Volver al blog

Gobierno de cumplimiento PLD: oficial, comité, auditoría y capacitación

3 de junio de 2026
Tecnología Financiera

Gobierno de cumplimiento PLD: rol del oficial, comité, auditorías, capacitación, evidencia, calibración de modelos y responsabilidad institucional.

Mapa de investigación PLD para instituciones financieras

Un programa de Prevención de Lavado de Dinero y Financiamiento al Terrorismo (PLD/CFT) no se sostiene únicamente con reglas, listas y reportes. Esos controles pueden estar bien diseñados y aun así fallar si la institución no tiene gobierno: responsables claros, decisiones documentadas, supervisión, capacitación, auditoría, seguimiento de hallazgos y capacidad real para corregir lo que no funciona.

El gobierno de cumplimiento es la capa que convierte la política en operación. Define quién decide, quién revisa, quién escala, quién conserva evidencia, quién valida que los modelos sigan siendo útiles y quién responde cuando auditoría, supervisión o dirección preguntan por qué se actuó de cierta forma.

En instituciones financieras, SOFOMes, fintechs y entidades que operan originación, crédito, pagos o productos digitales, el gobierno PLD debe ser más que un organigrama. Debe ser un sistema operativo de responsabilidad institucional. Si una alerta se cerró, debe haber una razón. Si un cliente de alto riesgo fue aprobado, debe existir evidencia. Si una regla dejó de detectar casos relevantes, debe haber calibración. Si el personal de primera línea no sabe identificar señales, el control existe sólo en papel.

Este artículo explica los elementos centrales de un gobierno de cumplimiento PLD: oficial de cumplimiento, comité, auditoría, capacitación, revisiones periódicas, calibración de modelos, evidencia y responsabilidad institucional.

Nota editorial: este contenido es informativo y no sustituye la revisión legal, normativa o de auditoría de cada entidad. La implementación concreta debe validarse contra el marco aplicable, el manual interno de PLD/CFT, las disposiciones vigentes y los criterios del oficial de cumplimiento.

Qué significa gobierno de cumplimiento en PLD

Gobierno de cumplimiento es el conjunto de estructuras, roles, políticas, procesos y evidencias que permiten dirigir, supervisar y mejorar el programa PLD/CFT de una institución.

En términos prácticos, responde ocho preguntas:

  1. Quién es responsable de administrar el programa PLD/CFT.
  2. Qué temas se escalan y ante qué órgano interno.
  3. Cómo se aprueban políticas, metodologías, matrices y cambios de reglas.
  4. Cómo se capacita al personal y cómo se demuestra esa capacitación.
  5. Cómo se revisa la efectividad de controles, alertas y modelos.
  6. Cómo se documentan decisiones, excepciones y justificaciones.
  7. Cómo se atienden hallazgos de auditoría, supervisión o revisiones internas.
  8. Cómo se asegura que el cumplimiento no dependa de una sola persona.

La regulación mexicana para instituciones de crédito, apoyada en el artículo 115 de la Ley de Instituciones de Crédito y sus Disposiciones de Carácter General, exige medidas, procedimientos, estructuras internas, sistemas automatizados, capacitación, conservación de evidencia y reporte. Los estándares internacionales del GAFI/GAFILAT refuerzan la misma idea: un sistema efectivo no se mide por tener documentos, sino por demostrar que identifica, administra y mitiga riesgos de LD/FT.

Por eso el gobierno PLD no puede quedarse en una carpeta de políticas. Debe reflejarse en la vida diaria de la institución: onboarding, originación, autorizaciones, monitoreo, investigación de alertas, actualizaciones de expediente, reportes, auditoría y cambios tecnológicos.

Oficial de cumplimiento: responsable operativo y punto de control institucional

El oficial de cumplimiento es una figura clave del programa PLD/CFT. Su función no debe entenderse como la de una persona que “llena reportes”. En una institución madura, el oficial administra el marco de control, coordina la respuesta institucional, supervisa la operación del programa y mantiene trazabilidad sobre decisiones sensibles.

