3.

Conocimientos de Auditoría, Supervisión y Enfoque

Basado en Riesgos de Lavado de Dinero y Financiamiento
al Terrorismo.

3.1 Conocimientos de Auditoría y Supervisión.

Las Disposiciones de Carácter General en materia de prevención de Lavado de Dinero para
instituciones de crédito establecen lo siguiente con relación a evaluar y dictaminar la
efectividad del cumplimiento de las Disposiciones:

Capítulo XII, otras obligaciones:

60ª.- Se deberá realizar una revisión por parte del área de auditoría interna, o un auditor
externo independiente, para evaluar y dictaminar la efectividad del cumplimiento de las
Disposiciones, conforme a los lineamientos que emita la Comisión Nacional Bancaria y de
Valores (CNBV), considerando el periodo enero-diciembre, o desde que la CNBV autorice
el inicio de operaciones a diciembre del año respectivo.

En este ejercicio no podrán participar miembros del Comité de Comunicación y

Control (Comité).

Los resultados de la evaluación de la eficacia operativa de las medidas implementadas

y el seguimiento a los programas de acción correctiva que resulten de las revisiones
deberán presentarse como informe a la dirección general y al Comité.

La información de estas acciones debe remitirse por medios electrónicos a la

Comisión dentro de los 60 días naturales siguientes al cierre del ejercicio al que
corresponda la revisión y ser conservada por un plazo no menor a 5 años.

Derivado de lo anterior, el auditor interno y/o externo independiente realizan sus

funciones con el fin de verificar que la Entidad:
• Integró expedientes y aplicó políticas de identificación y conocimiento de Cliente o
Usuarios.
• Integró estructuras internas.
• Capacitó y evaluó al personal.
• Estableció un sistema automatizado.
• Presentó reportes en tiempo y forma.
• Dejó de efectuar operaciones conforme a listas de personas bloqueadas.
• Conserva evidencia del cumplimiento de obligaciones en la materia por los periodos
establecidos.

3.1.1 Informe de auditoría en materia de prevención de Lavado de Dinero

derivado de las Disposiciones de Carácter General.
El proceso anual para evaluar y dictaminar el cumplimiento de las disposiciones en la
materia se realiza conforme a los lineamientos de la CNBV denominados:
LINEAMIENTOS PARA LA ELABORACIÓN DEL INFORME DE AUDITORÍA...

Página 1 de 28

Dicho documento se compone de 13 lineamientos:

Primero y segundo, se refieren a las definiciones y objeto de los lineamientos.

Tercero, a los requisitos que debe cumplir el auditor.

Cuarto, a la presentación del informe a la CNBV por medios electrónicos, con una carta
firmada por el auditor en la que señala cumplir con los requisitos e informa el número
de su certificado como auditor.

Quinto, a la presentación del informe vía Sistema Interinstitucional de Transferencia de

Información (SITI).

Sexto, al cuestionario del SITI formulado por la CNBV que contesta el auditor con
relación a la información que tuvo a la vista para la elaboración del informe y los datos
recabados para llevar a cabo la revisión.

Séptimo, a los requisitos de “forma” para elaborar el informe: ser redactado en español;
tipografía de al menos 10 puntos, contar con índice y resaltar en negritas los capítulos,
apartados o incisos en que se divida para facilitar su lectura y comprensión; así como
anexar los documentos que sustentaron su elaboración.

Octavo, requisitos de la auditoría, consistentes en:

a) Sustentarse en un análisis de riesgo del tipo de clientes y usuarios, productos y
servicios, áreas operativas y estructuras internas;
b) Basarse en los criterios, medidas y procedimientos preventivos;
c) Establecer un programa de auditoría con calendario de actividades, temas a evaluar,
pruebas a los sistemas automatizados, revisión de expedientes de identificación de clientes
y usuarios, revisión de recursos materiales, tecnológicos y humanos;
d) La forma en que determinará, evaluará y dará seguimiento a las acciones
correctivas conforme a los riesgos y áreas de oportunidad que se detecten.

Noveno, establece la forma de realizar el seguimiento, desarrollo y ejecución del

programa de trabajo de la auditoría, indicando los plazos en que se llevó a cabo y si el
sujeto obligado, sus sucursales, agencias, filiales, locales, establecimientos y/o agentes
relacionados cumplen con las Disposiciones, por lo que el informe deberá señalar lo
siguiente:

a) De la revisión a las políticas de identificación del Cliente o Usuarios, señalar:

• Si existe el Manual de Cumplimiento y contempla la identificación de Clientes o
Usuarios acorde con los productos, servicios y operaciones; y evaluar si su
contenido y aplicación es adecuado.
• Los criterios de selección de la muestra representativa y aleatoria a evaluar.
Señalando el número de expedientes y el porcentaje que representan del total.
Detallando los datos y los documentos faltantes en cada expediente revisado.
• El resultado de la revisión de la integración de los expedientes considerando
un método de muestreo estratificado que considere a Clientes y Usuarios de
Grado de Alto Riesgo.
• La documentación que acredite la aplicación de las políticas de identificación
y conocimiento en las cuentas concentradoras.

Página 2 de 28

 • La implementación de mecanismos de agrupación y seguimiento de
operaciones, así como escalamiento interno.
• La documentación para clasificar Clientes y Usuarios según su Grado de
Riesgo, así como la reclasificación por comportamiento transaccional, y el resultado
de las visitas domiciliarias.

b) Resultado de la revisión a las políticas de conocimiento de Clientes y Usuarios,

señalando:
• Si el Manual de Cumplimiento cuenta con los criterios para el conocimiento de
Clientes o Usuarios, determinando la forma en que estos han sido
implementados.
• Si se clasifica a Clientes o Usuarios en función a su grado de Riesgo conforme
a las Disposiciones.
• Si se cuenta con un sistema de alertas para dar seguimiento y detectar cambios
en el comportamiento transaccional, considerando clasificaciones de alto Riesgo.
• Si cuenta con criterios en relación Personas Políticamente Expuestas y han sido
implementados correctamente.
• Si ha realizado operaciones con Clientes o Usuarios de alto Riesgo, Personas
Políticamente Expuestas y operaciones de Alto Riesgo, indicando el
procedimiento de aprobación, cómo se realiza, si se aplica adecuadamente y
conforme a las Disposiciones.
• Si cuenta con políticas para identificar al Propietario Real, así como al beneficiario
de estos, e indicar la forma en que han sido implementadas.
• Si se identifica el número, monto y frecuencia de operaciones que realiza con
Sujetos Obligados cuando tienen calidad de Cliente o Usuario, indicando la
forma en que ha sido implementado el proceso de identificación.
• Si identifica a Clientes o Usuarios que se encuentren dentro de la Lista de
Personas Bloqueadas, indicando el proceso de identificación.

c) Resultado de la evaluación de la presentación de reportes señalando si:

• Presentó en tiempo y forma los reportes de Operaciones Relevantes, de
transferencias internacionales de fondos, de operaciones con USD en efectivo,
cheques de caja, intercambio de información, así como el reporte de montos totales
de divisas extranjeras, indicando si los reportes incluyeron todas las
Operaciones del periodo reportado, incluidas las Relevantes realizadas a través
de las cuentas concentradoras.
• Presentó en tiempo y forma los reportes por cada Operación Inusual e Interna
Preocupante y los Reportes 24 horas, indicando si fueron dictaminadas por el
Comité o, en su caso, por el Oficial de Cumplimiento, auditando inclusive
operaciones analizadas que no fueron dictaminadas como Operaciones
Inusuales o Internas Preocupantes.

d) Evaluación de la integración de estructuras internas, señalando si:

• Integró y comunicó, la integración inicial de su Comité, verificando en su caso
si se cumplen las excepciones para no constituir Comité.
• Presentó la información respecto de la integración y cambios del Comité dentro de
los primeros 15 días hábiles del mes de enero.
• Realizó la designación del Oficial de Cumplimiento y comunicó en tiempo y
forma la designación inicial o su sustitución; detallando el cumplimiento de las

Página 3 de 28

 funciones y obligaciones que realizaron el Comité y el Oficial de Cumplimiento;
incluyendo incumplimientos y las razones por las que estos ocurrieron.
• Comunicó en tiempo y forma, la información inicial sobre la identidad de la
persona o grupo de personas que ejercen el Control, así como la transmisión
de acciones o partes sociales por más del 2% de su capital social pagado, así
como cualquier cambio en dichas personas conforme a las Disposiciones.

e) Resultado de la evaluación de la capacitación y difusión, señalando si:

• Cuenta con un programa anual de capacitación acorde con los servicios,
productos u operaciones.
• Impartió cursos de capacitación a miembros del Comité, Oficial de Cumplimiento,
directivos, funcionarios, empleados, apoderados, personal de atención al público o
administración de recursos, y el informe presentado en el formato oficial dentro
de los primeros 15 días hábiles del mes de enero, expidiendo para tal efecto las
constancias de capacitación.
• Difundió las Disposiciones, las técnicas, métodos, procedimientos y tendencias
para prevenir, detectar y reportar operaciones de Lavado de Dinero.
• Cuenta con medidas para funcionarios o empleados que no obtienen calificación
satisfactoria en las evaluaciones de conocimientos y si las llevó a cabo y
presentó el informe de capacitación anual a la CNBV.

