Global Site
Argentina Aruba Barbados Bolivia Brazil Canada Cayman Islands Chile Colombia Costa Rica Curacao El Salvador Guatemala Honduras Mexico Paraguay Peru Puerto Rico Saint Martin Suriname United States Uruguay Venezuela
Australia Cambodia China Hawaii Hong Kong India Indonesia Japan Macau Malaysia Maldives Mongolia Myanmar Nepal New Zealand Pakistan Philippines Singapore South Korea Sri Lanka Taiwan Thailand Vietnam
Albania Andorra Armenia Austria Azerbaijan Belgium Bulgaria Croatia Cyprus Czech Republic Denmark Estonia Finland France Georgia Germany Greece Hungary Ireland Italy Kazakhstan Kosovo Latvia Lithuania Luxembourg Malta Moldova Netherlands Norway Poland Portugal Romania Serbia Slovakia Slovenia Spain Sweden Switzerland Tajikistan Turkey Ukraine United Kingdom Uzbekistan
Algeria Angola Bahrain Egypt Ghana Israel Jordan Kenya Kuwait Lebanon Liberia Mauritius Morocco Mozambique Nigeria Oman Qatar Saudi Arabia Senegal Sierra Leone South Africa Tanzania Togo Tunisia Uganda United Arab Emirates Yemen
home Ideas

CONSULTORÍA

¿Qué es una Metodología de Enfoque Basado en Riesgo (EBR)?

2601301-EBR

Es el modelo estructurado mediante el cual una entidad identifica, evalúa, pondera, mitiga y monitorea los riesgos de Lavado de Dinero y Financiamiento al Terrorismo (LD/FT), ajustando la intensidad de sus controles al nivel real de riesgo.

En términos simples (y crudos):

No todos los clientes, productos ni operaciones son iguales, y tratarlos como si lo fueran es un riesgo en sí mismo.

Desde la reforma 2025, el EBR ya no es una buena práctica: es obligación legal expresa para Actividades Vulnerables (art. 18, fracción VII).


¿Qué DEBE contener una Metodología EBR sólida?

Aquí va el contenido mínimo indispensable, el que sí revisa la autoridad y sí resiste auditoría:

 

Objetivo y alcance

Debe establecer con claridad:

  • Qué riesgos evalúa (LD/FT).
  • A qué actividades aplica (art. 17 específico).
  • A qué operaciones, clientes, productos, canales y geografías cubre.
  • Periodicidad de actualización.

Error común: metodologías genéricas copiadas de bancos. Eso hoy ya no pasa revisión.

 

Identificación de factores de riesgo

Como mínimo, debe contemplar:

Criterios y variables de riesgo

Cada factor debe descomponerse en variables objetivas, por ejemplo:

  • Tipo de cliente
  • Giro económico
  • Uso de efectivo
  • Operaciones inusuales
  • País de origen/destino

Aquí se mueren muchas metodologías: variables mal definidas o no medibles.

Sistema de ponderación y scoring

Debe incluir:

  • Escalas de riesgo (bajo / medio / alto).
  • Ponderaciones justificadas (no “porque sí”).
  • Fórmula clara de cálculo del riesgo inherente.
  • Umbrales de clasificación.

Todo debe ser reproducible y defendible ante auditor o autoridad.

 

Riesgo inherente vs riesgo residual

La metodología debe distinguir claramente entre:

  • Riesgo inherente (antes de controles).
  • Controles mitigantes existentes.
  • Riesgo residual (después de controles).

Si no separa estos conceptos, no es EBR, es opinión.

 

Medidas de mitigación por nivel de riesgo

Debe establecer qué se hace cuando el riesgo es:

  • Bajo
  • Medio
  • Alto

Ejemplos:

  • Diligencia reforzada
  • Monitoreo intensificado
  • Autorizaciones internas
  • Restricciones operativas

 

Monitoreo y actualización continua

Debe definir:

  • Cómo se revisan los perfiles.
  • Eventos detonantes de revaluación.
  • Uso de sistemas automatizados (cuando aplique).
  • Retroalimentación con avisos y hallazgos.

 

Gobierno y responsabilidades

  • Debe dejar claro:
  • Quién aprueba la metodología.
  • Quién la ejecuta.
  • Quién la revisa.
  • Quién la audita.

Sin gobierno, el EBR es papel decorativo.

