La Revolución Silenciosa: Cómo el Enfoque Basado en Riesgos Redefinirá su Cumplimiento PLD en 2025

Si su empresa otorga préstamos o créditos y no es una SOFOM, la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no es un tema nuevo. Desde hace años, obligaciones como identificar clientes, reportar operaciones por encima de ciertos umbrales y resguardar información han sido parte de su día a día. Sin embargo, este marco, en gran medida reactivo y basado en reglas fijas, está a punto de experimentar su transformación más profunda.

La reforma de 2025 introduce una obligación que cambia el juego por completo: la implementación mandatoria de un Enfoque Basado en Riesgos (EBR). Ya no bastará con cumplir una lista de tareas. Ahora, su empresa deberá demostrar un entendimiento profundo de sus propios riesgos de lavado de dinero y financiamiento al terrorismo (LD/FT) y actuar en consecuencia. Prepárese para pasar de un cumplimiento pasivo a una gestión de riesgos dinámica y estratégica.

Fundamentos del EBR: De la Obligación a la Estrategia

El EBR no es un invento local; es una metodología promovida por el Grupo de Acción Financiera Internacional (GAFI) que parte de una premisa simple pero poderosa: no todos los riesgos son iguales. El riesgo de LD/FT varía enormemente según el cliente, el producto que ofrece, la geografía en la que opera y el canal que utiliza para llegar a ellos.

¿Qué significa esto en la práctica? Se acabó el aplicar el mismo rasero para todos. El EBR le exige enfocar sus recursos donde más se necesitan. Deberá aplicar medidas de #DebidaDiligencia reforzada a situaciones de alto riesgo, mientras que podrá aplicar medidas simplificadas en casos donde el riesgo sea comprobadamente bajo. Es, en esencia, un cambio de mentalidad: de cumplir por obligación a gestionar con inteligencia.

El Corazón del EBR: Su Propia Metodología de Evaluación de Riesgos

La nueva ley es clara: cada Sujeto Obligado debe diseñar, documentar e implementar su propia metodología de evaluación de riesgos. No hay un modelo único, pero toda metodología robusta debe ser un ciclo continuo de tres fases clave:

1. Identificación de Riesgos: El primer paso es un autoanálisis honesto. ¿Cómo podrían los delincuentes explotar sus productos de crédito, su base de clientes, sus zonas de operación o sus canales de venta? Debe identificar los riesgos específicos a los que su negocio está expuesto.
2. Medición de Riesgos: Una vez identificados, debe medir los riesgos. Generalmente, esto implica evaluar la probabilidad de que ocurra un evento de lavado y el impacto (financiero, reputacional, legal) que tendría. Este análisis le permitirá clasificar sus riesgos, por ejemplo, en niveles bajo, medio y alto.
3. Mitigación de Riesgos: Con base en su clasificación, debe implementar controles para gestionar esos riesgos. A mayor riesgo, controles más estrictos (como una debida diligencia más profunda o un monitoreo más intenso). A menor riesgo, controles más sencillos. Estos controles son sus «mitigantes».

La Herramienta Clave: Construyendo su Matriz de Riesgo

La matriz de riesgo es la materialización de su metodología. Es el sistema que le permite consolidar su análisis y asignar una calificación de riesgo a cada cliente. Para que sea efectiva, su matriz debe considerar, como mínimo, los siguientes factores:

• Clientes y Usuarios: Analice variables como su actividad económica, si es una Persona Políticamente Expuesta (PEP), su nacionalidad, residencia y la naturaleza de su relación con usted.
• Productos y Servicios: Un crédito simple sin garantía tiene un perfil de riesgo muy distinto a un crédito revolvente para una empresa en un sector de alto riesgo como la construcción.
• Zonas Geográficas: Operaciones con clientes en jurisdicciones de alto riesgo identificadas por el GAFI, o incluso en zonas de México con alta incidencia delictiva, deben tener una ponderación de riesgo mayor.
• Canales de Distribución: Un crédito solicitado y dispersado 100% en línea conlleva un riesgo de suplantación de identidad mayor que una operación cara a cara, por lo que exige controles de identificación más robustos.

De la Teoría a la Práctica: Integrando el EBR en su Operativa Diaria

El EBR no puede ser un documento que se guarda en un cajón. Debe estar vivo e integrado en el ciclo de vida de sus clientes. La calificación de riesgo que obtiene de su matriz debe tener consecuencias prácticas y automáticas:

• En el Onboarding: Un cliente calificado como «Alto Riesgo» debe disparar automáticamente un proceso de debida diligencia reforzada (ej. solicitar más documentos, requerir aprobación de un nivel superior).
• En el Monitoreo Transaccional: Los sistemas de monitoreo deben ser más sensibles para clientes de alto riesgo, generando alertas por operaciones de menor monto o con desviaciones más sutiles de su comportamiento habitual.
• En la Revisión Continua: Los expedientes de clientes de alto riesgo deben revisarse y actualizarse con mayor frecuencia para garantizar que la calificación de riesgo siga siendo la correcta.

La implementación de un EBR robusto es un desafío monumental, especialmente para las PYMES del sector. La posible «brecha de cumplimiento» entre grandes corporaciones y prestamistas más pequeños es un riesgo real. El éxito de esta reforma dependerá de que las autoridades ofrezcan guías claras y apliquen una supervisión proporcional. Sin embargo, la responsabilidad final recae en cada empresa. Ignorar este cambio no es una opción; es el momento de actuar.

Navegar esta compleja transición y diseñar un EBR robusto y a la medida de su negocio es crucial para su viabilidad y seguridad. Si necesita orientación experta, estamos aquí para ayudarle.