f) Evaluación de la idoneidad del sistema automatizado señalando si:

• Clasifica: tipos de operaciones, productos, o servicios; agrupa operaciones
de un mismo cliente o usuario; y ejecuta alertas.

g) Revisión del reclutamiento y evaluación del conocimiento de empleados en

áreas de atención al público y administración de recursos, sobre:
• Procedimientos de selección.
• Existencia de expedientes de cada empleado.
• Evidencia de capacitación en prevención de Lavado de Dinero previo o simultáneo
al ingreso o inicio de actividades.

h) Verificación de mecanismos de conservación documental por:

• Un periodo no menor a 10 años, de copias de los reportes de operaciones y de
documentos de expedientes de identificación de Clientes o Usuarios.
• Un periodo no menor a 5 años de los informes de auditoría y copias de estos.

i) Revisión de las listas oficialmente reconocidas, para acreditar que:

• Cuenta con las listas y opera un mecanismo para identificar personas
bloqueadas, personas políticamente expuestas, países y jurisdicciones con
regímenes fiscales preferentes, no cooperantes y con regímenes deficientes; listas
intergubernamentales, de organismos internacionales, de autoridades de otros
países sobre personas y jurisdicciones que representen un riesgo de Lavado de
Dinero.

j) Verificación de otra información:

• Si el Transmisor de dinero, presentó el aviso de la lista de agentes relacionados
con los que tenga una relación contractual y los terceros con los que operen los
agentes relacionados.
• La información que haya sido requerida al Sujeto Obligado por la Comisión.

Página 4 de 28

 • Si el Sujeto Obligado subsanó las observaciones, recomendaciones y acciones
correctivas que la Comisión le notificó.

Décimo lineamiento, las manifestaciones y datos del Informe deben sustentarse en

evidencias que deben justificarse e indicar y relacionar cada prueba, señalar la
documentación que fue analizada citando el texto íntegro del documento de referencia,
señalando sus datos para identificarlo entre los anexos.

Décimo primero, el auditor deberá presentar un informe detallado al Oficial de

Cumplimiento o al Comité para que se informe a la autoridad competente la posible
comisión de alguna conducta ilícita, cuando en el curso de la auditoría determine que:
• Las medidas implementadas no son acordes al tipo de servicios, productos u
operaciones;
• No son eficaces los controles implementados para mitigar los riesgos,
• Existen irregularidades que puedan favorecer, prestar ayuda, auxilio o
cooperación para el Lavado de Dinero o el Financiamiento al Terrorismo.

Décimo segundo, el Informe debe contener una sección de hallazgos y acciones

correctivas que a juicio del Auditor se requieran para dar cumplimiento a las Disposiciones.

Así como una sección sobre el seguimiento que realizó el Sujeto Obligado sobre los
hallazgos y acciones correctivas señalados en el informe de Auditoría presentado en
el año inmediato anterior.

Décimo tercero, la interpretación y consultas sobre los lineamientos corresponden a las

DG de la Vicepresidencia de Supervisión de Procesos Preventivos de la Comisión

3.1.2 Supervisión de la Comisión Nacional Bancaria y de Valores (CNBV).

La CNBV tiene por objeto supervisar a las entidades integrantes del sistema financiero a fin
de procurar estabilidad y correcto funcionamiento para mantener y fomentar un desarrollo
sano y equilibrado.

La función de supervisión comprende el ejercicio de facultades de inspección y de

vigilancia, así como de prevención y corrección.

Para tal efecto, la CNBV realiza dos tipos de supervisión:

• La prudencial para evitar la quiebra de los bancos, y
• La de prevención de Lavado de Dinero.

Las modalidades de supervisión empleadas son:

Inspección Vigilancia
Se realiza In situ efectuando visitas Se realiza Extra situ analizando informes
Se efectúa a través de visitas, Se efectúa a través del análisis de
verificación de operaciones y auditoría informes que deben presentarse o que
de registros y sistemas, en las son requeridos.
instalaciones o equipos automatizados de
las Entidades Financieras.

Página 5 de 28

Se realizan 3 tipos de visitas de inspección:
• Las visitas ordinarias, consideradas en el Programa Anual de Visitas (PAV).
• Las visitas especiales, no están incluidas en el PAV y tienen por objeto:
o Examinar y corregir situaciones operativas especiales.
o Dar seguimiento a los resultados de una visita de inspección anterior.
o Efectuar inspecciones cuando un sujeto obligado inicie operaciones después
de la elaboración del PAV.
o Cuando se presenten hechos, actos u omisiones en los sujetos obligados
que no hayan sido contemplados en el PAV.
o Cuando deriven de la cooperación internacional.
• Las visitas de investigación:
o En posibles contravenciones a las leyes.
o Para recabar documentación e información requerida por autoridades.
o Para agilizar aseguramientos o desbloqueo de cuentas.
o Ante indicios de que sin la autorización correspondiente:
§ Se opera como sujeto obligado o se ostentan con tal carácter.
§ Se realizan actividades reguladas del sistema financiero.

El procedimiento para la realización de visitas ordinarias y especiales debe notificarse

con dos días hábiles de anticipación y las de investigación en el acto de inicio de esta.

El proceso de inspección se compone de:

1. Oficio de orden de visita.
2. Acta de inicio.
3. Relación genérica de la información y documentación revisada.
4. Actas parciales.
5. Acta de conclusión.
6. Oficio de observaciones y recomendaciones.
7. Contestación para desvirtuar observaciones y recomendaciones.
8. Oficio que ordena la adopción de acciones, medidas correctivas o
programas de cumplimiento forzoso.

Las visitas de inspección se realizan conforme a lo siguiente:

• La orden de visita de inspección debe contener:
o Lugar y fecha de expedición, número de oficio y en su caso número de
expediente.
o Nombre del sujeto supervisado y su representante o apoderado legal.
o Tipo de visita, el objeto de esta, fecha en que iniciará y el lugar en que se
llevará a cabo, así como el domicilio legal del supervisado.
o Relación de la información que debe ponerse a disposición
o Nombre de los inspectores acreditados y el líder de auditoría y los servidores
públicos de las autoridades financieras que participen en la visita.
o Nombre, cargo y firma del servidor público de la Comisión, facultado para
emitir la orden de visita.
• Los inspectores deben identificarse con credencial vigente, con fotografía, expedida
por la CNBV.
• Se levanta acta de inicio en dos tantos, debiendo contener:
o Lugar, hora y fecha; nombre de la entidad o persona supervisada y los datos
de identificación de la orden de visita.

Página 6 de 28

 o Tipo de visita de inspección, su objeto, el lugar donde se realiza, el nombre
e identificación de los inspectores, su líder y las demás personas que
participen en la visita.
o Nombre y cargo del representante legal del visitado, de dos testigos, la
leyenda de darse por enterados del inicio de la visita.
o Firmarse por el representante legal o apoderado del visitado, el inspector
líder de la Comisión y los testigos.
• El inspector deberá advertir las penas en que incurren quienes declaran falsamente
ante autoridad distinta de la judicial en el ejercicio de sus atribuciones.
• Los inspectores realizarán sus actividades en el horario de la entidad visitada.
• Durante la visita de inspección, el visitado estará obligado a:
o Permitir el acceso inmediato a los inspectores sus oficinas, locales,
instalaciones, documentos y demás fuentes de información para el
cumplimiento de sus funciones.
o Proporcionar un espacio físico para desarrollar la visita.
o Proporcionar equipo de cómputo, de oficina y de comunicación que
requieran
• Los inspectores deberán elabora una relación genérica de la información y
documentación proporcionada por el visitado, para dejar constancia de la
información revisada.
• Los inspectores podrán levantar actas parciales para dejar constancia de:
o Hechos u omisiones que pudieran implicar un incumplimiento grave de
disposiciones aplicables.
o Acciones tendientes a obstaculizar el desarrollo de la visita.
o Hechos, actos u omisiones de actas levantadas previamente.
o La negativa para exhibir información requerida.
• La entidad supervisada podrá presentar información y documentación que a su juicio
desvirtúe hechos, actos u omisiones contenidos en actas parciales.
• Al finalizar de la visita debe levantarse un acta circunstanciada de conclusión.

Del ejercicio de las anteriores modalidades de supervisión se desprende de la función

de prevención, y de ellas puede derivar el ejercicio de la función de corrección.

De esta forma, cuando se detecten elementos de los que pudieran derivarse hechos, actos
u omisiones que impliquen el probable incumplimiento de las Disposiciones, la CNBV podrá
realizar observaciones y formular recomendaciones para que los supervisados mejoren
sus sistemas de control o procesos.