Evidencia documental

La metodología no vive sola. Debe vincularse con:

  • Manual PLD / Políticas internas
  • Expedientes de clientes
  • Avisos presentados
  • Reportes de monitoreo
  • Auditorías

Necesidad de contar con una Metodología de Enfoque Basado en Riesgo previa a la implementación de sistemas automatizados

(Artículo 18, fracción X, LFPIORPI)

La reforma a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, publicada el 16 de julio de 2025, incorporó de manera expresa la obligación para quienes realizan Actividades Vulnerables de contar con mecanismos automatizados que permitan el monitoreo permanente de los actos u operaciones realizados con sus Clientes o Usuarios, con el objeto de identificar desviaciones del perfil transaccional, acumulaciones de operaciones y conductas de riesgo, en términos del artículo 18, fracción X.

No obstante, la correcta implementación de un sistema automatizado de monitoreo no puede concebirse como un ejercicio tecnológico aislado, sino como la consecuencia operativa directa de una Metodología de Enfoque Basado en Riesgo (EBR) previamente definida, documentada y aprobada.

 

1. Vinculación necesaria entre la Metodología EBR y el sistema automatizado

La Metodología EBR constituye el marco lógico y normativo que permite:

  • Identificar los factores de riesgo relevantes conforme a la actividad vulnerable específica.
  • Definir variables objetivas y medibles.
  • Establecer umbrales, perfiles transaccionales y criterios de desviación.
  • Determinar los niveles de riesgo y las medidas de mitigación asociadas.

El sistema automatizado, por su parte, no crea el riesgo ni lo interpreta; únicamente ejecuta, monitorea y alerta con base en los parámetros previamente definidos por la Metodología EBR. En ausencia de esta, el sistema carece de fundamento técnico, jurídico y operativo.

En otras palabras:

Sin EBR, el sistema monitorea datos; con EBR, el sistema monitorea riesgos.

 

2. Razones regulatorias y operativas para implementar primero la Metodología EBR

Contar con una Metodología EBR previa permite:

Alinear el sistema automatizado con la realidad del modelo de negocio.

Evitar configuraciones genéricas o importadas de otros sectores (especialmente financieros).

Justificar ante la autoridad los criterios de segmentación, scoring y alertamiento.

Garantizar que el monitoreo sea proporcional al nivel de riesgo, como exige la Ley.

Facilitar la trazabilidad entre riesgo identificado, control aplicado y alerta generada.

La autoridad no evalúa la sofisticación del sistema, sino la coherencia entre riesgo, control y evidencia.

 

3. Riesgos regulatorios y operativos de implementar un sistema automatizado sin Metodología EBR

La ausencia de una Metodología EBR previa genera, entre otros, los siguientes riesgos:

a) Riesgo de incumplimiento normativo

La fracción X del artículo 18 debe interpretarse de forma armónica con la fracción VII del mismo artículo. Implementar un sistema sin EBR implica incumplir parcialmente la obligación legal, aun cuando exista tecnología.

 

b) Riesgo de alertamiento ineficiente

Sistemas mal parametrizados generan:

  • Exceso de alertas irrelevantes, o
  • Falsos negativos que omiten operaciones de alto riesgo.

Ambos escenarios son observables en visitas de verificación.

 

c) Riesgo de sanción administrativa

La autoridad puede considerar que el sistema:

  • No cumple su finalidad legal, o
  • No se encuentra alineado al perfil real de riesgo, lo cual puede derivar en multas, requerimientos y observaciones graves.

 

d) Riesgo de indefensión técnica

Sin EBR documentado, no existe sustento para:

  • Explicar por qué una alerta se generó o no.
  • Justificar umbrales, acumulaciones o perfiles.
  • Defender criterios ante auditorías o procedimientos administrativos.

 

e) Riesgo reputacional y de gobernanza

Un sistema automatizado sin metodología evidencia falta de control interno, debilita la función del órgano de administración y expone a la organización a responsabilidades por omisión.

 

4. Conclusión

La implementación de sistemas automatizados de monitoreo no sustituye la Metodología de Enfoque Basado en Riesgo; por el contrario, depende de ella.

La Metodología EBR define qué debe vigilarse y por qué; el sistema automatizado define cómo y cuándo se vigila. Separarlos implica convertir una obligación legal en un gasto tecnológico sin valor regulatorio.

En un entorno de supervisión cada vez más técnica y exigente, la secuencia correcta es una sola: Metodología EBR → Parametrización → Sistema Automatizado → Evidencia.

 

Lic. Alejandro C. Lozano Curiel

Asociado de Riesgo Regulatorio y Cumplimiento
Oficina Monterrey