Matriz de riesgo PLD y Enfoque Basado en Riesgo

Una matriz de riesgo PLD no deberia ser una hoja de calculo que se llena para cumplir. En una institucion financiera, debe funcionar como el motor que traduce el Enfoque Basado en Riesgo (EBR) a decisiones operativas: que clientes requieren debida diligencia reforzada, que productos necesitan controles adicionales, que canales elevan la exposicion, que operaciones ameritan monitoreo intensificado y que evidencia debe conservarse para explicar cada decision.

El EBR parte de una idea sencilla: no todos los riesgos de lavado de dinero y financiamiento al terrorismo (LD/FT) son iguales. Un cliente con actividad local, producto simple, bajo monto esperado y operacion consistente no representa el mismo riesgo que una estructura corporativa compleja, con operaciones transfronterizas, representantes multiples, actividad economica sensible y comportamiento transaccional dificil de explicar.

La matriz de riesgo es el mecanismo para convertir esa diferencia en una evaluacion objetiva, trazable y revisable. Si esta bien disenada, ayuda a enfocar recursos donde mas importan. Si esta mal disenada, produce etiquetas decorativas: "bajo", "medio" o "alto" sin impacto real en onboarding, aprobaciones, monitoreo, alertas ni gobierno de cumplimiento.

Este articulo explica como estructurar una matriz de riesgo PLD desde una perspectiva operativa y tecnologica: elementos de riesgo, indicadores, mitigantes, riesgo inherente, riesgo residual, calibracion y uso practico durante el ciclo de vida del cliente.

Que es el Enfoque Basado en Riesgo en PLD

El Enfoque Basado en Riesgo es una metodologia para identificar, evaluar, administrar y mitigar riesgos de LD/FT de manera proporcional. La logica es que los controles mas intensos deben aplicarse donde el riesgo es mayor, mientras que medidas simplificadas pueden ser razonables cuando el riesgo es bajo y no existen senales de sospecha.

En el marco internacional, las Recomendaciones del GAFI y los materiales de GAFILAT colocan el EBR como pieza central de un sistema efectivo. En Mexico, el marco PLD para instituciones de credito tambien exige clasificar clientes por grado de riesgo, aplicar medidas diferenciadas, actualizar la evaluacion y conservar evidencia.

En terminos de operacion diaria, EBR significa que la institucion debe poder responder:

• por que un cliente fue clasificado en cierto nivel de riesgo;
• que datos, documentos, listas y comportamiento se consideraron;
• que controles mitigaron o no mitigaron ese riesgo;
• que aprobaciones se exigieron;
• con que frecuencia debe actualizarse el expediente;
• que reglas de monitoreo aplican;
• que evento podria cambiar la clasificacion.

No es suficiente tener una politica que diga "se aplica EBR". El sistema debe demostrarlo en decisiones concretas.

Matriz de riesgo: de la politica a la decision

La matriz de riesgo PLD es una herramienta para ponderar factores y producir una clasificacion defendible. Puede ser simple o sofisticada, pero debe cumplir cuatro condiciones:

1. Ser explicable. El resultado debe poder reconstruirse: factores, pesos, valores, fuentes y fecha de calculo.
2. Ser proporcional. Un riesgo alto debe detonar controles mas intensos que un riesgo bajo.
3. Ser actualizable. La matriz debe cambiar cuando cambian productos, canales, geografias, comportamiento o criterios regulatorios.
4. Ser operativa. El resultado debe afectar flujos reales: aprobaciones, limites, monitoreo, actualizacion, bloqueo o escalamiento.

Cuando la matriz vive solo en un documento, se desconecta del negocio. Cuando esta integrada a originacion, expediente, core y monitoreo, se vuelve un control vivo.

Elementos de riesgo que debe considerar una matriz PLD

Aunque cada institucion debe adaptar su metodologia a su modelo de negocio, hay categorias que suelen ser indispensables.

1. Riesgo del cliente o usuario

Incluye caracteristicas propias del cliente: persona fisica o moral, actividad economica, ocupacion, sector, antiguedad, estructura corporativa, beneficiario controlador, representantes, apoderados, condicion PEP, historial con la institucion y calidad de informacion disponible.