Las observaciones o recomendaciones se notifican mediante oficio fundado y

motivado conteniendo lo siguiente:
I. Lugar y fecha de expedición;
II. Número de oficio y de expediente;
III. Nombre de la Entidad Supervisada o Persona a quien se dirige;
IV. Nombre y cargo del Representante Legal o Apoderado de la Entidad Supervisada o
Persona o del funcionario a quien se dirija el oficio, debiendo remitirse copia al director
general de la Entidad o Persona supervisada;
V. Los hechos, actos u omisiones de los que deriven las probables irregularidades en que
se hubiere incurrido por infracción a la normatividad aplicable.
VI. La mención expresa de que las observaciones o recomendaciones se formulan sin
perjuicio del inicio del procedimiento para la imposición de las sanciones que resulten
procedentes;

Página 7 de 28

VII. Señalar que, en el plazo máximo de 20 días hábiles puede manifestar por escrito lo que
a su derecho corresponda, pudiendo para tal efecto acompañar la información y
documentación que soporte su manifestación (El plazo puede ser de tres días hábiles
cuando se trate de irregularidades en materia prudencial).
VIII. Nombre, cargo y firma del servidor publico de la CNBV facultado para emitir el oficio.

De no manifestarse, o la información y documentación presentados no sean suficientes

para desvirtuar las observaciones, se ordenará, mediante oficio, la adopción de las
acciones, medidas correctivas o programas de cumplimiento forzoso para corregir
las irregularidades.

El oficio que ordene la adopción de acciones, medidas correctivas o programas de

cumplimiento forzoso, deberá fundarse y motivarse y contener:
I. Lugar y fecha de expedición;
II. Número de oficio y de expediente;
III. Nombre de la Entidad Supervisada o Persona a quien se dirige;
IV. Nombre y cargo del Representante Legal o Apoderado de la Entidad Supervisada o
Persona a quien se dirija el oficio, debiendo remitirse copia al director general;
V. Las medidas correctivas o las acciones tendientes a prevenir irregularidades, y en su
caso, los términos y condiciones de los programas de cumplimiento forzoso que deba
adoptar, señalando el plazo para su cumplimiento.
VI. El apercibimiento de las sanciones que podrían generarse en caso de no adoptar las
medidas correctivas, acciones o programas de cumplimiento forzoso instruidos, y
VII. Nombre, cargo y firma del servidor publico facultado para emitir el oficio.

Página 8 de 28

3.2 Guías e instrumentos para la gestión de riesgos.
Cuando se tiene un enfoque basado en el riesgo de Lavado de Dinero se habla de:
Conocer el grado de exposición al riesgo que tiene una Entidad de ser utilizada en una
operación de Lavado de Dinero dado el tipo de operaciones que realiza.

Y en consecuencia, NO se trata de:

• Conocer el Riesgo Operativo que representa el impacto financiero para la Entidad
cuando se presente una operación de Lavado de Dinero, ni de;
• Cuantificar el Riesgo Legal que representa el impacto financiero de las potenciales
multas en caso de incumplimiento del marco legal de prevención de Lavado de
Dinero.

3.2.1 Guía del Enfoque Basado en Riesgos para el Sector Bancario, del Grupo
de Acción Financiera Internacional (GAFI) de 2014.
El propósito de la Guía es:
• Establecer principios que deben ponerse en práctica en la aplicación de un
EBR.
• Colaborar con países, autoridades y bancos para el diseño y puesta en
práctica de un EBR.
• A la supervisión y puesta en marcha de medidas de prevención centrándose
en los riesgos y en las medidas de mitigación.
• Fomentar el entendimiento de lo que es el EBR y lo que implica.

La Guía está dirigida a los países, supervisores bancarios y el sector bancario:

• Sección I, elementos clave del EBR.
• Sección II, supervisores bancarios.
• Sección III, bancos.

SECCIÓN I
El EBR significa que países, autoridades e instituciones financieras, deben identificar,
evaluar y entender los riesgos de Lavado de Dinero a los que están expuestos y adoptar
las medidas adecuadas para mitigarlos.

Lo anterior, implica que el alcance, grado, frecuencia o intensidad de los controles

puestos en práctica deben reforzarse ante un riesgo mayor. Y cuando el riesgo es
menor, las medidas pueden simplificarse.

Asignación de responsabilidades en un EBR. Al decidir la libertad que tendrán los

bancos para establecer formas de mitigación de riesgo, los países deben tomar en cuenta
la capacidad que tiene su sector bancario para identificar y gestionar de forma eficaz los
riesgos de Lavado de Dinero, así como los conocimientos y recursos de sus evaluadores,
que deberán ser los necesarios para supervisar de forma adecuada la forma en que los
bancos enfrentan los riesgos de Lavado de Dinero y tomar medidas en caso de
incumplimiento por parte de los bancos.

Identificación de riesgos. El acceso a información precisa, oportuna y objetiva sobre los

riesgos de Lavado de Dinero es un requisito previo para un EBR eficaz, para tal efecto se
requiere que los países cuenten con mecanismos que faciliten el intercambio de información

Página 9 de 28

apropiada sobre los resultados de las evaluaciones de riesgo a todas las autoridades
competentes relevantes, instituciones financieras y otras partes interesadas.

Evaluación de riesgos. La evaluación implica determinar cómo los afectarán las

amenazas han sido identificadas.

Para tal efecto, se debe analizar la información obtenida con objeto de entender la
probabilidad de que ocurran estos riesgos, y cuáles serían sus impactos en los bancos en
lo individual, el sector bancario y en la economía nacional.

Mitigación del riesgo de Lavado de Dinero. Al aplicar un EBR, se establecerá cuál es la

forma más eficaz de mitigar el riesgo.

Esto implica mejorar las medidas para manejar y mitigar las situaciones en las que el riesgo
es superior; y en situaciones de bajo riesgo, aplicar exenciones o medidas simplificadas.

Desarrollo de un entendimiento común de EBR. La eficacia depende de un

entendimiento común de qué es lo que implica el EBR, cómo debe aplicarse y la forma en
que deben abordarse los riesgos de Lavado de Dinero.

En un régimen basado en el riesgo, no todas las entidades adoptarán controles iguales, y

la materialización de un incidente aislado o la actualización no significativa de un
riesgo, no necesariamente invalidará la integridad de los mitigantes.

Los países y autoridades deben tener en cuenta la necesidad de una supervisión eficaz de
todas las entidades para generar igualdad de condiciones entre todos los proveedores de
servicios financieros y evitar el desplazamiento de las actividades de mayor riesgo hacia
entidades con una baja o inadecuada supervisión.

SECCIÓN II
La supervisión depende de dos cosas: 1) la forma en que los supervisores asignan sus
recursos de monitoreo y sanción; 2) la forma en que orienten el desempeño de sus
facultades para fomentar la aplicación de un EBR.

A. El EBR en materia de supervisión. Se deben entender los riesgos a los que está
expuesto el sector, cada banco y los grupos bancarios.

Los supervisores deben tomar en cuenta el nivel de riesgo inherente relativo a la

naturaleza y complejidad de los productos y servicios del banco, su tamaño, modelo
de negocio, sistemas de gobierno corporativo, la información financiera y contable,
los canales de distribución, los perfiles de los clientes, la localización geográfica y
los países de operación.

Algunas formas en que las que los supervisores pueden ajustar su enfoque son:
a) Ajuste de la intensidad de los controles para otorgar la autorización para operar.
b) Ajuste del tipo de supervisión, in situ o extra situ.
c) Ajuste de la frecuencia y naturaleza de una supervisión continua.
d) Ajuste de la intensidad de la supervisión.

Página 10 de 28

B. Supervisión del EBR, debe llevarse a cabo de una manera que fomente la adopción de
un EBR, haciendo del conocimiento de los bancos las expectativas de cumplimiento a las
obligaciones legales y normativas.

SECCIÓN III
Los bancos en proporción al riesgo deben: asignar recursos de cumplimiento,
organizar controles y estructuras internas, e implementar políticas y procedimientos
para prevenir y detectar el Lavado de Dinero, incluyendo metodologías a nivel de
grupo cuando sea necesario.

A. Evaluación de Riesgo
La evaluación del riesgo es la base del EBR de un banco, por lo que debe permitir al banco
entender cómo y hasta qué punto es vulnerable.

De lo anterior, debe resultar una categorización del riesgo, que contribuya a determinar el
grado de recursos necesarios para mitigar el riesgo, por esta razón la evaluación del riesgo
debe documentarse, guardarse y comunicarse al personal pertinente del banco.

Al identificar y evaluar el riesgo al que están expuestos, los bancos deben considerar una
serie de factores que incluyen:
• La naturaleza, escala, diversidad y complejidad de su negocio.
• Los mercados a los que se dirige.
• El número de clientes identificados como de alto riesgo.
• El volumen y alcance de sus operaciones.
• Las jurisdicciones que regulan al banco.
• Los canales de distribución.
• La auditoría y los resultados de la regulación.

Los bancos deben complementar esta información con datos obtenidos de fuentes internas
y externas pertinentes, como los directores de las empresas, gerentes de relaciones,
evaluaciones nacionales de riesgo, listas emitidas por organizaciones
intergubernamentales internacionales y gobiernos nacionales, las evaluaciones mutuas y
los informes de seguimiento del GAFI, así como el estudio y clasificación de las tipologías.

