¿Qué es el EBR (Enfoque Basado en Riesgos)? Guía PLD

por | Jul 7, 2026 | Blog

ArmorAML® Solución Integral de Prevención de Lavado de Dinero.

¿Qué es el EBR (Enfoque Basado en Riesgos)?

El Enfoque Basado en Riesgos (EBR) es la metodología técnico-normativa obligatoria en México que exige a los sujetos obligados identificar, evaluar, medir y mitigar sus riesgos específicos en materia de Lavado de Dinero y Financiamiento al Terrorismo (LD/FT). A diferencia de los modelos estáticos, el EBR obliga a las instituciones financieras, Fintechs (ITFs) y actividades vulnerables a estructurar una Metodología de Evaluación de Riesgos interna que determine la probabilidad y el impacto de que sus operaciones sean utilizadas con fines ilícitos, asignando recursos de cumplimiento de manera proporcional a los niveles de riesgo detectados.

Objetivo Regulatorio del Enfoque Basado en Riesgos (EBR)

El objetivo normativo primordial del EBR es conocer el grado de exposición real al riesgo de una Entidad a que se pueda llegar a realizar una operación de LD o FT dado el tipo de operación que maneja. Bajo la estricta óptica de la Comisión Nacional Bancaria y de Valores (CNBV), es fundamental aclarar que el EBR no tiene como objetivo conocer el impacto financiero sobre la Entidad cuando se presente una operación ilícita (lo cual corresponde al Riesgo Operativo), ni tampoco cuantificar el impacto financiero de las multas potenciales en caso de incumplimiento del marco legal (asociado al Riesgo Legal). El EBR busca salvaguardar la integridad de la institución mapeando sus operaciones frente a las amenazas del entorno táctico mexicano.

Diferencia entre Enfoque Basado en Riesgos (EBR) y Enfoque de Cumplimiento Tradicional

El cumplimiento normativo tradicional operaba bajo un modelo reactivo de «lista de verificación» o checklist. Las organizaciones se limitaban a cumplir formalmente con la recopilación de documentos de identidad, sin analizar si el comportamiento transaccional del cliente guardaba relación con su perfil económico.

El EBR transforma este paradigma. Bajo esta metodología proactiva, los recursos de la empresa se optimizan: se aplican medidas de Debida Diligencia Simplificada a clientes de bajo riesgo y Medidas de Debida Diligencia Mejorada (o reforzada) a cuentas que presentan alertas de alto riesgo. Esto evita el cuello de botella operativo y blinda legalmente a los representantes legales y directores generales ante la responsabilidad penal corporativa.

CriterioCumplimiento Tradicional (Checklist)Enfoque Basado en Riesgos (EBR)
Naturaleza operativaReactiva, estática y basada en reglas fijas.Proactiva, dinámica y basada en el riesgo real.
Asignación de recursosHomogénea; el mismo esfuerzo para todo tipo de clientes.Proporcional; mayores recursos a zonas de alto riesgo.
FlexibilidadRigidez absoluta, propensa a generar falsos positivos masivos.Adaptable al modelo de negocio y nuevos productos del sujeto obligado.
Relación con la autoridadCumplimiento formal en papel (fácilmente sancionable en auditorías).Demostración técnica del gobierno corporativo y mitigantes aplicados.
AutomatizaciónProcesos manuales en hojas de cálculo y expedientes físicos.Integración de sistemas RegTech con alertas en tiempo real.

Los 4 factores de riesgo esenciales del EBR según la CNBV

Para construir una Matriz de Riesgo que resista las inspecciones de la Comisión Nacional Bancaria y de Valores (CNBV) o el SAT, es indispensable segmentar la operación a través de los cuatro factores de riesgo que la autoridad mexicana exige evaluar de manera pormenorizada:

