesgo del cliente o los criterios definidos por la institucion.

Puede originarse por multiples causas:

• operaciones superiores a montos esperados;
• frecuencia inusual de movimientos;
• cambios relevantes de canal, geografia o contraparte;
• pagos de terceros no documentados;
• coincidencias en listas o senales externas;
• inconsistencias entre expediente, actividad economica y operacion real;
• operaciones justo por debajo de umbrales internos;
• cambios repentinos despues de periodos de inactividad;
• comportamiento atipico frente a clientes similares;
• eventos manuales detectados por sucursal, cobranza, originacion o atencion al cliente.

La alerta no afirma por si sola que exista lavado de dinero, financiamiento al terrorismo o una operacion inusual reportable. Afirma que hay un hecho que requiere revision. El valor del sistema esta en convertir esa revision en un proceso uniforme, trazable y defendible.

El ciclo operativo de una alerta

Un programa de cumplimiento maduro no mide solamente cuantas alertas genero. Mide que tan bien las gestiono. Para eso conviene pensar en un flujo completo.

• Deteccion. Pregunta operativa: que regla, evento o analisis genero la alerta. Evidencia esperada: regla, fecha, datos usados, cliente, producto y operacion.
• Priorizacion. Pregunta operativa: que tan urgente o relevante es. Evidencia esperada: severidad, factores de riesgo, SLA y responsable.
• Investigacion. Pregunta operativa: que explica o no explica el comportamiento. Evidencia esperada: expediente, transacciones, perfil, documentos y notas.
• Decision. Pregunta operativa: se descarta, se monitorea, se escala o se reporta. Evidencia esperada: conclusion, fundamentos y aprobaciones.
• Escalamiento. Pregunta operativa: quien debe revisar o autorizar. Evidencia esperada: oficial, comite, area legal, auditoria o direccion.
• Reporte. Pregunta operativa: hay obligacion de reportar conforme al marco aplicable. Evidencia esperada: tipo de reporte, soporte, envio y acuse cuando corresponda.
• Retroalimentacion. Pregunta operativa: la regla o perfil deben ajustarse. Evidencia esperada: cambio aprobado, version y justificacion.

La trazabilidad debe existir desde el primer dato. Si una alerta se cierra semanas despues, la institucion debe poder reconstruir el expediente de decision sin depender de memoria personal, chats o archivos sueltos.

Deteccion: de reglas aisladas a senales con contexto

La deteccion suele empezar con reglas. Algunas son simples: monto superior a cierto umbral, operacion en geografia sensible, coincidencia contra lista o frecuencia mayor a la esperada. Otras son compuestas: combinan perfil transaccional, matriz de riesgo, canal, producto, historial y comportamiento de pares.

Las reglas simples son necesarias, pero tienen un limite: sin contexto generan ruido. Una operacion de alto monto puede ser normal si coincide con el giro y el historial del cliente. Una operacion pequena puede ser relevante si se repite con patron de fraccionamiento, contraparte de riesgo o uso de canal inusual.

Por eso, cada alerta debe guardar no solo el resultado, sino tambien el contexto que la genero:

• regla o modelo que disparo la alerta;
• version de la regla vigente en ese momento;
• datos evaluados;
• umbral o condicion incumplida;
• perfil transaccional utilizado;
• nivel de riesgo del cliente;
• producto, canal y geografia asociados;
• coincidencias con listas o senales externas;
• historial de alertas previas del mismo cliente o contraparte.

Este contexto evita que el analista empiece desde cero. Tambien permite explicar a auditoria por que el sistema alerto en ese momento y no antes o despues.

Priorizacion: no todas las alertas deben atenderse igual

Una institucion puede generar cientos o miles de alertas. Tratarlas todas con el mismo nivel de urgencia es una receta para el rezago. La priorizacion ayuda a enfocar recursos donde el riesgo y la materialidad son mayores.

La severidad puede construirse con factores como:

• riesgo del cliente segun matriz vigente;
• monto y frecuencia de la desviacion;
• tipo de producto o canal;
• existencia de coincidencias en listas;
• condicion PEP o relacion con PEP;
• actividad economica sensible;
• operaciones de terceros o contrapartes nuevas;
• historial de alertas previas;
• falta de informacion o expediente incompleto;
• proximidad a obligaciones de reporte o plazos internos.

