Actividades Vulnerables y Compliance PLD
EBR, manual, sistemas y auditoría para Actividades Vulnerables
La reforma de 2025 incorporó expresamente evaluación basada en riesgos, manual, capacitación, mecanismos automatizados y auditoría al artículo 18 de la LFPIORPI. Al corte del 9 de julio de 2026, su exigibilidad debe determinarse con los transitorios y las Reglas de Carácter General que activen las obligaciones adicionadas; este dossier no las presenta como plenamente exigibles sin esa comprobación. Un programa defendible enlaza metodología, expediente, monitoreo, alertas, decisiones y pruebas de eficacia.
Contenido
- Metodología EBR
- Riesgo inherente y residual
- Sistema y auditoría anual
- Representante de cumplimiento
- EBR aplicado al crédito
- Ponderaciones y rangos
- Eficacia de mitigantes
- Estructura del manual
- Cobertura real
- Evidencia tecnológica
Nota de transición regulatoria
Las fracciones VII a XI del artículo 18 fueron adicionadas en 2025. Los criterios oficiales señalan que su entrada operativa depende de los plazos de las reglas; el decreto también contiene disposiciones para periodos anuales de capacitación y auditoría. Antes de fijar una fecha de exigibilidad para una organización concreta se deben revisar publicaciones posteriores al corte de este artículo. La recomendación prudente es construir capacidad y evidencia, no esperar al último día.
¿Qué debe contener una metodología EBR?
El documento define universo, periodo, fuentes, escalas y gobierno. Identifica eventos de riesgo, probabilidad e impacto; calcula exposición inherente; asigna mitigantes; determina riesgo residual; y establece apetito y respuesta.
Cada indicador necesita definición, dato fuente, periodicidad, propietario y umbral. La metodología debe poder recalcularse con los mismos datos y obtener el mismo resultado. Las excepciones se registran y no se corrigen cambiando manualmente la calificación sin rastro.
El EBR termina en medidas: diligencia simplificada cuando legalmente proceda, estándar o reforzada; aprobación; monitoreo; actualización y eventual rechazo.
Cómo llevarlo a operación
Pruebe la metodología con expedientes concretos y escenarios extremos. Otra persona debe recalcular la categoría con las mismas entradas. Las anulaciones de juicio experto requieren motivo, evidencia, aprobador y caducidad. Mientras se verifica la activación normativa de las obligaciones añadidas, mantenga una matriz de preparación que distinga “capacidad diseñada”, “control probado” y “obligación exigible”. Esa distinción permite avanzar sin afirmar una fecha legal que dependa de RCG o transitorios posteriores.
La aprobación debe registrar población y periodo usados. Si el modelo excluye un canal o producto, la limitación se presenta al órgano de administración y recibe una medida temporal; no se oculta en una nota metodológica.
Base legal
artículo 18 de la LFPIORPI y criterios generales SPPLD.
¿Cómo se distinguen riesgo inherente y residual?
La medición separa probabilidad e impacto. Después relaciona cada riesgo con controles específicos: identificación, validación bancaria, límites, aprobación, monitoreo o capacitación. No todos reducen todos los riesgos.
El residual no debe llegar automáticamente a cero. Un piso evita afirmar que se eliminó un riesgo que sólo fue administrado. Si la exposición excede el apetito, se modifica producto, cliente, canal o control.
La auditoría debe poder seleccionar un mitigante y comprobar diseño, ejecución, cobertura, excepción y resultado. Esa prueba es más importante que la sofisticación matemática.
Cómo llevarlo a operación
Pruebe cobertura y oportunidad con datos. Si el screening se ejecutó después de la operación o sólo cubrió 80% de la población, el crédito al mitigante debe reflejarlo. Defina un piso residual y una respuesta cuando exceda el apetito: restringir, reforzar, rediseñar o rechazar. Durante el régimen transitorio, documente estos elementos como preparación y buena práctica, separando claramente la fecha de diseño de la fecha en que una RCG haga exigible el componente adicionado.
Compare el residual con incidentes y excepciones reales. Si las pérdidas o alertas se concentran en categorías “bajas”, la escala o el crédito otorgado a controles necesita recalibración documentada.
