Fundamentos PLD18 de febrero de 2026
Cómo generar una Evaluación Basada en Riesgo (EBR) para tu empresa en PLD
Aprende paso a paso cómo construir una Evaluación Basada en Riesgo (EBR) para cumplir con las obligaciones de PLD en México y proteger a tu empresa.
18 de febrero de 2026 · 8 min de lectura
Compartir en:
Muchas empresas en México saben que deben cumplir con obligaciones de prevención de lavado de dinero (PLD), pero no siempre tienen claro cómo evaluar realmente sus riesgos. La Evaluación Basada en Riesgo (EBR) es una herramienta clave para identificar, entender y gestionar los riesgos de lavado de dinero y financiamiento al terrorismo dentro de una organización. Sin una EBR adecuada, las empresas pueden aplicar controles innecesarios en algunas áreas y, peor aún, dejar expuestas otras donde el riesgo es mayor. En este artículo aprenderás qué es una EBR, por qué es importante para las empresas que realizan actividades vulnerables y cómo construir una evaluación básica de forma práctica y útil para tu cumplimiento regulatorio.
¿Qué es una Evaluación Basada en Riesgo (EBR) en PLD?
La Evaluación Basada en Riesgo (EBR) es un análisis estructurado que permite identificar y evaluar los riesgos de lavado de dinero y financiamiento al terrorismo a los que puede estar expuesta una empresa. En lugar de aplicar controles iguales para todos los casos, el enfoque basado en riesgo permite priorizar recursos y controles en las áreas donde realmente existe mayor probabilidad de uso indebido del negocio. En México, el enfoque basado en riesgo es una práctica recomendada por organismos internacionales como el Grupo de Acción Financiera (GAFI) y es cada vez más relevante dentro de los programas de cumplimiento. Para empresas que realizan actividades vulnerables conforme a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI), contar con una evaluación clara de riesgos ayuda a justificar sus controles y demostrar diligencia ante revisiones o auditorías. Una EBR bien elaborada permite responder preguntas fundamentales: ¿Qué tipo de clientes representan mayor riesgo? ¿Qué productos o servicios podrían ser utilizados para ocultar recursos ilícitos? ¿En qué procesos internos podría existir vulnerabilidad? Estas respuestas permiten diseñar controles proporcionales al riesgo.
¿Por qué es importante implementar un enfoque basado en riesgo?
Muchas empresas cometen el error de tratar todas las operaciones como si tuvieran el mismo nivel de riesgo. Esto genera dos problemas: se desperdician recursos en controles innecesarios y al mismo tiempo se descuidan las áreas donde el riesgo real es más alto. El enfoque basado en riesgo permite que las empresas asignen mejor su esfuerzo de cumplimiento. En lugar de aplicar el mismo nivel de revisión a todos los clientes, se pueden aplicar controles más estrictos en perfiles de mayor riesgo, mientras que los clientes de bajo riesgo pueden tener procesos más simples. Además, contar con una EBR documentada ayuda a demostrar que la empresa entiende sus riesgos y ha diseñado controles adecuados. Esto puede ser especialmente importante durante auditorías internas, revisiones regulatorias o procesos de debida diligencia con socios comerciales.
Principales factores de riesgo que debe analizar una EBR
- Tipo de clientes: personas físicas, personas morales, clientes extranjeros o estructuras corporativas complejas.
- Productos o servicios ofrecidos por la empresa y su posible uso para ocultar recursos ilícitos.
- Canales de operación: transacciones presenciales, operaciones en línea o intermediarios.
- Ubicación geográfica de clientes o operaciones, especialmente en zonas de alto riesgo.
- Volumen y frecuencia de transacciones realizadas por los clientes.