La evaluación de riesgos debe ser aprobada por la alta dirección, constituir la base del
desarrollo de mitigantes, y reflejar el nivel de apetito de riesgo de la institución.

La evaluación de riesgos debe revisarse y actualizarse de forma periódica, de tal forma que
las políticas, procedimientos, medidas y controles para mitigar los riesgos sean acordes con
dicha evaluación del riesgo.

B. Mitigación de Riesgos
Los procesos de Debida Diligencia del Cliente (DDC) deben ayudar a entender quiénes son
sus clientes mediante la recopilación de información sobre lo que hacen y la razón por la
que requieren sus servicios.

La DDC inicial comprende lo siguiente:

• La identificación del cliente y/o el propietario real.
• Verificación de la identidad.

Página 11 de 28

 • Comprensión del propósito de la relación comercial y, en situaciones de mayor
riesgo obtener más información.

Los bancos deben documentar y establecer claramente: criterios y parámetros utilizados

para segmentar clientes y asignarles un nivel de riesgo; y determinar la frecuencia e
intensidad de la vigilancia de los segmentos.

C. Controles internos, gobierno corporativo y monitoreo

Contar con controles internos es una condición previa para la aplicación eficaz de las
políticas y procesos para mitigar el riesgo de Lavado de Dinero.

La alta dirección no debe únicamente conocer los riesgos de Lavado de Dinero a los
cuales está expuesto el banco, sino que debe comprender como opera su marco de
control para mitigar dichos riesgos.

Los controles de prevención del riesgo de lavado de dinero deben ser consistentes con
los controles de riesgos de negocios, financieros y operativos, para tal efecto se debe:
• Verificar que el personal tenga integridad y que está suficientemente capacitado.
• Verificar que la capacitación sea continua, regular, de calidad y obligatoria; a la
medida de líneas de negocio y proporcionar el efecto deseado; requiriendo pasar
pruebas de capacitación.
• Procurar que políticas y controles estén implementados y sean efectivos,
monitoreados de forma continua por el Oficial de Cumplimiento y una auditoría
independiente.

3.2.2 Guía para la Adecuada Gestión de los Riesgos Relacionados con el

Blanqueo de Capitales y la Financiación del Terrorismo, del Comité de
Supervisión Bancaria de Basilea de 2014.

La Guía de Basilea está dirigida a bancos y cualquier tipo de entidad financiera puede
adoptarla porque busca:
• Apoyar la aplicación de las normas del GAFI.
• Aprovechar los principios básicos de Basilea para los bancos.

La Guía se compone de 3 secciones y 2 anexos, las secciones se refieren a:

• Elementos esenciales de una sólida Gestión del Riesgo de Blanqueo de
Capitales y el Financiamiento al Terrorismo.
• Prevenir el Blanqueo de Capitales transfronterizo a escala grupo financiero.
• Los supervisores.

Sección I, ELEMENTOS ESENCIALES DE UNA SÓLIDA GESTIÓN DEL RIESGO de

Blanqueo de Capitales, identifica 6 elementos:
1. Evaluación, comprensión, gestión, y mitigación de riesgos.
2. Política de aceptación de clientes.
3. Identificación y verificación de clientes y beneficiarios.
4. Seguimiento continuo.
5. Gestión de la información.
6. Notificación de operaciones sospechosas y bloqueo de activos.

Página 12 de 28

Elemento 1. Evaluación, comprensión, gestión, y mitigación de riesgos, e necesario:
a) Evaluación: Comprender el objetivo y alcance de la evaluación, la gestión y la
mitigación de riesgos, para ello es necesario entender y considerar el riesgo
inherente y residual de las operaciones financieras de cada entidad, así como
establecer mecanismos adecuados para documentar la evaluación de riesgos a
propósito del desarrollo minucioso de los riesgos, con la finalidad de establecer
políticas y procedimientos adecuados y proporcionales.

b) Compresión: Contar con mecanismos de gobierno corporativo, donde el Consejo de

Administración apruebe y supervise las políticas de gestión de riesgos, a partir de
su conocimiento, comprensión y nombramiento del responsable de la prevención y
el cumplimiento.

c) Gestión: la ejecución de medidas de prevención implica tres líneas de defensa:

• Primera línea de defensa. Acontece en las unidades de negocio, en las
actividades de cara al público y contacto directo con Clientes y Usuarios, por ello,
ahí se debe contar con personal capacitado, reglas claras y herramientas
adecuadas para detectar y notificar transacciones sospechosas.
• Segunda línea de defensa. La ejecuta el Responsable Ejecutivo, con
seguimiento continuo, verificando con muestreos, evaluando la calidad de la
información para reporteo.
• Tercera línea de defensa. Ejecución de auditorías internas, evaluando de forma
independiente y periódica en todo el banco: la eficacia de la gestión de riesgos,
así como la efectiva aplicación de las políticas y procedimientos en la materia.

d) Mitigación de riesgos: Con un sistema de seguimiento de transacciones que:

controle todas las cuentas de cada cliente y las transacciones que hagan como
ordenantes o beneficiarios; genere alertas con umbrales de sensibilidad y perfiles
transaccionales; que se un repositorio centralizado de información para calificar a los
clientes en función del riesgo que representan.

Elemento 2. Política de Aceptación de Clientes. Debida diligencia básica y otra

adecuada al nivel de riesgo asociado al cliente; que en el caso de clientes de bajo riesgo
es permita medidas simplificadas y en el caso de alto riesgo medidas reforzadas.

Establecer circunstancias en las que el banco no aceptará una relación comercial o

cancelará la relación existente, considerando siempre a las Personas Expuestas
Políticamente extranjeras como de alto riesgo.

La determinación de las medidas reforzadas o simplificadas en función del riesgo implica

evaluar a los clientes tomando en cuenta:
• Antecedentes.
• Ocupación y actividades comerciales.
• Fuente de la renta o la riqueza.
• El producto financiero utilizado, su naturaleza y finalidad, así como los otros
productos vinculados.

Elemento 3. Identificación y verificación de clientes y beneficiarios. De tal forma que

quienes actúen a nombre de ellos proporcionen datos y documentos para identificarlos y
permitan conocerlos mediante entrevista, y en caso contrario, no abrir la cuenta ni

Página 13 de 28

establecer relación comercial. Evitando en todo momento funcionar con cuentas
confidenciales numeradas como cuentas anónimas.

Aplicar diligencia reforzada cuando:

• El cliente ha decidido abrir una cuenta lejos de su domicilio u oficina, especialmente
si éste último se encuentra en el extranjero.
• Procede de jurisdicciones con deficiencias en materia de prevención de Lavado de
Dinero.

Elemento 4. Seguimiento continuo. Sólo se pueden gestionar eficazmente los riesgos

si se conoce el perfil transaccional de los clientes, por lo que el seguimiento continuo
automatizado de sus relaciones comerciales y transacciones es indispensable, a fin de
conocer oportunamente cambios significativos en la conducta transaccional, anomalías
transaccionales y documentación omitida para la apertura de cuentas.

Elemento 5. Gestión de la información. Debe garantizarse el registro de toda la

información recabada en las acciones de debida diligencia del cliente, señalando los tipos
de información y documentación que habrán de incluirse en los registros del sistema,
considerando un periodo de conservación no menor a 5 años desde el cese de la
relación contractual o la realización de una transacción ocasional.

La confiabilidad de la información se basa en mantener la vigencia y actualización de los

datos y documentos, pudiendo demostrar a los supervisores la integridad de esta.

Elemento 6. Notificación de operaciones sospechosas y bloqueo de activos, deben

informarse a la Unidad de Inteligencia Financiera, para tal efecto se debe:
• Ofrecer a los empleados una descripción clara de sus obligaciones.
• Especificaciones para notificar.
• Establecer el principio de confidencialidad.
• Garantizar que la investigación se realizará con rapidez.
• Garantizar la relevancia y oportunidad de las notificaciones.
• Comprobar de forma automática si clientes o clientes potenciales figuran en listas
de personas bloqueadas.

Sección II. Prevención a ESCALA GRUPO FINANCIERO EN UN CONTEXTO

TRANSFRONTERIZO, comprende 5 procesos:
1. Proceso Global para la gestión del riesgo de clientes.
2. Proceso de evaluación y gestión del riesgo.
3. Proceso consolidado de políticas y procedimientos de prevención.
4. Proceso de intercambio de información dentro del grupo financiero.
5. Proceso de grupos financieros mixtos.

El proceso global para la gestión del riesgo de clientes implica consolidar la gestión del
riesgo mediante acciones de coordinación y la aplicación de políticas y procedimientos para
todo el grupo financiero, empleando un sistema robusto de intercambio de información,
aplicando para todo el grupo las reglas del país en el que tenga presencia donde el régimen
de prevención de Lavado de Dinero tenga el estándar más alto.

Proceso de evaluación y gestión del riesgo, implica que el banco debe tener en todo el
grupo financiero un conocimiento exhaustivo de sus riesgos de Lavado de Dinero, debiendo

Página 14 de 28

considerar sus riesgos relevantes para todas sus filiales, sucursales y actividades
subcontratadas.