Base legal
artículo 18 reformado de la LFPIORPI y marco jurídico SPPLD.
¿Qué relación existe entre sistema automatizado y auditoría anual?
La auditoría parte del EBR. Si el riesgo es alto, la LFPIORPI prevé auditor externo independiente; para riesgo bajo o medio contempla área interna o persona externa, sujeto a reglas. El expediente anual debe justificar la categoría de riesgo que determinó la modalidad.
El auditor compara norma, manual y operación. Prueba trazabilidad desde alerta a resolución, aviso a acuse y cliente a expediente. También revisa si los hallazgos anteriores cerraron con evidencia.
Los calendarios deben considerar los transitorios y reglas vigentes. “Anual” no autoriza elegir cualquier periodo sin documentarlo.
Cómo llevarlo a operación
El expediente de auditoría debe permitir reproducir una alerta y un aviso. Preserve versión de regla, parámetros, datos de entrada, decisión, usuario y salida. Muestree cambios y excepciones, no sólo casos que funcionaron. En sistemas anonimizados, la demostración mostraba una alerta correcta, pero la interfaz había dejado de cargar una sucursal durante semanas; sólo la conciliación de poblaciones reveló la brecha. Cobertura e integridad importan tanto como la fórmula.
Defina independencia y alcance según riesgo y reglas activadoras. El auditor no debe validar su propio diseño sin salvaguardas. Incluya restauración, segregación, alertas cerradas, accesos privilegiados y remediación previa. Antes de que la obligación adicionada sea exigible, puede ejecutarse una revisión de preparación etiquetada como tal; después de la activación, ajuste periodo, modalidad y entregables conforme a la RCG. Así se evita presentar una prueba voluntaria como la auditoría legal definitiva.
El plan anual debe reservar tiempo para retestar hallazgos. Un informe entregado el último día sin ventana de corrección puede cumplir un calendario interno, pero aporta poca capacidad preventiva al programa.
Base legal
artículo 18, fracciones adicionadas, de la LFPIORPI y criterios SPPLD.
¿Qué debe documentarse al designar al representante de cumplimiento?
La función no debe existir sólo en el portal. Necesita acceso a contratos, clientes, operaciones y sistemas; capacidad de escalar; y reporte al órgano de gobierno. El contrato de un proveedor externo no desplaza automáticamente las responsabilidades legales.
Se conserva acuse de alta y cambios, pero su identidad se restringe conforme al régimen de reserva. Los documentos públicos no deben exponer datos innecesarios.
Un calendario anual cubre capacitación, evaluación, revisión del manual, auditoría, reportes y remediación. Cada ausencia o cambio activa un plan de continuidad.
Cómo llevarlo a operación
El acta o resolución de designación debe identificar función, acceso a información, línea de reporte y autoridad para escalar, sin publicar datos innecesarios. Agregue una matriz de decisiones: quién clasifica, quién aprueba alertas, quién presenta avisos y quién resuelve excepciones. En programas anonimizados, el representante estaba registrado en el portal, pero dependía de operaciones para obtener archivos sin un plazo acordado; la función existía formalmente y no podía ejecutar. Un acuerdo de niveles de servicio y acceso directo corrigió esa debilidad.
Documente continuidad para vacaciones, salida o indisponibilidad, distinguiendo suplencia operativa de la designación formal exigida. El proveedor externo puede apoyar, pero no sustituye por contrato las responsabilidades legales. Para EBR, manual, capacitación, sistemas y auditoría, mantenga un monitor de RCG/transitorios y asigne al representante la tarea de activar el plan cuando corresponda. Conserve la evidencia de esa revisión normativa junto con el calendario para explicar por qué una tarea estaba en preparación o ya era exigible.
Pruebe trimestralmente que el representante recibe alertas, puede consultar operaciones y conserva acceso al portal. Una designación correcta pierde efectividad si las credenciales, permisos o flujos internos quedan desactualizados.
Base legal
artículo 20 y obligaciones relacionadas de la LFPIORPI vigente.