Entre sus responsabilidades operativas suelen estar:

  • coordinar la implementación del manual y políticas PLD/CFT;
  • supervisar la identificación y conocimiento del cliente;
  • revisar o validar metodologías de riesgo;
  • dar seguimiento a alertas, investigaciones y escalaciones;
  • asegurar que se preparen reportes normativos cuando correspondan;
  • promover capacitación interna;
  • coordinar atención a auditorías y requerimientos;
  • revisar que los sistemas automatizados produzcan evidencia suficiente;
  • proponer ajustes a controles, reglas y modelos cuando cambian riesgos o regulación.

El oficial necesita independencia funcional suficiente para escalar riesgos sin quedar subordinado a la presión comercial de corto plazo. Al mismo tiempo, necesita conexión real con operaciones, tecnología, producto, legal, auditoría y dirección. Un oficial aislado puede conocer la norma, pero no controlar lo que ocurre en originación, core, cobranza o canales digitales.

En sistemas, el rol del oficial debe traducirse a permisos, bandejas, bitácoras y flujos de aprobación. Por ejemplo:

  • acceso a expedientes y alertas relevantes;
  • capacidad de registrar conclusiones y requerir información adicional;
  • autorización para excepciones o clientes de mayor riesgo;
  • visibilidad de cambios en matriz de riesgo, reglas y listas;
  • reportes de cumplimiento, SLA y rezago;
  • evidencia de quién aprobó, cuándo y con qué fundamento.

La tecnología no sustituye al oficial de cumplimiento, pero sí debe darle control operativo. Si el oficial depende de hojas de cálculo, correos dispersos o capturas manuales, el programa pierde trazabilidad.

Comité de comunicación y control: decisiones que no deben quedarse en una persona

El comité o instancia equivalente de comunicación y control cumple una función de gobierno: revisar temas relevantes, aprobar criterios, dar seguimiento a riesgos y asegurar que las decisiones PLD/CFT tengan respaldo institucional.

No todos los asuntos deben llegar al comité. Si todo se escala, el comité se vuelve lento e irrelevante. Si nada se escala, el programa depende demasiado de decisiones individuales. La clave está en definir criterios claros.

Temas que normalmente ameritan revisión o conocimiento del comité:

  • cambios relevantes al manual PLD/CFT;
  • aprobación o modificación de la metodología de riesgo;
  • ajustes importantes a reglas de monitoreo;
  • clientes, productos o canales con exposición elevada;
  • casos de alto impacto reputacional o regulatorio;
  • tendencias de alertas, rezagos o falsos positivos;
  • resultados de auditoría interna o externa;
  • seguimiento de planes correctivos;
  • cambios regulatorios que impactan procesos o sistemas;
  • reportes ejecutivos de capacitación y cumplimiento.

El valor del comité está en la calidad de sus decisiones y en la evidencia. Cada sesión debería dejar trazabilidad de asuntos tratados, información analizada, acuerdos, responsables, fechas compromiso y seguimiento. La minuta no debe ser un documento decorativo; debe ser el puente entre la discusión y la acción.

Una buena práctica es clasificar acuerdos por tipo:

  • Política. Ejemplo: actualizar manual por cambio regulatorio. Evidencia esperada: versión aprobada, fecha y responsable.
  • Operativo. Ejemplo: reducir rezago de alertas de alto riesgo. Evidencia esperada: plan, SLA, seguimiento y cierre.
  • Tecnológico. Ejemplo: ajustar regla de monitoreo. Evidencia esperada: requerimiento, prueba, aprobación y versión.
  • Auditoría. Ejemplo: atender hallazgo sobre expediente incompleto. Evidencia esperada: acción correctiva, evidencia y validación.
  • Riesgo. Ejemplo: revisar segmento con aumento de alertas. Evidencia esperada: análisis, decisión y monitoreo posterior.