Ejemplos de indicadores:

• persona moral con estructura accionaria compleja;
• beneficiario controlador no identificado con claridad;
• actividad economica intensiva en efectivo;
• PEP extranjera o parte relacionada con PEP;
• documentos inconsistentes o incompletos;
• historial previo de alertas relevantes;
• negativa a proporcionar informacion razonable.

2. Riesgo del producto o servicio

No todos los productos exponen igual a la institucion. Un credito simple con desembolso y pagos trazables no tiene el mismo perfil que productos con alta movilidad de fondos, pagos de terceros, disposicion flexible, operaciones internacionales o uso intensivo de efectivo.

Indicadores utiles:

• monto maximo disponible;
• facilidad para mover recursos;
• posibilidad de pagos por terceros;
• frecuencia esperada de operaciones;
• complejidad contractual;
• duracion de la relacion;
• vinculacion con otros productos o servicios.

3. Riesgo geografico

La ubicacion del cliente, la operacion, los recursos o las contrapartes puede modificar el riesgo. La geografia no debe verse solo como pais; tambien puede incluir estado, municipio, zona de operacion, frontera, corredor comercial o jurisdicciones con mayor exposicion.

Ejemplos:

• clientes no residentes;
• operaciones con jurisdicciones de mayor riesgo;
• zonas con alta incidencia de delitos precedentes;
• actividades transfronterizas;
• domicilio o actividad que no coincide con el comportamiento declarado.

4. Riesgo de canal

El canal por el que se contrata, opera o atiende al cliente cambia la capacidad de control. Originacion presencial, digital, remota, por comisionistas, por API, por app movil o mediante terceros puede requerir controles distintos.

Indicadores:

• contratacion no presencial;
• validacion documental automatizada sin revision humana en ciertos casos;
• operaciones iniciadas desde dispositivos o ubicaciones inusuales;
• uso de intermediarios;
• cambios frecuentes de datos de contacto;
• canales que dificultan confirmar identidad o consentimiento.

5. Riesgo transaccional

El comportamiento esperado y observado es clave. La matriz inicial puede clasificar al cliente al alta, pero el riesgo real se confirma o se modifica con la operacion.

Indicadores:

• montos superiores a lo declarado;
• frecuencia inusual;
• pagos anticipados sin explicacion;
• pagos de terceros no relacionados;
• cambios bruscos de comportamiento;
• operaciones sin relacion aparente con actividad economica;
• concentracion de operaciones en periodos cortos.

Riesgo inherente, controles mitigantes y riesgo residual

Una matriz madura no deberia limitarse a sumar puntos. Debe distinguir tres niveles de lectura.

Riesgo inherente

Es el nivel de riesgo antes de considerar controles internos. Responde: si este cliente, producto, canal o geografia operara sin mitigantes, que exposicion tendria la institucion.

Por ejemplo, una persona moral con estructura compleja, actividad en efectivo, operaciones de alto monto y canal digital podria tener riesgo inherente alto, incluso antes de revisar documentos o listas.

Controles mitigantes

Son medidas que reducen o administran el riesgo: validacion de identidad, expediente completo, beneficiario controlador documentado, consulta de listas, aprobacion reforzada, limites operativos, monitoreo intensificado, actualizacion mas frecuente o bloqueo de ciertas operaciones.

Los mitigantes deben ser reales y verificables. No conviene restar riesgo porque "existe una politica" si la politica no esta implementada en el flujo, no genera evidencia o no se aplica de forma consistente.

Riesgo residual

Es el riesgo que permanece despues de aplicar mitigantes. Es el resultado que normalmente deberia detonar decisiones operativas: aprobar, rechazar, pedir informacion adicional, escalar, limitar operaciones, monitorear con mayor intensidad o actualizar expediente con mayor frecuencia.

La diferencia entre riesgo inherente y residual ayuda a demostrar efectividad. Si todos los clientes terminan en riesgo medio sin importar los datos, la matriz no esta diferenciando. Si todos los controles reducen automaticamente el riesgo sin evidencia, la matriz esta dando una falsa sensacion de seguridad.