  • Clientes o Usuarios: Análisis exhaustivo del perfil transaccional, antecedentes, actividad económica, origen de los fondos y su condición de Persona Políticamente Expuesta (PPE) o inclusión en listas negras oficiales.
  • Países o Áreas Geográficas: Identificación de riesgos basados en la ubicación del cliente, el destino de los fondos y las zonas geográficas donde opera la institución, considerando jurisdicciones catalogadas por el GAFI con deficiencias estratégicas o estados de la República Mexicana con altos índices de delincuencia organizada.
  • Productos o Servicios: Evaluación del nivel de vulnerabilidad inherente a los productos financieros o comerciales ofrecidos. Por ejemplo, las transferencias internacionales masivas o los créditos de liquidación inmediata conllevan un riesgo intrínseco mayor que las cuentas de ahorro con límites de depósito bajos.
  • Canales de Envío o Transacciones: Fiscalización del método de distribución o infraestructura tecnológica utilizada para originar la relación comercial. El uso de canales no presenciales (onboarding digital) o el manejo de efectivo incrementan drásticamente la probabilidad de fraude e infiltración de recursos ilícitos si no se cuenta con biometría avanzada.

Clasificación por Grado de Riesgo para Clientes y Usuarios (Bloques A, B y C)

La normativa mexicana establece lineamientos específicos para la estratificación de los clientes y usuarios según el tipo de entidad financiera, organizándolas regulatoria y metodológicamente en tres grandes bloques:

Bloque A (Organizaciones Auxiliares, Casas de Bolsa, Fondos, entre otros)

Aplica a organizaciones y actividades auxiliares de crédito, casas de bolsa, asesores en inversión, entidades de ahorro y crédito popular, Sociedades Cooperativas de Ahorro y Préstamo (SOCAP), uniones de crédito y fondos de inversión. Para personas físicas, sus grados de riesgo permitidos se limitan rigurosamente a Alto y Bajo. Para personas morales o fideicomisos, la escala abarca los niveles Alto, Medio y Bajo. Sus factores de riesgo básicos incluyen antecedentes, profesión, actividad o giro del negocio, origen/destino de recursos y lugar de residencia.

Bloque B (Instituciones de Crédito)

Corresponde a la Banca Múltiple y la Banca de Desarrollo (alineadas al Anexo 3). Tienen la obligación estricta de clasificar a todos sus clientes en los niveles Alto, Bajo y cualquier otro nivel intermedio obligatorio que determine su metodología EBR. Sus criterios consideran características inherentes (tipo de persona, giro, ubicación) y transaccionales complejas (volumen, frecuencia, número de contrapartes, manejo de efectivo, e información sobre transferencias de fondos internacionales en moneda extranjera).

Bloque C (Instituciones de Tecnología Financiera – ITF)

Aplica de forma directa al sector Fintech (instituciones de financiamiento colectivo e instituciones de fondos de pago electrónico). El marco regulatorio les impone una estructura de clasificación de grados de riesgo integrada por los niveles Alto, Medio, Bajo y cualquier otro nivel intermedio que de forma opcional deseen incorporar. Sus factores combinan datos inherentes (fuentes de ingreso, naturaleza de la relación con la ITF) y analítica transaccional avanzada sobre el tipo de activos virtuales o monedas utilizadas.

Evaluación Nacional de Riesgos (ENR) de México

La Evaluación Nacional de Riesgos (ENR) es el esfuerzo organizado y sistemático del Estado mexicano para lograr la identificación, evaluación y entendimiento homogéneo de los riesgos que implican la comisión de los delitos de LD, FT y el Financiamiento a la Proliferación de Armas de Destrucción Masiva (FPADM). Su objetivo central es desarrollar e implementar un régimen eficiente y eficaz de prevención y combate (PLD/CFT/FPADM) a nivel país.