Cuando el comité opera con datos confiables, ayuda a dirección a entender el estado real del programa: dónde hay riesgo, qué controles funcionan, qué rezagos existen y qué decisiones requieren inversión.

Auditoría: revisar efectividad, no sólo existencia documental

La auditoría PLD/CFT no debe limitarse a verificar que exista un manual o que se hayan guardado documentos. Debe revisar si el programa funciona en la práctica.

Una auditoría útil responde preguntas como:

  • ¿Los expedientes están completos y actualizados según el nivel de riesgo?
  • ¿La matriz de riesgo produce clasificaciones explicables?
  • ¿Las listas se consultan con evidencia suficiente?
  • ¿Las alertas se investigan dentro de SLA razonables?
  • ¿Las decisiones de cierre están fundamentadas?
  • ¿Los reportes normativos, cuando aplican, tienen soporte?
  • ¿Las reglas de monitoreo corresponden al perfil transaccional real?
  • ¿Los cambios a modelos y parámetros se aprueban y versionan?
  • ¿La capacitación cubre al personal correcto y deja evidencia?
  • ¿Los hallazgos anteriores fueron corregidos o siguen abiertos?

El enfoque debe ser de efectividad. Un expediente puede tener todos los documentos y aun así ser débil si la actividad económica no coincide con el comportamiento transaccional. Una alerta puede estar “cerrada” y aun así ser indefendible si la conclusión dice solamente “sin riesgo” sin análisis. Una matriz puede calcular una etiqueta de riesgo y aun así fallar si nadie revisa sus pesos, datos fuente o excepciones.

Para tecnología, auditoría exige trazabilidad granular. No basta con saber el estado actual. Debe poder reconstruirse el historial:

  • versión del expediente al momento de la decisión;
  • regla o modelo vigente cuando se generó una alerta;
  • datos consultados en listas y fecha de consulta;
  • usuario que realizó revisión o aprobación;
  • cambios de estado y comentarios;
  • documentos adjuntos;
  • minutas o autorizaciones relacionadas;
  • evidencias de envío, acuse o atención cuando corresponda.

La auditoría también debe alimentar mejora continua. Si detecta errores repetidos en captura de beneficiario controlador, rezago de alertas o falsos positivos en una regla, el resultado no debe ser sólo una observación. Debe convertirse en plan correctivo, responsable y fecha de cierre.

Capacitación: el control empieza antes de la alerta

La capacitación PLD/CFT no es un trámite anual para cumplir. Es una herramienta para que las personas que operan la institución sepan identificar riesgos antes de que se conviertan en problemas mayores.

El personal de cumplimiento necesita profundidad normativa y metodológica. Pero otras áreas también tienen responsabilidades críticas:

  • originación identifica inconsistencias iniciales del cliente;
  • sucursal o fuerza comercial detecta conductas atípicas o resistencia a proporcionar información;
  • operaciones observa patrones de transacciones, pagos y documentación;
  • cobranza puede detectar pagos de terceros, liquidaciones inusuales o comportamientos no esperados;
  • tecnología implementa reglas, permisos, bitácoras y cambios de sistemas;
  • atención al cliente puede recibir señales, quejas o solicitudes inusuales;
  • dirección debe entender riesgos, apetito y prioridades de inversión.

Un programa de capacitación efectivo distingue contenidos por rol. No todos necesitan el mismo curso, pero todos deben entender qué les toca observar, qué deben registrar, cuándo escalar y qué está prohibido.

También importa la evidencia. La institución debe conservar:

  • temario y materiales;
  • fecha y modalidad;
  • participantes;
  • evaluación o constancia;
  • rol del participante;
  • versión del contenido;
  • acciones para personal que no completó capacitación;
  • actualización cuando hay cambios normativos o de proceso.