Ejemplo de estructura de matriz

La metodologia puede variar, pero una matriz operable suele incluir indicadores como estos:

• Cliente: PEP extranjera o parte relacionada. Peso sugerido alto; evidencia: fuente de screening, dictamen y aprobacion; efecto operativo: debida diligencia reforzada y monitoreo intensificado.
• Cliente: beneficiario controlador incompleto. Peso sugerido alto; evidencia: expediente y solicitud de informacion; efecto operativo: no avanzar hasta completar o escalar.
• Producto: monto alto frente al perfil declarado. Peso sugerido medio/alto; evidencia: solicitud, ingresos y destino de recursos; efecto operativo: aprobacion reforzada y reglas de alerta.
• Geografia: jurisdiccion de mayor riesgo. Peso sugerido medio/alto; evidencia: domicilio, ubicacion operativa y contraparte; efecto operativo: revision adicional y parametrizacion de monitoreo.
• Canal: alta no presencial. Peso sugerido medio; evidencia: validacion de identidad, biometria y trazabilidad; efecto operativo: controles digitales y evidencia tecnica.
• Transaccional: pagos de terceros recurrentes. Peso sugerido alto; evidencia: movimientos y relacion declarada; efecto operativo: alerta, investigacion y posible actualizacion de perfil.

El punto no es copiar una tabla generica. El punto es que cada indicador tenga fuente de datos, peso, regla de decision y consecuencia operativa.

Calibracion: el paso que muchas matrices olvidan

Una matriz de riesgo no se termina cuando se aprueba el manual. Debe calibrarse. La calibracion consiste en revisar si los factores, pesos, umbrales y resultados estan produciendo clasificaciones utiles.

Preguntas basicas de calibracion:

• ¿La mayoria de clientes cae artificialmente en riesgo bajo o medio?
• ¿Los clientes de alto riesgo realmente reciben controles reforzados?
• ¿Las alertas relevantes provienen de segmentos que la matriz ya identificaba como riesgosos?
• ¿Hay clientes con muchas alertas que siguen clasificados como bajo riesgo?
• ¿Los falsos positivos se concentran en un indicador mal ponderado?
• ¿Los cambios regulatorios o de negocio ya estan reflejados?
• ¿La experiencia de auditoria o supervision revelo brechas?

La calibracion debe quedar documentada. Si se modifica un peso, un umbral o una regla, la institucion debe conservar version, fecha, razon del cambio, responsable y efecto esperado. Esto es importante porque una auditoria puede preguntar no solo cual es la matriz vigente, sino cual estaba vigente cuando se tomo una decision historica.

Uso operativo en onboarding

En originacion, la matriz debe actuar antes de que el cliente quede formalmente incorporado. Su funcion no es solo etiquetar; debe controlar el flujo.

Un proceso recomendado seria:

1. Capturar datos estructurados del cliente, producto, canal y actividad.
2. Validar identidad, documentos y consistencia de informacion.
3. Consultar LPB, PEPs, listas preventivas y fuentes definidas por politica.
4. Identificar representantes, apoderados y beneficiario controlador.
5. Calcular riesgo inherente.
6. Aplicar mitigantes documentados.
7. Determinar riesgo residual.
8. Definir accion: aprobacion simple, aprobacion reforzada, solicitud de informacion, rechazo o bloqueo cuando corresponda.

El beneficio de integrar la matriz al onboarding es que la institucion evita aprobar relaciones que despues tendra que corregir manualmente. Tambien reduce la subjetividad: el analista puede ejercer criterio, pero dentro de un marco trazable.

Uso operativo en monitoreo continuo

El riesgo no termina al alta. Un cliente puede iniciar con riesgo bajo y volverse mas riesgoso por cambios en comportamiento, actualizacion de listas, nueva informacion, cambios de producto, operaciones atipicas o inconsistencias en expediente.

La matriz debe conectarse con el perfil transaccional y el monitoreo. Algunos eventos que pueden recalcular riesgo:

• coincidencia nueva en listas;
• actualizacion de condicion PEP;
• cambio de beneficiario controlador;
• aumento relevante de monto o frecuencia;
• pagos de terceros no declarados;
• operacion fuera del perfil esperado;
• alerta investigada con resultado relevante;
• vencimiento de expediente o informacion desactualizada.

Un sistema robusto no espera a la revision anual para detectar estos cambios. Debe recalcular o al menos detonar revision cuando un evento significativo ocurra.