Para determinar los niveles de riesgo nacionales, la ENR formula ecuaciones de probabilidad e impacto combinando variables clave:

  1. Amenaza: Persona, grupo de personas, objeto o actividad con potencial de dañar al régimen económico o social.
  2. Vulnerabilidad: Cosas o debilidades regulatorias y operativas que pueden ser explotadas por la amenaza, o que pueden sustentar o facilitar sus actividades ilícitas.
  3. Consecuencia: El impacto o daño directo que el lavado de dinero o el financiamiento al terrorismo puede causar a la nación.
  4. Probabilidad: Se determina emitiendo un juicio de valor respecto de la información recabada y analizada sobre las amenazas y vulnerabilidades identificadas, considerando qué tan susceptible es cada factor de ser un facilitador o generador de operaciones ilícitas. Los mitigantes aplicados ayudan a reducir este nivel de ocurrencia.
  5. Impacto: Para los factores de LD se mide considerando las consecuencias directas de su uso como facilitador; para las vulnerabilidades del régimen se mide en función al grado en el que afectan la efectividad general del sistema de prevención.

Dentro de la ENR se catalogan los siguientes tipos de riesgo país:

  • Riesgos de Lavado de Dinero: Dominado por amenazas como la delincuencia organizada, la percepción de corrupción, los recursos ilícitos generados, el uso de efectivo en pesos, la economía informal, y la falta de certeza jurídica o percepción de impunidad.
  • Riesgos de Financiamiento al Terrorismo: Enfocado en vulnerabilidades geográficas, la porosidad en las fronteras, la falta de conocimiento y capacitación de los sujetos obligados sobre indicadores de FT, y el abuso potencial de organizaciones sin fines de lucro.
  • Riesgos del Régimen de Prevención y Combate: Mapea deficiencias sistémicas como la falta de efectividad en procesos judiciales, bajo número de investigaciones, falta de actualización de registros de accionistas y controladores de personas morales, o deficiencias en sistemas de monitoreo de los supervisores y sujetos obligados.
  • Riesgos de los Sujetos Obligados al Régimen de PLD/CFT: Clasificación formal de los sectores conforme al impacto de sus vulnerabilidades y su riesgo final asignado por las autoridades:

Riesgo de los sujetos obligados en Sectores Financieros (UIF/CNBV)

Sector FinancieroRiesgo Final Asignado
Banca Múltiple G-7, Casas de Bolsa, Casas de Cambio, Banca Múltiple – ComercialRiesgo ALTO
Banca Múltiple – Inversión, Centros Cambiarios, Transmisores de Dinero, Uniones de CréditoRiesgo MEDIO-ALTO
Banca de Desarrollo, Sociedades Cooperativas de Ahorro y Préstamo (SOCAP), Sociedades Financieras Populares (SOFIPO), Sociedades Operadoras de Sociedades de InversiónRiesgo MEDIO
Aseguradoras, AFORES, Sociedades Distribuidoras de Acciones de Sociedades de Inversión, Fianzas, SOFOMES No Reguladas, Almacenes Generales de Depósito, SOFOMES ReguladasRiesgo BAJO-MEDIO

Riesgo de los sujetos obligados en Actividades Vulnerables (UIF/SAT)

Sector de Actividad VulnerableRiesgo Final Asignado
Compra y Venta de Vehículos, Mutuo / Préstamo o Crédito, Transmisión de Derechos Sobre InmueblesRiesgo ALTO
Juegos y Sorteos, Tarjetas de Servicio y Crédito, Metales / Piedras / Joyas y Relojes, Obras de ArteRiesgo MEDIO
Fe Pública, Arrendamiento de Inmuebles, Tarjetas Prepagadas, Traslado y Custodia de Valores, Recepción de Donativos, Servicios Profesionales, Tarjetas de Devolución y Recompensas, Servicios de BlindajeRiesgo BAJO-MEDIO

Fases críticas para implementar el EBR en la prevención de lavado de dinero

La implementación técnica y el ciclo de vida del EBR dentro de cualquier organización se rige de forma estricta por tres fases críticas interconectadas que deben documentarse minuciosamente dentro del Manual de Cumplimiento:

I. Fase de Diseño

El diseño de la metodología debe estar plenamente establecido en el Manual de Cumplimiento u otro documento oficial de la entidad. Debe detallar y describir con precisión matemática y analítica todos los procesos internos para:

  1. Identificar: Definir los elementos e indicadores específicos de la entidad que explican cómo y en qué medida está expuesta al riesgo de LD/FT, abarcando el total de sus productos, servicios, clientes, geografías y canales de envío.
  2. Medir: Utilizar un método que establezca una relación clara entre los indicadores y el elemento al que pertenecen, asignando un peso específico en función de su nivel de importancia e impacto para describir los riesgos de la entidad.
  3. Mitigar: Identificar las políticas, criterios, medidas y procedimientos internos de control implementados, evaluando su aplicación efectiva a fin de establecer técnicamente el efecto reductor que tendrán sobre los factores de riesgo de la institución.