La capacitación debe conectarse con casos reales de la institución, sin revelar información sensible. Si las alertas recurrentes muestran pagos de terceros mal documentados, la capacitación de originación y cobranza debe reforzar ese punto. Si auditoría encuentra errores en identificación de beneficiario controlador, el curso debe actualizarse. Así, capacitación deja de ser un evento y se vuelve un control vivo.

Revisiones periódicas: el programa PLD cambia aunque la política no cambie

Los riesgos de LD/FT cambian con productos, canales, geografías, clientes, tecnología, regulación y comportamiento del mercado. Por eso el programa PLD/CFT debe revisarse periódicamente.

Las revisiones deben cubrir, al menos:

  • manual y políticas internas;
  • matriz de riesgo y factores de ponderación;
  • reglas de monitoreo y umbrales;
  • listas y fuentes externas utilizadas;
  • flujos de investigación y escalamiento;
  • perfiles transaccionales;
  • roles, permisos y segregación de funciones;
  • indicadores de rezago, cierre y calidad de alertas;
  • hallazgos de auditoría;
  • cambios regulatorios;
  • nuevos productos, canales o integraciones.

El punto crítico es que cada revisión tenga dueño y evidencia. No basta con afirmar que “se revisó la matriz”. Debe existir registro de qué se revisó, qué datos se usaron, qué cambió, qué se mantuvo y por qué.

Una revisión madura puede usar indicadores como:

  • Alertas por regla. Revelan reglas con exceso de ruido o baja sensibilidad.
  • Falsos positivos. Revelan necesidad de ajustar umbrales o segmentación.
  • Alertas vencidas. Revelan riesgo operativo y falta de capacidad.
  • Clientes alto riesgo sin actualización. Revelan debilidad de debida diligencia continua.
  • Expedientes incompletos. Revelan fallas de onboarding o actualización.
  • Cambios de riesgo sin explicación. Revelan problemas de datos o metodología.
  • Hallazgos repetidos. Revelan planes correctivos insuficientes.

Sin revisiones periódicas, el programa se vuelve estático. Y un programa estático pierde efectividad frente a riesgos dinámicos.

Calibración de modelos y reglas: evidencia sobre intuición

La calibración es una de las responsabilidades más importantes del gobierno PLD moderno. No basta con configurar reglas una vez. Las reglas deben evaluarse, ajustarse y versionarse.

Calibrar significa revisar si los modelos, umbrales y escenarios están produciendo señales útiles frente al riesgo real de la institución. Esto aplica tanto a reglas simples como a modelos más complejos.

Preguntas de calibración:

  • ¿La regla genera demasiadas alertas sin hallazgos relevantes?
  • ¿Hay casos detectados manualmente que la regla no capturó?
  • ¿El umbral debe variar por segmento, producto o riesgo del cliente?
  • ¿La regla usa datos completos y actualizados?
  • ¿Los cambios de comportamiento están siendo comparados contra el perfil transaccional correcto?
  • ¿La versión vigente fue aprobada por cumplimiento?
  • ¿Se probó el impacto antes de activar el cambio?
  • ¿Se conservó evidencia del antes y después?

La calibración debe tener gobierno. Tecnología puede implementar, pero cumplimiento debe validar el criterio de riesgo. Auditoría puede revisar que el proceso exista y sea trazable. Dirección o comité pueden aprobar cambios relevantes si alteran apetito de riesgo, volumen de alertas o capacidad operativa.

Un error frecuente es ajustar reglas sólo para reducir carga operativa. Reducir falsos positivos es válido, pero no debe hacerse a costa de perder señales críticas. La pregunta correcta no es “cómo generamos menos alertas”, sino “cómo generamos alertas más relevantes y defendibles”.

En plataformas digitales, cada cambio de regla debería guardar:

  • descripción del cambio;
  • versión anterior y nueva;
  • motivo;
  • análisis de impacto;
  • pruebas realizadas;
  • aprobación;
  • fecha de activación;
  • responsable;
  • plan de seguimiento.