Una alerta de bajo monto en un cliente de bajo riesgo puede tener un SLA distinto a una coincidencia relevante en lista o a un patron repetido en un cliente de riesgo alto. Lo importante es que esa priorizacion sea explicable, no discrecional.

Tambien conviene separar alertas operativas de alertas de cumplimiento critico. Algunas requieren completar datos, actualizar expediente o pedir soporte. Otras requieren bloqueo, suspension operativa, revision del oficial de cumplimiento o analisis para reporte. Mezclar ambos grupos genera colas confusas.

Investigacion: que debe revisar el analista

La investigacion PLD debe responder si la alerta tiene una explicacion razonable, documentada y congruente con el cliente. Para lograrlo, el analista necesita una vista integrada, no una busqueda manual en cinco sistemas.

Una investigacion tipica revisa:

• expediente KYC y beneficiario controlador;
• matriz de riesgo y factores que explican la calificacion;
• perfil transaccional declarado, observado y aprobado;
• historial de operaciones relacionadas;
• producto, contrato, desembolsos, pagos, abonos o retiros;
• contrapartes frecuentes y nuevas;
• canal de origen;
• documentos soporte;
• notas de atencion, cobranza, ventas u operaciones;
• alertas anteriores y decisiones previas;
• resultados de screening en LPB, PEPs u otras listas aplicables.

La investigacion no debe limitarse a copiar datos. Debe producir una conclusion razonada. Por ejemplo: "La operacion excede el monto mensual declarado, pero coincide con venta extraordinaria documentada, factura y actividad economica; se actualiza temporalmente el perfil con aprobacion". O bien: "El pago proviene de tercero sin relacion documentada; el cliente no aporta justificacion suficiente; se escala al oficial de cumplimiento".

El punto central es que la decision quede defendida por evidencia, no por intuicion.

Documentacion: la diferencia entre cerrar y justificar

Cerrar una alerta no es lo mismo que justificarla. El cierre administrativo dice que ya no esta pendiente. La justificacion explica por que la institucion tomo una decision.

Una buena documentacion de caso debe incluir:

• resumen de la alerta;
• datos relevantes del cliente y producto;
• regla o evento que genero el caso;
• hechos revisados;
• documentos consultados;
• explicacion del cliente cuando aplique;
• analisis del responsable;
• conclusion;
• decision tomada;
• aprobaciones requeridas;
• fecha y hora de cada accion;
• usuario responsable;
• archivos, evidencias y acuses relacionados.

Tambien debe conservar las decisiones negativas: por que no se reporto, por que no se bloqueo, por que no se actualizo el perfil o por que se pidio informacion adicional. En una auditoria, las decisiones descartadas suelen ser tan importantes como las ejecutadas.

Escalamiento: cuando la alerta deja de ser operativa

No todas las alertas deben quedarse en el primer analista. El escalamiento define cuando una revision requiere mayor autoridad, especializacion o independencia.

Criterios comunes de escalamiento:

• coincidencia relevante en Lista de Personas Bloqueadas o senales de alto riesgo;
• operaciones sin justificacion economica aparente;
• negativa del cliente a proporcionar informacion;
• documentos inconsistentes o posiblemente falsos;
• participacion de terceros no relacionados;
• patrones repetidos tras cierres previos;
• clientes de alto riesgo o PEPs;
• posible obligacion de reporte;
• necesidad de restriccion, bloqueo o suspension operativa;
• discrepancia entre cumplimiento, negocio y operaciones.

El escalamiento debe tener ruta y responsable. Puede ir al oficial de cumplimiento, al comite de comunicacion y control, a legal, auditoria interna o direccion, segun el caso y la estructura de la entidad. Lo que no debe ocurrir es que una alerta critica quede perdida en una bandeja sin propietario.

Reportes normativos: de la conclusion al expediente de envio

En el marco PLD, algunas investigaciones pueden derivar en reportes a la autoridad conforme al regimen aplicable. La institucion debe contar con criterios internos para determinar que casos se reportan, que tipo de reporte corresponde, quien autoriza, como se integra la informacion y como se conserva evidencia del envio.