¿Cómo se aplica el EBR al crédito no financiero?
Indicadores de cliente pueden incluir estructura, PEP, actividad, antigüedad, jurisdicción y transparencia. Producto contempla plazo, monto, garantía, revolvencia y medio de disposición. Transacción analiza terceros pagadores, prepagos, cambios de cuenta y desviaciones.
La calificación inicial se actualiza por eventos. Una garantía nueva, reestructura, beneficiario o patrón de pago puede cambiar el riesgo. La operación de alto riesgo necesita aprobación y controles definidos, no sólo una etiqueta.
El diseño debe prevenir sesgos y duplicidad. Dos indicadores que miden lo mismo no deben inflar el resultado sin justificación.
Cómo llevarlo a operación
Mapee eventos propios del producto: solicitud, disposición, garantía, pago de tercero, prepago, cambio de cuenta, reestructura y ejecución. Para cada evento identifique señal, fuente y respuesta. En carteras anonimizadas, “monto alto” y “garantía alta” medían casi el mismo fenómeno y duplicaban puntaje, mientras los pagos de terceros no se capturaban. Una revisión de correlación y cobertura mejora la utilidad sin exigir un modelo estadístico complejo.
La categoría inicial debe cambiar por eventos, no sólo en aniversario. Configure gatillos para modificación de BC, PEP, jurisdicción, pagador, garantía o patrón. Pruebe clientes B2B, prendarios y revolventes por separado. Si la obligación EBR aún depende de activación mediante RCG, documente la simulación como preparación, no como cumplimiento definitivo, y registre qué datos faltan para operar. Al activarse, valide que los rangos y medidas correspondan a la regla vigente y no sólo al diseño anticipado.
El tablero debe mostrar qué señal cambió la categoría, qué medida se aplicó y por cuánto tiempo. Sin esta explicación, el usuario ve un número pero no sabe qué acción concreta debe ejecutar.
Base legal
artículos 17, fracción IV, y 18 reformado de la LFPIORPI.
¿Cómo justificar ponderaciones y rangos?
La documentación conserva versión, fecha, aprobador y simulación. Se prueban valores extremos y sensibilidad: cuánto cambia el resultado si un indicador se mueve. Si un factor crítico no altera la categoría, el modelo puede estar mal calibrado.
La ponderación institucional y la del cliente son capas distintas. La primera evalúa al sujeto obligado; la segunda determina medidas para una relación u operación.
Un comité o responsable puede ejercer juicio experto, pero debe explicar causa, evidencia y medida. Las anulaciones sin límites convierten la metodología en discreción no auditable.
Cómo llevarlo a operación
Documente para cada factor su hipótesis: por qué aumenta riesgo, fuente y relación con una medida. Simule casos bajos, medios, altos y un factor crítico aislado. Si una PEP o estructura opaca no cambia resultado porque otros pesos la diluyen, revise compuertas o mínimos. En modelos anonimizados, reducir los cortes hasta lograr que 90% quedara “bajo” ocultó la falta de controles; la calibración debe seguir exposición, no una cuota predeterminada.
Mantenga versión, conjunto de datos, aprobación y comparación con la versión anterior. El juicio experto puede ajustar, pero con rango limitado, motivo, evidencia y caducidad. Durante la transición regulatoria, etiquete los rangos como piloto y preserve resultados para recalibrar cuando se publiquen RCG activadoras. No afirme que un modelo anticipado satisface criterios aún no emitidos. El expediente debe mostrar qué parte proviene de ley, qué parte de diseño interno y qué deberá validarse nuevamente.
Una prueba de estabilidad debe comparar la distribución entre periodos y explicar saltos. Si una actualización desplaza masivamente clientes sin cambio económico, revise datos, escalas y despliegue antes de usar el resultado.
Base legal
artículo 18 reformado de la LFPIORPI y criterios generales SPPLD.
¿Cómo demostrar que un mitigante funciona?
Para cada mitigante se define riesgo, dueño, frecuencia, población y evidencia. Se mide cobertura: qué porcentaje de operaciones pasó por el control y cuántas excepciones existieron. Se verifica oportunidad: un screening posterior al desembolso puede ser real pero ineficaz para prevenirlo.