Paso 1: Identifica los riesgos relevantes para tu actividad
El primer paso para generar una Evaluación Basada en Riesgo es identificar los riesgos específicos de tu empresa. No todas las organizaciones enfrentan los mismos riesgos, por lo que es importante analizar cómo opera tu negocio en la práctica. Por ejemplo, una empresa dedicada a la comercialización de bienes inmuebles enfrenta riesgos distintos a los de una empresa que vende vehículos o presta servicios de asesoría financiera. El tipo de cliente, el monto de las operaciones y la forma en que se realizan los pagos pueden influir significativamente en el nivel de exposición. En esta etapa, lo más importante es mapear las áreas donde podrían existir riesgos potenciales. Esto incluye revisar procesos de venta, métodos de pago, perfiles de clientes y cualquier operación que involucre montos elevados de dinero.
Paso 2: Clasifica los riesgos según su nivel de impacto
Una vez identificados los riesgos, el siguiente paso es clasificarlos. Esto implica evaluar dos variables principales: la probabilidad de que ocurra un evento de lavado de dinero y el impacto que tendría en la empresa. Una forma sencilla de hacerlo es utilizar una matriz básica de riesgo donde se clasifiquen los riesgos como bajos, medios o altos. Esta clasificación permite priorizar la implementación de controles en los riesgos más relevantes. Por ejemplo, aceptar pagos en efectivo de alto monto podría clasificarse como un riesgo alto en ciertos sectores. En cambio, operaciones pequeñas realizadas mediante transferencias bancarias podrían considerarse de menor riesgo.
Ejemplos de controles que pueden derivarse de una EBR
- Aplicar debida diligencia reforzada para clientes de alto riesgo.
- Solicitar documentación adicional en operaciones de montos elevados.
- Establecer límites para pagos en efectivo.
- Monitorear transacciones inusuales o inconsistentes con el perfil del cliente.
- Capacitar al personal para detectar señales de alerta.
Paso 3: Documenta tu evaluación de riesgos
Un aspecto fundamental de cualquier Evaluación Basada en Riesgo es la documentación. No basta con realizar el análisis; también es necesario dejar evidencia de cómo se identificaron los riesgos y por qué se clasificaron de cierta manera. Este documento debe explicar la metodología utilizada, los factores de riesgo considerados y los controles implementados. La documentación es clave para demostrar que la empresa tiene un enfoque estructurado de cumplimiento. Además, una EBR bien documentada facilita la actualización periódica del análisis. Con el tiempo, el negocio puede cambiar, surgir nuevos productos o expandirse a nuevas regiones. Tener una base documentada permite ajustar la evaluación de forma más sencilla.
Paso 4: Actualiza tu evaluación de forma periódica
La Evaluación Basada en Riesgo no es un documento que se realiza una sola vez. Los riesgos cambian con el tiempo y es importante revisarlos periódicamente. Las empresas deberían actualizar su EBR cuando ocurren cambios importantes en el negocio, como la introducción de nuevos productos, expansión a nuevos mercados o modificaciones en la regulación. También es recomendable revisarla al menos una vez al año como parte del programa de cumplimiento. Actualizar la evaluación permite detectar nuevos riesgos y asegurar que los controles implementados sigan siendo efectivos.
“Un programa de cumplimiento efectivo no trata a todos los riesgos por igual; prioriza donde el riesgo es mayor.”
Conclusión: la EBR como base de tu programa de cumplimiento
La Evaluación Basada en Riesgo es uno de los pilares más importantes de cualquier programa de prevención de lavado de dinero. Permite entender dónde se encuentran los riesgos reales dentro del negocio y diseñar controles proporcionales y eficientes. Para las empresas que realizan actividades vulnerables en México, desarrollar una EBR básica es un paso fundamental para fortalecer su cumplimiento y reducir su exposición a riesgos regulatorios y reputacionales. Lo más importante es comenzar con un enfoque práctico: identificar riesgos, clasificarlos, documentarlos y revisarlos periódicamente. Con el tiempo, esta evaluación puede evolucionar hacia modelos más sofisticados, pero incluso una versión básica puede marcar una gran diferencia en la gestión de riesgos.