II. Fase de la Implementación

Las entidades deben ejecutar la metodología diseñada para obtener los resultados analíticos que revelen los riesgos reales a los que están expuestas. Durante la fase de implementación, los representantes legales y Oficiales de Cumplimiento deben asegurar dos condiciones regulatorias obligatorias:

  • Que no existan inconsistencias operativas entre la información incorporada a la metodología y la que obra de manera real en sus sistemas automatizados.
  • Utilizar, de forma obligatoria, la información correspondiente al total del número de clientes, número de operaciones y monto operado correspondiente a un periodo retrospectivo que no podrá ser menor a 12 meses.

Si la implementación detecta la existencia de mayores o nuevos riesgos, la entidad cuenta con un plazo improrrogable no mayor a 12 meses para modificar sus políticas corporativas y establecer los mitigantes necesarios para devolver el riesgo a un nivel de tolerancia aceptable.

III. Fase de Valoración

Los resultados de la implementación de la metodología no son estáticos. Deben ser revisados, valorados y actualizados formalmente en un plazo no mayor a 12 meses, o bien, cuando se detecte la existencia de nuevos riesgos significativos o cuando se actualice la Evaluación Nacional de Riesgos de México. Adicionalmente, las entidades financieras tienen la obligación de llevar a cabo, al menos, dos evaluaciones por año calendario sobre sus clientes a fin de actualizar su Grado de Riesgo individual (en el caso de Instituciones de Crédito, esta reevaluación del modelo debe ejecutarse al menos cada seis meses). Toda la información y trazabilidad generada en este capítulo debe conservarse obligatoriamente durante un plazo no menor a 5 años.

El papel del Oficial de Cumplimiento en el diseño del Enfoque Basado en Riesgos

El Oficial de Cumplimiento (OC) es el líder técnico y responsable legal directo de la integridad del EBR dentro de la organización. Lejos de ser un rol administrativo, sus facultades normativas le exigen comparecer como el diseñador principal de la metodología y el encargado de vigilar su correcto funcionamiento e inmunidad frente a auditorías de la CNBV o el SAT.

Bajo el marco regulatorio corporativo, el Oficial de Cumplimiento tiene la obligación de presentar para aprobación del Comité de Comunicación y Control (CCC) el diseño detallado de la metodología, así como los resultados numéricos de su implementación. Posteriormente, el CCC será el órgano encargado de presentar ante el Consejo de Administración o Directivo de la entidad dichos resultados para formalizar el gobierno corporativo de cumplimiento. En el caso específico de las Instituciones de Crédito, se establece la obligación estricta de que sea el Comité de Riesgos de la entidad el encargado de aprobar dicho modelo, asegurando que las decisiones de mitigación estén alineadas al apetito de riesgo del negocio.

¿Cómo ayuda un software de PLD en el EBR?

Calcular el Enfoque Basado en Riesgos en hojas de cálculo tradicionales es una práctica obsoleta que incrementa el riesgo de multas de la CNBV y procesos de inhabilitación corporativa. Las limitaciones de los procesos manuales impiden un análisis correlacional en tiempo real, lo que permite que las operaciones inusuales pasen desapercibidas para el equipo de cumplimiento.