Proceso consolidado de políticas y procedimientos de prevención de blanqueo de

capitales, requiere nombrar un Responsable Ejecutivo en la materia para todo el grupo
financiero, con la finalidad de crear, coordinar y evaluar a escala de grupo la aplicación de
una estrategia única de prevención de Lavado de Dinero, que permita:
• Dar seguimiento continuo al cumplimiento del régimen de prevención.
• Cerciorase personalmente, inclusive in situ del cumplimiento del régimen de
prevención.
• Estar facultado para ordenar o adoptar medidas preventivas y correctivas en
todo el grupo.

Proceso de intercambio de información dentro del grupo financiero implica la

obligación de filiales y sucursales de suministrar de forma proactiva a la oficina central
información sobre clientes y actividades de alto riesgo, identificando fácilmente si un mismo
cliente emplea iguales o diferentes productos o servicios en las distintas jurisdicciones y
sectores en que opere el grupo.

Proceso de grupos financieros mixtos que realizan operaciones de captación de

depósitos y concesión de préstamos, y además realizan operaciones con valores y
actividades de seguro, se debe ser capaz de vigilar e intercambiar información sobre la
identidad de los Clientes, sus transacciones y cuentas en todo el conjunto del grupo y sus
distintos sectores de negocio.

Sección III, SUPERVISORES, se debe de garantizar que los bancos apliquen una sólida
gestión de riesgos de Blanqueo de Capitales no sólo para proteger su seguridad y solvencia,
sino para salvaguardar al Sistema Financiero.

Para efectos de lo anterior, las autoridades supervisoras deben poder:

• Ofrecer directrices que permitan a los bancos diseñar sus políticas y
procedimientos de identificación de clientes.
• Adoptar un enfoque de riesgo para supervisar la gestión de riesgos de Lavado
de Dinero de los Bancos.
• Garantizar que sus auditores tienen acceso a todos los informes relevantes
durante el proceso de auditoría.
• No sólo auditar la calidad de las políticas y procedimientos en la materia, sino
la documentación de clientes y realizar muestreos de cuentas, transacciones,
informes y reporteo.
• En el contexto transfronterizo los supervisores del país de origen no deberán
tener trabas en las supervisiones in situ en las diferentes localidades donde
opera el grupo.

Página 15 de 28

3.3 Guía para la Elaboración de una Metodología de Evaluación de
Riesgos PLD/FT de la Comisión Nacional Bancaria y de Valores.
Las Disposiciones de Carácter General en materia de prevención de Lavado de Dinero para
instituciones de crédito señalan lo siguiente en relación con la metodología para llevar a
cabo una evaluación de Riesgos de Lavado de Dinero:

Capítulo II Bis, Enfoque Basado en Riesgo:

disposiciones 21-1 a 21-6.

21ª-1.- En el Manual de Cumplimiento o en algún otro documento, las Entidades, deben

establecer una metodología, diseñada e implementada, para llevar a cabo una
evaluación de Riesgos a los que se encuentran expuestas derivados de los productos,
servicios, prácticas o tecnologías con las que operan.

La metodología debe establecer procesos para la identificación, medición y mitigación

tomando en cuenta:
• Factores de Riesgo identificados.
• La Evaluación Nacional de Riesgos.

Tratándose de grupos financieros, se deben tomar en cuenta los resultados de la

metodología que hayan implementado las demás entidades que integren el grupo.

Antes del lanzamiento o uso de nuevos productos, servicios, prácticas o tecnologías, las
Entidades llevarán a cabo una evaluación de riesgo específica.

21ª-2.- Para el diseño de la metodología de evaluación de Riesgos deberán:

I. Considerar en su proceso de identificación, los indicadores que explican
cómo y en qué medida la Entidad se puede encontrar expuesta al Riesgo, considerando los
siguientes elementos:
1. Clientes y Usuarios,
2. Productos y servicios,
3. Países y áreas geográficas,
4. Transacciones y Canales de envío vinculados con las Operaciones de la Entidad,
con sus Clientes y con sus Usuarios, así como
5. La evaluación nacional de riesgos y sus actualizaciones.

II. Utilizar un método de medición de Riesgos que establezca una relación entre
los indicadores y el elemento al que pertenecen, asignando un peso a cada uno de
ellos de manera consistente y en función de su importancia para describir dichos Riesgos.

III. Establecer los Mitigantes que considere necesarios en función de los

indicadores, para mantenerlos en un nivel de tolerancia aceptable.

21ª-3.- Las Entidades deberán implementar la metodología diseñada y obtener los

resultados de esta, a fin de conocer los Riesgos a los que se encuentran expuestas.

En la implementación de la metodología de evaluación de Riesgos, deberán asegurarse de:

I. Que no existan inconsistencias entre la información que incorporen a ésta y la
que obre en sus sistemas automatizados.

Página 16 de 28

 II. Utilizar, al menos, la información correspondiente al total del número de
Clientes, número de operaciones y monto operado correspondiente a un periodo que no
podrá ser menor a doce meses.

Cuando, derivado de los resultados de la implementación se detecten mayores o nuevos

Riesgos, se deben modificar en el Manual de Cumplimiento las políticas, criterios, medidas
y procedimientos que correspondan; a fin de establecer los Mitigantes necesarios en
función de los Riesgos identificados y mantenerlos en un nivel de tolerancia aceptable.

Las modificaciones deberán estar claramente identificadas y señaladas, indicando al menos

el año y mes en que se hubieren obtenido los resultados de la implementación, estas
modificaciones deben realizarse en un plazo no mayor a 12 meses contados a partir de que
se cuente con los resultados de la implementación.

21ª-4.- El cumplimiento y resultados de la implementación de la metodología deberán ser

revisados y actualizados cuando:
• Se detecte la existencia de nuevos riesgos,
• Se actualice la evaluación nacional de riesgos,
• O en un plazo no mayor a 12 meses a partir de que la Entidad cuente con los
resultados de su implementación.

Las revisiones y actualizaciones deberán constar por escrito y estar a disposición de la

SHCP y la CNBV.

La CNBV podrá revisar y, en su caso, ordenar la modificación de la metodología de

evaluación de Riesgos o los Mitigantes, cuando considere indebida la administración
de Riesgos en el procedimiento y criterio(s) para la apertura, limitación o terminación de
una relación comercial con Clientes o Usuarios, así como solicitar un plan de acción para
que adopten medidas reforzadas para gestionar y mitigar sus Riesgos.

La información generada con motivo de la implementación de la metodología de evaluación

de Riesgos deberá conservarse durante un plazo no menor a 5 años.

21ª-5.- Las Entidades deben dar cumplimiento a todas las obligaciones de las
Disposiciones, conforme a los resultados que genere su metodología.

21ª-6.- Previa opinión de la SHCP, la CNBV elaborará lineamientos, guías y/o mejores
prácticas para el mejor cumplimiento en la implementación de la metodología de evaluación
de Riesgos.

3.3.1 Metodología para la evaluación de riesgos de la Comisión Nacional

Bancaria y de Valores.

La metodología y sus resultados de implementación deben ser presentados por el Oficial

de Cumplimiento al Comité de Comunicación y Control, éste a su vez los presentará al
Consejo de Administración o Administrador Único para su aprobación.

La metodología debe establecerse cumpliendo 3 fases:

I. Fase de Diseño: consiste en el desarrollo de 3 procesos:

Página 17 de 28

 a) Proceso de Identificación de los elementos de riesgo, considerando al menos
5 elementos de riesgo, con sus respectivos indicadores cualitativos o
cuantitativos:
1. Productos y servicios, con indicadores como:
• Las características propias de cada producto o servicio que
faciliten el Lavado de Dinero, tales como: i) las dificultades para
la identificación de clientes y usuarios, como anonimato o
dificultades de identificación de alguna persona involucrada en la
operación, ii) la manipulación de grandes volúmenes de recursos,
iii) productos de alto nivel de valor, y iv) productos o servicios que
facilitan la transferencia de valor.
2. Clientes y/o Usuarios, con indicadores que consideren:
• Si se trata de una persona física o moral, o de un fideicomiso.
• Edad, o fecha de constitución; así como su nacionalidad.
• Actividad económica, giro mercantil; o las listas de personas
bloqueadas.
3. Países y áreas geográficas, con indicadores que consideren:
• Países o jurisdicciones con: regímenes fiscales preferentes, no
cooperantes o con deficientes medidas antilavado, con un alto
nivel de corrupción, economía informal, delincuencia, y los
identificados por la entidad como de mayor Riesgo.
• Áreas nacionales de alto riesgo como: Incidencia delictiva, nivel
de marginación, lugares de frontera o con puertos de entrada y
salida internacionales, y las identificadas por la entidad como de
mayor Riesgo.
4. Transacciones y canales de envío vinculados a sus operaciones con
clientes y usuarios, que consideren indicadores como:
• Canales de envío no presenciales como cajeros o medios
electrónicos, canales con acceso inmediato a los recursos, canales
que permitan operaciones por montos altos.
• Instrumentos monetarios o medios de pago de riesgo, como efectivo,
divisas o tarjetas prepagadas.
• Frecuencia y monto de transacciones.
5. Evaluación Nacional de Riesgos y sus actualizaciones.