Desde un punto de vista operativo, un reporte no deberia construirse al final con recortes de informacion. El expediente debe venir preparandose durante la investigacion: hechos, fechas, montos, productos, contrapartes, documentos, analisis, conclusion y autorizaciones.

Un flujo robusto contempla:

• identificacion del posible tipo de reporte;
• validacion por el responsable competente;
• integracion de datos obligatorios;
• revision de consistencia;
• generacion del archivo o formato requerido;
• autorizacion final;
• envio por el medio establecido;
• resguardo de acuse, folio o evidencia de transmision;
• vinculacion del reporte al caso investigado.

La clave es no separar el reporte de la investigacion. Si se separan, se pierde trazabilidad: el reporte dice una cosa, el expediente otra y el sistema de monitoreo una tercera.

Evidencia y trazabilidad: que debe poder reconstruirse

La trazabilidad es la capacidad de reconstruir una decision. En PLD, eso significa poder mostrar la cadena completa desde la alerta hasta el cierre o reporte.

Una institucion deberia poder responder:

• que dato genero la alerta;
• que regla o version del modelo estaba activa;
• que informacion del cliente se consulto;
• que operaciones fueron relevantes;
• que documentos soportan la explicacion;
• quien analizo;
• quien aprobo;
• que decision se tomo;
• si hubo reporte, cuando y con que evidencia;
• si no hubo reporte, por que;
• que cambio se hizo al perfil, matriz o regla despues del caso.

Esta trazabilidad no es solo para cumplir auditorias. Tambien mejora la operacion. Permite identificar reglas con demasiados falsos positivos, analistas con criterios inconsistentes, procesos con cuellos de botella y casos que se repiten porque el sistema no aprendio.

Retroalimentacion: usar investigaciones para mejorar el monitoreo

Un error frecuente es tratar cada alerta como un evento aislado. En realidad, las investigaciones deben alimentar el sistema.

Si muchas alertas se cierran por una misma explicacion valida, tal vez la regla esta mal calibrada o el perfil transaccional no captura estacionalidad. Si varias alertas escalan por un mismo patron no previsto, tal vez falta una regla especifica. Si los analistas piden siempre el mismo documento, tal vez debe capturarse desde el onboarding.

La retroalimentacion puede impactar:

• matriz de riesgo;
• perfil transaccional;
• reglas de monitoreo;
• listas internas;
• cuestionarios KYC;
• periodicidad de actualizacion;
• capacitacion de sucursales o equipos comerciales;
• controles en originacion, core o cobranza;
• reportes internos al comite.

El objetivo no es eliminar alertas. Es mejorar la calidad de las alertas y la consistencia de las decisiones.

Flujo operativo recomendado

Un flujo practico para instituciones financieras puede verse asi:

1. La operacion ocurre. El core, sistema de cartera, originacion, app o canal digital registra el evento.
2. El motor evalua. Se aplican reglas de monto, frecuencia, canal, geografia, contraparte, listas, perfil y matriz de riesgo.
3. Se genera una alerta. El caso nace con datos, regla, severidad, responsable y SLA.
4. Se prioriza. El sistema determina urgencia segun riesgo, materialidad y tipo de senal.
5. El analista investiga. Revisa expediente, historial, perfil, contrapartes, documentos y contexto operativo.
6. Se solicita informacion si aplica. La peticion queda ligada al caso y con vencimiento.
7. Se documenta conclusion. El analista registra hechos, analisis, evidencia y recomendacion.
8. Se escala cuando corresponde. Oficial, comite o area responsable revisa y aprueba.
9. Se ejecuta decision. Cierre, monitoreo reforzado, actualizacion de perfil, restriccion, bloqueo o reporte conforme al marco aplicable.
10. Se conserva evidencia. El expediente guarda bitacora, documentos, aprobaciones y acuses.
11. Se retroalimenta el modelo. Se ajustan reglas, perfiles o controles con aprobacion y versionamiento.

Este flujo puede implementarse con herramientas simples al inicio, pero debe mantener una regla: cada paso debe dejar rastro.

Tecnologia: por que una bandeja de alertas no basta

Muchas instituciones empiezan con una bandeja de alertas. Es util, pero insuficiente si no se conecta con datos y decisiones.