Esto permite explicar por qué el sistema cambió y evita que la calibración se convierta en una edición informal de parámetros.

Evidencia: si no puede reconstruirse, no puede defenderse

La evidencia es el lenguaje común entre cumplimiento, auditoría, supervisión y dirección. En PLD/CFT, una decisión sin evidencia es una debilidad, aunque la decisión haya sido razonable.

La institución debe poder reconstruir el ciclo completo:

  • datos del cliente al momento de evaluación;
  • documentos y validaciones realizadas;
  • resultados de listas;
  • matriz de riesgo aplicada;
  • perfil transaccional vigente;
  • alertas generadas;
  • investigación y fuentes consultadas;
  • decisiones, aprobaciones y excepciones;
  • reportes y acuses cuando correspondan;
  • capacitación aplicable;
  • auditorías y planes correctivos;
  • cambios posteriores a reglas, modelos o políticas.

El problema no suele ser la falta absoluta de evidencia. Suele ser la dispersión: documentos en carpetas, aprobaciones en correos, notas en chats, alertas en hojas de cálculo, minutas en archivos locales y reportes en otro sistema. Esa dispersión vuelve lento cualquier proceso de auditoría y aumenta el riesgo de inconsistencias.

Un expediente PLD moderno debe ser digital, trazable, versionado y conectado con operación. La evidencia no se debe armar al final; debe generarse durante el flujo normal de trabajo.

Responsabilidad institucional: cumplimiento no es sólo del área de cumplimiento

Aunque el oficial de cumplimiento tenga un rol central, la responsabilidad PLD/CFT es institucional. Dirección define apetito de riesgo, recursos y prioridades. Tecnología implementa controles. Operaciones ejecuta procesos. Comercial captura información y detecta señales. Auditoría revisa. Legal interpreta. Cumplimiento coordina y supervisa.

Cuando una institución trata PLD como responsabilidad exclusiva de un área, aparecen brechas:

  • productos nuevos se lanzan sin evaluación de riesgo;
  • originación captura datos incompletos;
  • tecnología cambia reglas sin aprobación adecuada;
  • operaciones cierra alertas sin análisis suficiente;
  • dirección no ve rezagos hasta que son problema;
  • auditoría encuentra hallazgos repetidos;
  • capacitación se vuelve genérica y desconectada.

La responsabilidad institucional requiere que PLD esté integrado al ciclo de vida del negocio: diseño de productos, onboarding, originación, core, canales, cobranza, reportes y mejora continua.

Cómo ayuda la tecnología al gobierno PLD

La tecnología no resuelve por sí sola el gobierno de cumplimiento, pero puede hacerlo operable. Una plataforma adecuada debe permitir:

  • definir roles y permisos por responsabilidad;
  • conservar expedientes y versiones;
  • registrar decisiones y aprobaciones;
  • automatizar consultas y evidencias de listas;
  • conectar matriz de riesgo, perfil transaccional y alertas;
  • asignar casos con SLA;
  • generar reportes ejecutivos y regulatorios;
  • versionar reglas y parámetros;
  • documentar capacitación y hallazgos;
  • mantener bitácoras de auditoría;
  • bloquear o restringir flujos cuando el riesgo lo exige.

Para instituciones que operan originación digital, core bancario o procesos de crédito, el gobierno PLD debe conectarse con los sistemas donde ocurre la operación. Si la alerta está en un sistema, el expediente en otro y la decisión de crédito en un tercero, el control queda fragmentado.

Soluciones como Acendes Aura, Core Banking y componentes de identidad pueden ayudar cuando se diseñan con trazabilidad: flujos configurables, expedientes, roles, bitácoras, reglas, aprobaciones y evidencia desde el origen.