b) Proceso de Medición de los riesgos: con una metodología que establezca la

relación entre los indicadores de los elementos de riesgo, asignando un peso a cada
uno de ellos de manera consistente en función de su importancia para describir los
riesgos, donde:
1. El nivel y la complejidad del análisis deben ser proporcionales a la
naturaleza y alcance de la operación de la entidad.
2. La elección y adecuación del método incluya a la Alta Dirección, el Comité
de Comunicación y Control, el Oficial de Cumplimiento y las áreas operativas.
3. Considere rangos de calificación para cada indicador representando la
relación entre probabilidad de ocurrencia y el impacto:
• Probabilidad: improbable, posible, ocasional, moderado, constante.
• Impacto: insignificante, menor, crítico, mayor, catastrófico.

c) Proceso de determinación de Mitigantes: establecer los mitigantes necesarios

en función de los indicadores de los elementos de riesgo, para que los riesgos se

Página 18 de 28

 mantengan en un nivel de tolerancia aceptable de conformidad con el Manual de
Cumplimiento, los mitigantes obligatorios son:
1. Gobierno corporativo.
2. Administración de riesgos:
• A nivel macro con procedimientos para la alta dirección y
• A nivel micro para la administración del riesgo de productos,
servicios, clientes, usuarios, transacciones, y canales de envío.
3. Control interno:
• Auditoría anual, interna y/o externa.
4. Estructuras internas designando:
• Comité de Comunicación y Control.
• Oficial de Cumplimiento o Representante de Cumplimiento
5. Criterios, medidas, políticas y procedimientos, evaluando su idoneidad
para estimar su eficacia y eficiencia conforme a los indicadores.
6. Sistemas automatizados, para respaldar información y documentos de
clientes y usuarios, monitorear operaciones y perfiles transaccionales,
generar alertas y reportes.
7. Capacitación, conforme a un programa anual que incluya a todo el
personal.

II. Etapa de Implementación: poner en funcionamiento la metodología y que el

cumplimiento de obligaciones de prevención se realice conforme a la metodología.

III. Etapa de Valoración: revisar la eficiencia y eficacia de la metodología, al menos cada

12 meses, incluyendo la posibilidad de realizar actualizaciones o modificaciones al diseño,
cuando se incorporen o modifique productos, prácticas, tecnologías o servicios, los clientes
de mayor riesgo cierren o abran cuentas, la entidad se escinda o fusione.

Para efectos de lo anterior, la entidad debe contar con actividades permanentes de

monitoreo que consideren factores como:
• La detección o corrección de deficiencias de los procesos de administración del riesgo.
• El seguimiento del riesgo por cada indicador y el consolidado por elemento de riesgo.
• Señales de alerta descriptiva y prospectiva que indiquen potenciales fuentes de riesgo.

3.3.2 Clasificación por grado de riesgo de clientes y usuarios.

Para determinar el Grado de Riesgo en que deba ubicarse a los Clientes al inicio de la
relación comercial, se deberá considerar la información que sea proporcionada por estos al
momento del inicio de la relación comercial.

Se deben llevar a cabo, al menos, dos evaluaciones por año calendario, a fin de determinar
si resulta o no necesario modificar el Grado de Riesgo al inicialmente considerado.

En las Instituciones de Crédito:

• La frecuencia de la evaluación deberá ser mayor cuando la clasificación del Grado
de Riesgo también lo sea; y
• El Comité de Riesgos es el encargado de aprobar el modelo de clasificación y
hacerlo del conocimiento del Consejo de Administración.

Página 19 de 28

Por su relevancia, es necesario analizar cómo se realiza la clasificación por grado de
riesgo de clientes y usuarios, de acuerdo con el tipo de Entidad Financiera:

Las instituciones del bloque A son:

Organizaciones y actividades Auxiliares de Crédito, Casas de Bolsa, Asesores en inversión,
Entidades de Ahorro y Crédito Popular, Sociedades Cooperativas de Ahorro y Préstamo,
Fondos de Inversión, Uniones de Crédito, Financiera Nacional de Desarrollo Agropecuario,
Rural, Forestal y Pesquero

En el bloque A se clasifica a:
• Personas Físicas: Alto y Bajo
• Personas Morales o Fideicomisos: Alto, Medio y Bajo.

Considerando los siguientes criterios o factores de riesgo:

§ Antecedentes del cliente
§ Profesión
§ Actividad o giro del negocio
§ Origen y Destino de los recursos
§ Lugar de residencia
§ Metodología EBR

Las instituciones del bloque B son:

Banca múltiple y Banca de Desarrollo

En el Bloque B se clasifica obligatoriamente a:

• Personas Físicas, Morales o Fideicomisos: Alto, Bajo y cualquier otro nivel
Intermedio.

Considerando los siguientes criterios o factores de riesgo:

Características Inherentes
§ Tipo de Persona
§ Fecha de constitución
§ Giro o actividad
§ Ubicación geográfica
§ Productos y servicios
Características transaccionales
§ Volumen de la operación
§ Frecuencia de la operación
§ Número de contrapartes
§ Origen y destino de los recursos
§ Manejo de efectivo en la cuenta
§ Información sobre TFI en moneda extranjera

Las instituciones del bloque C son las Instituciones de Tecnología Financiera:

• Instituciones de financiamiento colectivo.
• Instituciones de fondos de pago electrónico.

En el Bloque C se clasifica opcionalmente a:

• Personas Físicas, Morales o Fideicomisos: Alto, Bajo y cualquier otro nivel
Intermedio.

Página 20 de 28

Considerando los siguientes criterios o factores de riesgo:
Características Inherentes
§ Tipo de persona
§ Fecha de nacimiento
o constitución
§ Giro o actividad
§ Antecedentes
§ Lugar de residencia
§ Nacionalidad
§ Fuentes de ingreso
§ Naturaleza y propósito
de la relación con la
ITF
Características transaccionales
§ Tipo y número de productos y servicios
contratados
§ Volumen en número y monto de operaciones
§ Frecuencia de operación
§ Número de contrapartes
§ Origen y destino de los recursos
§ Instrumento monetario
§ Tipo de moneda

3.3.3 Evaluación Nacional de Riesgos de México 2016 de Lavado de Dinero

(LD) y Financiamiento al Terrorismo (FT)
En 2013 la SHCP determinó realizar una Evaluación Nacional de Riesgos, la evaluación se
compone de 6 apartados:
1. Introducción
2. Metodología
3. Riesgos del lavado de dinero en México
4. Riesgos del Financiamiento al terrorismo en México
5. Riesgos del régimen de prevención y combate al LD/FT
6. Riesgos de los sujetos obligados al régimen de PLD/CFT
6. 1 Riesgos del Sistema Financiero Mexicano
6. 2 Riesgos de las Actividades Vulnerables no financieras

Apartado 2. La METODOLOGÍA establece que la Evaluación Nacional de Riesgos de

LD/FT debía tener:
a. Alcance nacional
b. Enfoque federal
c. Dimensión dual
d. Ser un ejercicio coordinado
e. Integrar al sector privado
f. Publicar los resultados

Se siguió una metodología mixta, de base sustancialmente práctica, revisando:

• Componentes institucionales, jurídicos y operativos relativos a la preparación-
ejecución-disfrute de bienes ilícitamente obtenidos.
• Prevención-detección-inteligencia-investigación-persecución de los delitos de
LD/FT

La evaluación debe ser objeto de actualización cada 3 años, realizando una nueva, que
integre los ajustes de los ejercicios anteriores y establezca las adecuaciones que resulten
necesarias para responder con efectividad a:
• La internacionalización de la criminalidad financiera,
• La evolución de los métodos delictivos y
• Los resultados de las estrategias públicas de prevención y combate contra el LD/FT.

Página 21 de 28

Apartado 3. RIESGOS DE LAVADO DE DINERO EN MÉXICO

1) Delincuencia organizada, impacto final ALTO.

2) Nivel de recursos ilícitos generados en el país, impacto final ALTO.
3) Percepción de corrupción, impacto final ALTO.
4) Certeza jurídica y percepción de impunidad, impacto final ALTO.
5) Uso de los puertos de entrada y salida internacional para mercancías y
pasajeros con fines ilícitos, impacto final MEDIO-ALTO.
6) Dimensión de la economía informal en México, impacto final MEDIO.
7) Dimensión del uso del efectivo en pesos impacto final BAJO-MEDIO.
8) Dimensión del uso del efectivo en dólares y otras divisas, impacto final BAJO.
9) Sistemas de pago, impacto final BAJO.