Una plataforma de PLD operativa deberia permitir:

• reglas parametrizables por producto, cliente, canal y riesgo;
• generacion automatica de casos;
• priorizacion por severidad y SLA;
• expediente integrado del cliente;
• consulta del perfil transaccional vigente;
• historial de alertas y decisiones;
• carga y versionamiento de evidencias;
• flujos de aprobacion;
• controles de acceso por rol;
• bitacora inalterable de acciones;
• generacion de reportes internos y regulatorios;
• tableros para oficial de cumplimiento y comite;
• auditoria de cambios a reglas y modelos.

Aqui es donde soluciones como Acendes Aura, Core Banking, Presti o una Plataforma Unica de Identidad pueden aportar valor. La tecnologia no reemplaza el criterio de cumplimiento, pero si puede asegurar que la investigacion ocurra con datos completos, decisiones trazables y controles consistentes.

Checklist para gestionar alertas e investigaciones PLD

• Definir reglas de alerta vinculadas a matriz de riesgo y perfil transaccional.
• Guardar la version de la regla que genera cada alerta.
• Asignar severidad, responsable y SLA desde el nacimiento del caso.
• Separar alertas operativas de alertas criticas de cumplimiento.
• Integrar expediente, transacciones, listas y documentos en una sola vista.
• Documentar hechos, analisis, conclusion y decision.
• Establecer criterios formales de escalamiento.
• Conservar evidencia de aprobaciones, reportes y acuses.
• Registrar tambien las razones para no reportar o no escalar.
• Medir falsos positivos, tiempos de atencion y reincidencias.
• Retroalimentar reglas, perfiles y matriz de riesgo con control de cambios.
• Revisar periodicamente el desempeno del monitoreo con el oficial de cumplimiento y comite.

Errores comunes

• Medir exito por numero de alertas, no por calidad de investigacion.
• Generar alertas sin guardar los datos que explican el disparo.
• Cerrar casos con notas genericas como "sin riesgo" o "operacion normal".
• Usar criterios distintos por analista sin matriz ni guia de decision.
• No vincular alertas con perfil transaccional y matriz de riesgo.
• Construir reportes normativos separados del expediente investigado.
• No conservar acuses, autorizaciones o versiones de reglas.
• Ajustar umbrales para bajar carga operativa sin evidencia.
• No medir falsos positivos ni aprender de casos cerrados.

Conclusion

Las alertas PLD solo generan valor cuando se convierten en investigaciones documentadas. Un sistema que dispara senales pero no conserva evidencia produce ruido. Un sistema que conecta alerta, expediente, analisis, decision, escalamiento y reporte produce control.

La meta no es investigar mas por volumen. Es investigar mejor: con contexto, prioridades claras, criterios consistentes, evidencia completa y retroalimentacion al modelo de riesgo. En una institucion financiera, esa disciplina protege al negocio, facilita auditorias y ayuda a que cumplimiento deje de operar como una actividad reactiva.

PLD efectivo no se demuestra por tener una bandeja llena de alertas. Se demuestra por poder explicar, caso por caso, que se detecto, que se hizo, quien decidio y que evidencia respalda la decision.

Enlaces internos sugeridos

• Cumplimiento PLD en Mexico: de la obligacion regulatoria al control operativo
• Perfil transaccional PLD: como definir la normalidad de un cliente
• Matriz de riesgo PLD y Enfoque Basado en Riesgo
• KYC, LPB, PEPs y beneficiario controlador en PLD
• Reforma PLD 2025: la guia definitiva
• Plataforma Unica de Identidad para instituciones financieras
• Originacion de credito digital

Fuentes normativas y de referencia

• Ley de Instituciones de Credito, articulo 115, texto vigente publicado por Camara de Diputados.
• Disposiciones de caracter general a que se refiere el articulo 115 de la Ley de Instituciones de Credito, DOF/SIDOF.
• Resolucion publicada el 28 de agosto de 2024 que reforma, adiciona y deroga disposiciones del articulo 115 LIC, DOF/SIDOF.
• CNBV, disposiciones legales para instituciones de credito.
• GAFILAT/GAFI, 40 Recomendaciones y metodologia, actualizacion a diciembre de 2023.