Checklist para evaluar una matriz de riesgo PLD

Antes de aprobar o redisenar una matriz, conviene revisar:

• ¿La metodologia distingue riesgo inherente, mitigantes y riesgo residual?
• ¿Cada indicador tiene fuente de datos y evidencia asociada?
• ¿Los pesos y umbrales estan documentados y aprobados?
• ¿El resultado modifica flujos reales de onboarding, aprobacion y monitoreo?
• ¿La condicion PEP, LPB, beneficiario controlador y listas preventivas tienen efectos diferenciados?
• ¿El sistema permite versionar la matriz y reconstruir resultados historicos?
• ¿Existen reglas para recalcular riesgo durante la vida del cliente?
• ¿La actualizacion de expediente depende del nivel de riesgo?
• ¿Los clientes de alto riesgo tienen monitoreo y aprobaciones reforzadas?
• ¿La matriz se calibra con alertas, investigaciones, auditorias y cambios regulatorios?
• ¿El oficial de cumplimiento puede consultar la explicacion del score sin pedir reportes manuales?
• ¿Tecnologia puede modificar parametros autorizados sin reescribir codigo cada vez?

Errores frecuentes al implementar EBR

Hay patrones que suelen debilitar el programa PLD:

• Usar una matriz estatica. Si no se actualiza, la matriz deja de reflejar el negocio.
• Confundir expediente completo con riesgo bajo. Tener documentos no elimina riesgos de actividad, canal, geografia o comportamiento.
• Restar riesgo sin evidencia. Un mitigante solo cuenta si existe, se aplico y puede demostrarse.
• No versionar reglas. Sin version, no se puede explicar una decision historica.
• No conectar con monitoreo. Una matriz que no alimenta alertas termina siendo un reporte decorativo.
• Sobrecargar al analista. Si todo depende de criterio manual, el EBR se vuelve inconsistente.
• No medir efectividad. La matriz debe revisarse contra alertas reales, investigaciones, falsos positivos y hallazgos de auditoria.

Como ayuda Acendes

En Acendes, la matriz de riesgo se entiende como una capacidad operativa integrada al ciclo de vida del cliente. Acendes Aura puede estructurar flujos de originacion con reglas, validaciones, aprobaciones y evidencia. Acendes Core Banking ayuda a conservar el historial operativo del cliente, sus productos, saldos, pagos y eventos relevantes. Las capacidades de validacion de identidad y PUI pueden fortalecer la calidad de datos que alimenta la evaluacion.

La tecnologia no define por si sola el apetito de riesgo ni sustituye al oficial de cumplimiento. Pero si puede hacer que la metodologia sea ejecutable: reglas configurables, bitacoras, versionamiento, recalculo de riesgo, monitoreo continuo, expedientes auditables y decisiones explicables.

Una matriz de riesgo PLD bien implementada no solo ayuda a cumplir. Ayuda a operar mejor: reduce puntos ciegos, ordena prioridades y permite que cumplimiento, operaciones y tecnologia hablen el mismo idioma.

Lecturas relacionadas

• Cumplimiento PLD en Mexico: de la obligacion regulatoria al control operativo
• Marco regulatorio PLD en Mexico para instituciones de credito
• KYC, LPB, PEPs y beneficiario controlador en PLD
• Perfil transaccional PLD: como definir la normalidad de un cliente
• Reforma PLD 2025: Enfoque Basado en Riesgo
• Core bancario en Mexico 2026: como elegir la plataforma correcta
• Plataforma Unica de Identidad PUI para financieras

Fuentes normativas consultadas

• Ley de Instituciones de Credito, texto vigente publicado por Camara de Diputados.
• Disposiciones de Caracter General a que se refiere el articulo 115 de la Ley de Instituciones de Credito, SIDOF.
• Resolucion que reforma, adiciona y deroga diversas Disposiciones del articulo 115 LIC, DOF/SIDOF, 28 de agosto de 2024.
• GAFILAT, 40 Recomendaciones del GAFI.
• GAFILAT, Recomendaciones del GAFI y metodologia de evaluacion.
• GAFILAT, guia para la construccion de matriz de riesgo en prevencion de LA/FT.

Nota editorial: este contenido es informativo y no constituye asesoria legal. La aplicacion concreta del Enfoque Basado en Riesgo, la matriz PLD, los factores de riesgo y los controles mitigantes debe revisarse con el oficial de cumplimiento, asesores legales y criterios regulatorios vigentes para cada institucion.