Apartado 4. RIESGOS DEL FINANCIAMIENTO AL TERRORISMO EN MÉXICO

1) Posición geográfica como rutas de migración de grupos terroristas internacionales

vulnerabilidad es ALTA.
2) Porosidad en la frontera, vulnerabilidad es ALTA.
3) Conocimiento y capacitación de los SO sobre indicadores específicos de FT,
vulnerabilidad es de nivel MEDIO.
4) Existencia de combatientes terroristas extranjeros, la amenaza es BAJA-
MEDIA.
5) Existencia de terroristas o grupos terroristas nacionales o implantación de
alguna célula terrorista internacional en el país, la amenaza es BAJA.
6) Generación de recursos para realizar algún acto terrorista o coadyuvar a su
realización, la amenaza es BAJA.
7) Posible abuso o utilización de organizaciones sin fines de lucro para facilitar
el FT, vulnerabilidad de nivel BAJO.

Apartado 5. RIESGOS DEL RÉGIMEN DE PREVENCIÓN Y COMBATE AL LD/FT EN

MÉXICO.

1) Efectividad en el proceso judicial en casos de Operaciones con Recursos de

Procedencia Ilícita (ORPI), vulnerabilidad ALTA.
2) Aplicación de medidas precautorias o abandono o extinción de dominio en
casos de ORPI y delitos precedentes, vulnerabilidad ALTA.
3) Número de investigaciones iniciadas de ORPI derivadas de delitos
precedentes, vulnerabilidad MEDIA-ALTA.
4) Sistemas de monitoreo y alertas, vulnerabilidad MEDIA.
5) Maduración en los modelos de evaluación de riesgo aplicados por los
supervisores en materia de PLD/CFT para la aplicación del Enfoque Basado
en Riesgo, vulnerabilidad MEDIA.
6) Obligatoriedad normativa de la elaboración de una evaluación de riesgos
integral por parte de las entidades del Sistema Financiero, vulnerabilidad
MEDIA.
7) Obligatoriedad normativa de la elaboración de una evaluación de riesgos
integral por parte sujetos obligados que realizan Actividades Vulnerables (AV),
vulnerabilidad MEDIA-ALTA.

Página 22 de 28

 8) El diseño del aviso 24 horas no cumple al 100% con lo requerido por el GAFI
para reportar una operación inusual por parte de entidades o de AV,
vulnerabilidad MEDIA.
9) Actualización en los registros sobre los accionistas y controladores, así como
cambios que se dan en éstos para las personas morales, vulnerabilidad
MEDIA.
10) Recursos humanos para realizar una supervisión efectiva en materia de PLD/
CFT, especialmente en las áreas enfocadas a la supervisión in situ,
vulnerabilidad MEDIA.

Apartado 6. RIESGOS DE LOS SUJETOS OBLIGADOS AL RÉGIMEN DE

PPREVENCIÓN DE LD/CFT,
En este apartado, el riesgo mostrado para cada sector no se refiere al grado de
utilización de sector para realizar operaciones de LD o FT, sino que denota su nivel
de susceptibilidad para que algún cliente o usuario quiera utilizarlo para realizar
dichas operaciones dadas las características de los productos y servicios ofrecidos, las
zonas geográficas de operación y los canales de distribución y de recepción de recursos.

La UIF elaboró cuestionarios para cada sector dentro del régimen de prevención de LD/CFT
con el fin de entender la manera en que el sector privado percibe los riesgos de poder ser
utilizados en la realización de operaciones de LD/FT, en febrero de 2016 se realizó el envío
de los cuestionarios, teniendo respuesta de 2,349 sujetos obligados de los sectores
financieros (76%) y de 8,308 sujetos obligados de las AV (14%).

Con las respuestas de dichos cuestionarios, recibidas de cada sector, se llevó a cabo el
Análisis de Percepción de Riesgo de los Sujetos Obligados.

Los resultados son los siguientes:

Fuente: ENR de FT/LD 2016.

3.3.4 Guía para la Prevención y Detección de Operaciones con Recursos de

Procedencia Ilícita en el Sistema Financiero Derivadas de Actos de
Corrupción.

La guía no tiene efectos vinculantes, por lo tanto, su grado de adopción no es objeto de

sanción.

Página 23 de 28

La guía tiene como objeto y finalidad, ayudar a facilitar la identificación de situaciones
que presentan un mayor Riesgo de Lavado de Dinero relacionado con la corrupción,
así como brindar elementos para mejorar la capacidad de gestionar dichos riesgos al
comprender los factores de Riesgo relacionados con operaciones derivadas de
relaciones comerciales con Personas Expuestas Políticamente (PEP) nacionales y
Personas Vulnerables.

La guía se compone de un apartado introductorio que hace referencia a los contextos

internacional y nacional; así como tres apartados sustantivos en los que:
• Se proponen medidas adicionales de identificación y conocimiento.
• Se exponen los factores de riesgo en la comisión de operaciones inusuales
derivadas de la corrupción.
• Se sugieren las bases de una política antisoborno.

El apartado introductorio, el contexto internacional hace referencia a 5 aspectos:

1. Los tratados internacionales:
• La Convención interamericana contra la corrupción o Convención de Caracas,
adoptada por los miembros de la Organización de Estados Americanos, en vigor
desde 1997.

• La Convención para combatir el cohecho de servidores públicos extranjeros en

transacciones comerciales internacionales o Convención Anti-cohecho, de la
Organización para la Cooperación y el Desarrollo Económicos, firmada en
1997, en vigor desde 1999.

• La Convención de las Naciones Unidas contra la Corrupción o Convención de

Mérida, adoptada en el año 2003, en vigor desde 2005, la cual promueve el uso de
la Inteligencia Financiera como herramienta para combatir la corrupción.

2. “Capítulo 27 Anticorrupción” del Tratado Comercial entre México, Estados Unidos

y Canadá, que México ratificó en 2019 y entró en vigor en 2020, en el cual las partes se
comprometen a aplicar efectivamente sus leyes anticorrupción, a coordinarse y cooperar
para combatir la corrupción, e incentivar la adopción de programas de cumplimiento
por parte del sector privado a través de las empresas de sus países, con un énfasis
especial en las PYMES.

3. Transparencia Internacional y sus 3 definiciones de corrupción:

• Corrupción a gran escala: actos cometidos en los niveles más altos del gobierno,
que distorsionan las políticas o funciones centrales del Estado, y que permiten a las
PEP beneficiarse a expensas del bien común.
• Actos de corrupción menores: abuso cotidiano de poder por PEP de bajo y
mediano rango al interactuar con ciudadanos comunes, quienes a menudo intentan
acceder a bienes y servicios básicos en ámbitos como hospitales, escuelas,
departamentos de policía y otros organismos.
• Corrupción política: manipulación de políticas, instituciones y normas de
procedimiento en la asignación de recursos y financiamiento por los responsables
de las decisiones políticas, quienes abusan de su posición para conservar su poder,
estatus y patrimonio.

Página 24 de 28

4. Recomendación 12 del Grupo de Acción Financiera Internacional, que requiere
sistemas apropiados de gestión de riesgos, para determinar si un Cliente o beneficiario final
(Propietario Real) es una PEP extranjera.

5. “Herramientas y prácticas de las UIF para investigar el lavado del producto de la

corrupción” emitidas por el Grupo Egmont en julio de 2019, que proporciona una serie de
indicadores asociados al lavado del producto de la corrupción; y enfatiza que la inteligencia
financiera resulta vital para detectar casos de corrupción e iniciar las acciones legales
correspondientes.

El contexto nacional, hace referencia a 4 temáticas:

1. Las Reformas constitucionales del 27 de mayo de 2015 en materia de combate a la

corrupción para:
• La creación del Sistema Nacional Anticorrupción (SNA) en el artículo 113
Constitucional;
• La facultad del Congreso para expedir leyes que establezcan las bases del SNA;
• Establecer las responsabilidades de los servidores públicos y los particulares
por actos de corrupción;
• Ampliar y fortalecer las facultades de fiscalización de la Auditoría Superior de la
Federación.

2. La publicación de 4 nuevas las leyes y la reforma de 3 más, para la operación del

SNA, haciendo énfasis en que:
• El Comité Coordinador del SNA se conforma por la SFP, la ASF, la Fiscalía
Especializada en Combate a la Corrupción, el Comité de Participación Ciudadana,
el TFJA, el INAI, así como el Consejo de la Judicatura Federal.

3. La Evaluación Nacional de Riesgos de Lavado de Dinero (ENR) 2016, la cual señala

que “La percepción de la corrupción es un elemento que pudiera vulnerar fuertemente
nuestro sistema de prevención y combate al Lavado de Dinero y Financiamiento al
Terrorismo, ya que constituye un facilitador para la comisión de delitos…”

4. El informe de la Evaluación Mutua de México emitido por el GAFI en enero de 2018,

el cual dentro de las acciones prioritarias incluye mejorar la comprensión de los Sujetos
Supervisados sobre los riesgos de Lavado de Dinero generados por la corrupción y
su capacidad de gestionar dichos riesgos, mediante:
• La profundización del análisis de corrupción como una amenaza de Lavado de
Dinero en la ENR;
• La solicitud a los Sujetos Supervisados para que determinen si el Propietario
Real es una PEP y apliquen controles conforme a la norma;
• La extensión de los requisitos sobre las PEP a las Actividades Vulnerables;
• La provisión de guías sobre la evaluación de la gestión de riesgos asociados
con las PEP nacionales.