Los fallos alimentan el riesgo residual y plan de remediación. Un control con excepciones abiertas no debe recibir el mismo crédito que uno estable.
La valoración anual actualiza pesos, catálogos y controles. La mejora continua debe dejar changelog.
Cómo llevarlo a operación
Prepare una ficha por control: riesgo, dueño, población, frecuencia, evidencia, indicador y tolerancia. Después mida si operó antes del evento que debía prevenir. En controles anonimizados, una consulta de listas tenía 100% de registros, pero se ejecutaba después del desembolso; era completa y tardía. La evaluación de eficacia debe distinguir ejecución de oportunidad y resultado.
Muestree positivos, negativos y excepciones. Compare población esperada con logs y pruebe que las alertas cerradas contienen análisis. Si el control depende de tercero, verifique contrato, nivel de servicio, incidencias y datos excluidos. Los fallos ajustan el residual y generan remediación; no se ocultan promediando meses. Durante la transición, esta ficha sirve para preparación, pero deberá cotejarse con RCG activadoras y criterios definitivos. Conserve changelog y fecha de cada prueba para no atribuir retroactivamente al control capacidades que aún no tenía.
Defina una tolerancia explícita y una reacción. Sin umbral de falla, un indicador puede deteriorarse durante meses sin generar responsable, plazo ni escalamiento al órgano de administración.
Base legal
artículo 18 reformado de la LFPIORPI y marco SPPLD.
¿Qué estructura necesita el Manual de Políticas Internas?
Cada política necesita un procedimiento. Decir “se identificará al cliente” no explica quién, cuándo, datos, evidencia, rechazo o excepción. Los anexos contienen formatos y matrices sin convertir el cuerpo en un repositorio inmanejable.
El manual debe corresponder al modelo operativo. Si la empresa es digital, no puede describir expedientes exclusivamente físicos; si usa proveedores, define supervisión y acceso. Los nombres de áreas deben existir.
La aprobación registra fecha y vigencia. Los cambios normativos se traducen en impacto, acción, capacitación y despliegue, no sólo en una nueva portada.
Cómo llevarlo a operación
Escriba cada sección con seis preguntas: quién, cuándo, entrada, acción, salida y excepción. “Identificar al cliente” se convierte en rol, momento, campos, documentos, bloqueo y escalamiento. En manuales anonimizados, mencionar áreas inexistentes y expedientes físicos en una operación digital hizo imposible ejecutar el texto. Recorrer un caso real con operaciones y tecnología revela esas desconexiones antes de aprobar.
Separe cuerpo normativo, procedimientos y anexos. Asigne dueño y fecha de revisión a cada uno; un cambio de catálogo no requiere reaprobar toda la política, pero sí control de versión. Para EBR, capacitación, sistemas y auditoría añadidos, incluya una nota expresa de vigencia y un mecanismo de activación. Hasta comprobar la RCG, distinga preparación voluntaria de obligación exigible. Cuando se active, documente impacto, aprobación, capacitación y despliegue; cambiar sólo portada y fecha no demuestra implementación.
Incluya una tabla de derogaciones para versiones anteriores y confirme que formularios, scripts y materiales de capacitación apunten a la versión vigente. De otro modo, varias políticas pueden operar simultáneamente.
Base legal
artículo 18 de la LFPIORPI vigente y criterios SPPLD.
¿Cómo medir la cobertura real del manual?
La revisión evalúa diseño y operación. Para cada sección se selecciona una muestra: alta, cliente, aviso, alerta, capacitación o cambio. Si el procedimiento no puede ejecutarse con los sistemas y roles existentes, el hallazgo es operativo.
Los hallazgos se priorizan por impacto legal, riesgo y población. El plan asigna causa raíz, acción, dueño, fecha y evidencia de cierre.
El porcentaje total nunca reemplaza la severidad. Una sola ausencia crítica —como no identificar Beneficiario Controlador— puede pesar más que varios campos menores.