Checklist operativo para gobierno PLD

Un equipo de cumplimiento puede usar esta lista como punto de partida:

  • ¿El oficial de cumplimiento tiene acceso a la información necesaria para supervisar el programa?
  • ¿El comité revisa información útil o sólo aprueba minutas formales?
  • ¿Las decisiones relevantes quedan documentadas con responsable y fundamento?
  • ¿Las auditorías revisan efectividad operativa y no sólo existencia documental?
  • ¿Los hallazgos tienen plan correctivo, fecha y validación de cierre?
  • ¿La capacitación está segmentada por rol y actualizada con casos reales?
  • ¿La matriz de riesgo se revisa con datos y no sólo por calendario?
  • ¿Las reglas de monitoreo tienen versionado, pruebas y aprobación?
  • ¿Las alertas cerradas conservan evidencia suficiente?
  • ¿Dirección recibe indicadores claros sobre rezago, calidad y riesgos?
  • ¿Los cambios regulatorios se traducen a requerimientos de proceso y sistema?
  • ¿La institución puede reconstruir una decisión PLD sin depender de correos o memoria personal?

Errores comunes en gobierno PLD

Algunos patrones aparecen con frecuencia en instituciones que están creciendo o digitalizando su operación:

  • nombrar responsables pero no darles acceso ni autoridad real;
  • tener comité sin datos, métricas ni seguimiento de acuerdos;
  • capacitar a todo el personal con el mismo contenido genérico;
  • auditar expedientes sin revisar decisiones ni efectividad;
  • ajustar reglas sin evidencia de impacto;
  • cerrar alertas con comentarios mínimos;
  • no versionar matriz, reglas o manuales;
  • tratar hallazgos como eventos aislados y no como señales de proceso;
  • lanzar productos o canales sin evaluación PLD previa;
  • depender de hojas de cálculo para decisiones críticas.

Corregir estos errores no siempre exige sistemas complejos desde el primer día. Pero sí exige disciplina: responsabilidades claras, evidencia, seguimiento y mejora continua.

Conclusión: el gobierno PLD sostiene la efectividad del programa

El cumplimiento PLD/CFT efectivo no se logra sólo con conocer la regulación. Se logra cuando una institución puede demostrar que convirtió esa regulación en decisiones, controles, revisiones y evidencias que operan todos los días.

El oficial de cumplimiento, el comité, la auditoría, la capacitación y la calibración de modelos son piezas de una misma arquitectura de control. Si una falla, el programa se debilita. Si trabajan conectadas, la institución puede gestionar mejor sus riesgos, responder a auditoría, ajustar su operación y sostener crecimiento con mayor trazabilidad.

En una institución financiera moderna, gobierno de cumplimiento no es burocracia. Es la capacidad de saber qué se decidió, por qué se decidió, quién lo aprobó y qué evidencia lo respalda.

Enlaces internos sugeridos

Fuentes normativas y referencias consultadas

  • Ley de Instituciones de Crédito, artículo 115, texto vigente publicado por Cámara de Diputados.
  • Disposiciones de Carácter General a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, publicadas por SHCP/CNBV.
  • Resolución publicada en el Diario Oficial de la Federación el 28 de agosto de 2024 que reforma, adiciona y deroga diversas disposiciones relacionadas con el artículo 115 de la LIC.
  • GAFI/FATF: Las 40 Recomendaciones, incluyendo enfoque basado en riesgo, control interno, debida diligencia, monitoreo y nuevas tecnologías.
  • GAFILAT: marco regional de referencia sobre estándares internacionales ALA/CFT.
  • SAT: listados públicos del artículo 69-B del Código Fiscal de la Federación como referencia de señales fiscales preventivas dentro de procesos de debida diligencia.

¿Listo para Implementar Esto en tu Institución?

Agenda una demo personalizada y descubre cómo Acendes puede transformar tu operación

Solicitar Demo Gratuita →Ver Productos

⚡ Demo en vivo de 30 minutos · 🎯 Personalizada a tu caso de uso · 💡 Sin compromiso