Por lo anterior, el Apartado II, relativo a las medidas aplicables a las PEP nacionales y
personas vulnerables, con base en la Recomendación 1 del GAFI considera que, a
propósito del Enfoque Basado en Riesgo, como la esencia de las 40 Recomendaciones, en
el caso de las PEP nacionales resulta indispensable, en su caso, la aplicación de medidas
de debida diligencia reforzadas cuando las circunstancias lo requieren, por lo que:

Página 25 de 28

 • El enfoque del proceso de identificación y gestión de riesgos en el caso de las
PEP nacionales y Personas Vulnerables debe centrarse en la "corrupción a
gran escala", es decir, el cohecho, tráfico de influencia, peculado, enriquecimiento
ilícito, así como el financiamiento ilícito.
• Para clasificar a las PEP nacionales y Personas Vulnerables en algún grado de
riesgo, se deben tomar en cuenta sus características inherentes y transaccionales
de manera individual, de tal manera que no sean clasificadas automáticamente
como de alto o bajo riesgo.
• El Manual de Cumplimiento debe documentar las medidas de mitigación adicionales
para la gestión de los riesgos, derivados de las relaciones con Clientes o Usuarios
que sean considerados como PEP nacionales o Personas Vulnerables.
• Dado que la ENR establece que la percepción de la corrupción es considerada
como un riesgo nacional de alta probabilidad e impacto, en la metodología de
evaluación de los riesgos de Lavado de Dinero que realiza cada Sujeto
Supervisado, sería deseable contemplar los factores relacionados con actos
de corrupción dentro de la medición del riesgo de Lavado de Dinero a que se
encuentran expuestos.
• Adoptar dentro de los programas de capacitación o difusión dirigidos al menos a su
personal de las áreas de cumplimiento, el estudio de esta guía, para mejorar su
comprensión respecto de los Riesgos derivados de actos de corrupción.
• Establecer medidas adicionales de identificación y conocimiento, como:
o Solicitar copia de la declaración patrimonial y de intereses de los
servidores públicos más reciente y/o la declaración anual de impuestos
presentada ante el SAT.
o Cuando sean socios o accionistas de alguna empresa corroborar si
dicha empresa se encuentra en el listado de empresas con operaciones
presuntamente inexistentes que emite el SAT. O bien si, la empresa se
encuentra registrada en COMPRANET, o en el registro de proveedores
del Instituto Nacional Electoral o de los Organismos Públicos Locales.
o Aplicar un esquema de monitoreo para verificar que el perfil transaccional
se ubique dentro de parámetros más estrictos que para el resto de los
Clientes o Usuarios.

El Apartado III, referente a los factores de riesgo indicativos de una posible operación
inusual derivada de corrupción, la guía hace referencia a la búsqueda de información
en Fuentes Abiertas, como notas periodísticas y las redes sociales, donde se puedan
llegar a identificar comportamientos inadecuados, o conductas de consumo fuera del
alcance de la persona en cuestión dadas las funciones, responsabilidad y el nivel de
ingresos declarado.

Asimismo, se considera la pertinencia de tomar en cuenta como indicativos de una posible

operación inusual derivada de la corrupción los factores de Riesgo identificados por
organismos internacionales, tales como:

1. Ocultamiento de identidad, ya que las PEP saben que su identificación como PEP
puede facilitar la detección de algún eventual comportamiento ilícito, por lo que pueden
intentar:
• El uso de vehículos corporativos (personas morales, mandatos sin
representación y fideicomisos) sin una justificación comercial, legal o económica;
o bien, con una estructura compleja de varios niveles; así como la ubicación en
una o varias jurisdicciones extranjeras.

Página 26 de 28

 • El uso de intermediarios, tales como profesionales especializados en servicios
financieros y legales (“gatekeepers”), cuando no concuerda con las prácticas
comerciales normales o cuando parece que se usa para proteger la identidad de
la PEP.
• Uso de miembros de la familia, asociados cercanos o empleados como
“Propietarios Reales”.

2. Comportamiento atípico, como pudieran ser:

• Los sueldos y salarios que le paga el gobierno son dejados en su totalidad en
la cuenta de depósito o son transferidos en su totalidad a cuentas de inversión sin
ser utilizados para el pago de gasto alguno.
• Alto índice de uso de efectivo en depósitos y/o retiros sin una justificación.
• Incremento injustificado de los ingresos y patrimonio.
• Estilo de vida o cambios repentinos no acordes con su salario.
• Un Cliente, familiar o persona cercana de repente ejerce directamente o través de
terceros, actividades económicas a las que era ajeno hasta hacía poco tiempo.
• Adquiere, directamente o a través de familiares o círculo de amistades, bienes
muebles e inmuebles y los vuelve a negociar en un corto plazo.
• Realiza consultas sobre la política de prevención de Lavado de Dinero de la
institución o la política aplicable a las PEP.
• Parece incómodo o renuente para proporcionar información sobre la fuente de
riqueza u origen de los recursos.
• La información que proporciona es inconsistente con otra información públicamente
disponible, como declaraciones de activos y salarios oficiales publicados.
• No puede o es reacio a explicar la razón por la cual hace negocios en lugares
distintos a donde radica.
• Proporciona información inexacta o incompleta.
• Busca hacer uso de los servicios de un Sujeto Supervisado que normalmente no
atenderían a Clientes de alto nivel patrimonial.
• Los fondos se transfieren repetidamente hacia y desde países con los que el Cliente
o Usuario parece no estar relacionado.

3. Comportamientos atípicos en las cuentas de Dependencias, Entidades u Órganos

Públicos, como:
• Alto índice de retiros en efectivo sin una justificación aparente o durante
procesos electorales.
• Transferencias a personas físicas o morales sin que exista una razón aparente.
• Transferencias de fondos que tienen como justificación la asignación de un contrato,
pero se realizan hacia personas físicas o morales que operan en un giro distinto al
servicio contratado.
• Las facturas que justifican ciertas Operaciones por alto valor denotan que se
incorporan cargos injustificados, se cobran precios por arriba del precio de mercado,
la documentación presentada sobre el cumplimiento del contrato es muy simple o
no posee el nivel de detalle usual.

4. Operativas identificadas en casos recientes de corrupción en México, tales como:

• El uso de numerosas empresas fachada mexicanas y del extranjero, entre las
cuales coinciden dueños, prestanombres, representantes legales, comisarios y
notarios que avalaron su creación, y coinciden también direcciones fiscales y
empleados.

Página 27 de 28

 • Los recursos públicos son enviados a empresas por medio de contratos o sin ellos,
para la supuesta adquisición de bienes o prestación de servicios, los cuales nunca
se llevan a cabo.
• Los desvíos de recursos comúnmente cuentan con la complicidad de otro u otros
funcionarios públicos como tesorero, finanzas, recursos materiales, adquisiciones o
jurídico.
• Para la asignación de contratos, varias de las empresas fachada simulan competir
en los concursos de licitación por los contratos.
• Las empresas fachada, en sus actas constitutivas, declaran dedicarse a múltiples
actividades sin relación entre sí, desde el comercio de todo tipo de productos hasta
dar cursos de superación personal. Algunas se encuentran listadas por el SAT como
simuladoras de Operaciones (Artículo 69-B del Código Fiscal de la Federación).
• Recibidos los recursos del gobierno en alguna de las empresas fachada, inicia un
proceso complejo de triangulación entre la red de empresas fachada y algunas
personas físicas, sin que el destino de los recursos quede claro.
• Se realiza la dispersión de recursos a otros países, incluidos los de baja imposición
fiscal. Algunas de estas dispersiones son realizadas para la compra de bienes
inmuebles en otros países.
• Involucramiento de varios familiares para el manejo de los recursos en cuentas
bancarias.
• Desvío de recursos que debieron ser destinados a obra pública o a planes
asistenciales.

Finalmente, el Apartado IV, referente a la Política Antisoborno de los sujetos regulados,

sustenta la posibilidad de instaurar un Sistema de Gestión Antisoborno, tomando en
cuenta los riesgos de que sus empleados reciban sobornos por parte de un Cliente o
Usuario para realizar operaciones que pudieran contravenir, vulnerar o evadir la aplicación
de leyes financieras o las Disposiciones de Carácter General en materia de prevención de
Lavado de Dinero.

La implementación del Sistema de Gestión Antisoborno podrá observar lo siguiente:

• Identificar y evaluar sus riesgos de soborno, así como establecer controles efectivos.
• Habilitar canales anónimos de denuncia, para recibir, analizar, atender e investigar.
• Documentar los criterios, medidas y procedimientos internos para el establecimiento
y operación del Sistema de Gestión Antisoborno.
• Políticas de debida diligencia del Clientes PEP nacionales, Personas Vulnerables y
Fideicomisos públicos clasificados con alto Grado de Riesgo.
• Políticas de debida diligencia que apliquen los empleados que participan en la
identificación y determinación del tratamiento de los clientes.
• Políticas sobre regalos y hospitalidad, conflicto de intereses, donaciones, premios y
estímulos.

Página 28 de 28