Cómo llevarlo a operación
Construya la matriz al nivel de obligación verificable, no de capítulos. Una fila debe indicar disposición, condición de vigencia, texto del manual, procedimiento, dueño, evidencia y resultado de prueba. En evaluaciones anonimizadas, un manual cubría “avisos” en diez páginas pero no decía quién conciliaba los acuses; la cobertura textual era alta y la operativa, nula. La muestra debe ejecutar el proceso, no limitarse a localizar palabras.
Asigne severidad por efecto: crítico si impide identificar, presentar o conservar; alto si debilita cobertura; medio si afecta consistencia; administrativo si no altera la conclusión. Para obligaciones adicionadas, use estados “pendiente de RCG”, “diseñada”, “probada” y “activada”. Esta taxonomía evita confundir preparación con incumplimiento o cumplimiento. El plan de cierre requiere causa, acción, dueño, fecha y evidencia retestada. Reporte por severidad y población, no sólo porcentaje agregado.
Vincule cada fila con una muestra ejecutada y fecha. Una sección puede existir en el manual y aun así fallar cuando el equipo intenta completar el formato o localizar el dato requerido.
Base legal
artículo 18 reformado de la LFPIORPI y marco jurídico SPPLD.
¿Qué evidencia tecnológica debe conservarse?
Los datos tienen controles de entrada, conciliación y calidad. Se documenta cómo se resuelven duplicados, fallas de conexión y operaciones manuales. Los accesos aplican mínimo privilegio y segregación entre cargar, aprobar y modificar.
Cada cambio de umbral o regla pasa por solicitud, prueba, aprobación y despliegue. La bitácora conserva valor anterior y nuevo. Las alertas no pueden borrarse; se cierran con decisión y evidencia.
La auditoría prueba restauración, reproducibilidad de cálculos y una muestra desde fuente hasta aviso. Esto convierte la tecnología en control verificable.
Cómo llevarlo a operación
Conserve evidencia nativa siempre que sea posible: exportación de configuración, log firmado, ticket de cambio y resultado de prueba. Una captura puede ilustrar, pero no probar población ni integridad. En sistemas anonimizados, la pantalla mostraba el umbral correcto, mientras un proceso nocturno seguía usando el valor anterior; comparar configuración, código desplegado y resultados detectó la divergencia. Registre valor anterior, nuevo, fecha efectiva y aprobador.
Pruebe conciliación de entradas, duplicados, fallas de interfaz, mínimo privilegio, restauración y alertas que no pueden borrarse. Relacione cada evidencia con periodo y versión. Para proveedores, conserve alcance, subprocesadores, incidentes y derecho de auditoría. Mientras la obligación adicionada dependa de RCG, use el inventario como expediente de preparación y marque componentes pendientes. Al activarse, ejecute una validación contra requisitos definitivos y documente cualquier ajuste, sin asumir que el diseño anticipado cumple automáticamente.
El inventario debe incluir procesos manuales de contingencia. Una hoja temporal puede ser un control válido si tiene dueño, accesos, conciliación y retiro programado; una hoja oculta fuera del gobierno crea una brecha.
Base legal
artículo 18 reformado de la LFPIORPI y criterios generales SPPLD.
Matriz de implementación
| Componente | Documento | Evidencia operativa |
|---|---|---|
| EBR | metodología aprobada | datos, cálculo y recalibración |
| Manual | políticas y procedimientos | expedientes, avisos y decisiones |
| Sistema | arquitectura y reglas | logs, alertas, accesos y cambios |
| Capacitación | programa anual | materiales, asistencia y evaluación |
| Auditoría | alcance e informe | muestras, hallazgos y cierre |
Siguiente paso
SVA.LAW puede convertir obligaciones y modelos de riesgo en manuales, controles tecnológicos y expedientes de auditoría coherentes. Conozca nuestros servicios.
Base legal
- LFPIORPI vigente
- Reglamento reformado, DOF 27-03-2026
- Marco jurídico SPPLD
- Criterios generales SPPLD
Aviso: Información general, no asesoría jurídica. La exigibilidad y calendario de obligaciones adicionadas en 2025 deben revisarse con reglas, criterios y transitorios vigentes al momento de implementación.