Un software de prevención de lavado de dinero con EBR automatiza por completo el ciclo de vida del Enfoque Basado en Riesgos mediante las siguientes capacidades críticas:

  • Matriz Dinámica en Tiempo Real: Reclasifica automáticamente el nivel de riesgo de un cliente si su comportamiento transaccional se desvía de su perfil declarado o si aparece en una lista de sanciones internacional.
  • Mitigación del Error Humano: Elimina la captura manual de datos y la ponderación subjetiva de riesgos, aplicando algoritmos consistentes y auditables.
  • Generación de Alertas Inteligentes: Envía notificaciones de forma inmediata cuando se detecta una operación que supera los umbrales de riesgo configurados, permitiendo congelar operaciones y dictaminar reportes de operaciones inusuales en los plazos legales rigurosos.
  • Trazabilidad Absoluta: Almacena logs de auditoría inalterables que demuestran a los inspectores de la autoridad el proceso exacto de evaluación que se ejecutó para cada cuenta.

Conclusión

El Enfoque Basado en Riesgos (EBR) constituye la columna vertebral de la prevención de lavado de dinero en el entorno corporativo y financiero de México. Ignorar su complejidad técnica, clasificar de forma errónea los grados de riesgo de los clientes o desatender los mandatos de la Evaluación Nacional de Riesgos expone a directores generales y oficiales de cumplimiento a graves responsabilidades penales y pérdidas reputacionales irreparables.

ArmorAML® es la solución tecnológica integral RegTech diseñada específicamente para automatizar, gestionar y optimizar tu Enfoque Basado en Riesgos bajo los más estrictos estándares de la CNBV y el SAT. Nuestro software especializado estructura matrices de riesgo robustas para los Bloques A, B y C, procesa perfiles transaccionales complejos en tiempo real de forma masiva y garantiza que tu organización supere con éxito las auditorías más rigurosas. Protege a tu empresa de la responsabilidad penal corporativa, elimina la ineficiencia de los procesos manuales y asegura la continuidad de tu pipeline comercial con el respaldo y la consultoría estratégica avanzada de los expertos de ArmorAML®.

Preguntas Frecuentes (FAQs)

¿Qué es el EBR (Enfoque Basado en Riesgos)?

Es la metodología técnico-normativa obligatoria en México que exige a los sujetos obligados identificar, evaluar, medir y mitigar sus riesgos específicos de lavado de dinero y financiamiento al terrorismo.

¿Cuál es el objetivo regulatorio del Enfoque Basado en Riesgos (EBR)?

Su objetivo es conocer el grado de exposición al riesgo de una Entidad a que se pueda llegar a realizar una operación de LD o FT dado el tipo de operación que maneja, sin confundirse con el riesgo operativo o legal.

¿Cuál es la diferencia entre Enfoque Basado en Riesgos (EBR) y Enfoque de Cumplimiento Tradicional?

El cumplimiento tradicional es reactivo y se limita a una lista de verificación física, mientras que el EBR es proactivo, dinámico y asigna recursos de mitigación de forma proporcional al nivel de riesgo real detectado.

¿Cuáles son los 4 factores de riesgo esenciales del EBR según la CNBV?

Los cuatro factores esenciales determinados por la autoridad que deben evaluarse obligatoriamente son: Productos y Servicios, Cliente y/o Usuario, Países y Áreas Geográficas, y Transacciones y Canales de Envío o Distribución.

¿Cómo se divide la Clasificación por Grado de Riesgo para Clientes y Usuarios (Bloques A, B y C)?

Se divide según el tipo de entidad financiera: el Bloque A maneja niveles Alto/Bajo o Alto/Medio/Bajo; el Bloque B (Banca) exige Alto/Bajo y niveles intermedios obligatorios; y el Bloque C (Fintech/ITF) aplica niveles Alto/Medio/Bajo e intermedios opcionales.

¿Qué es la Evaluación Nacional de Riesgos (ENR) de México?

Es el esfuerzo organizado y sistemático del Estado para identificar, evaluar y entender homogéneamente los riesgos país de LD/FT/FPADM a fin de estructurar un régimen de prevención eficiente y eficaz.

¿Cuáles son las fases críticas para implementar el EBR en la prevención de lavado de dinero?

La metodología se rige estrictamente por tres fases consecutivas que deben integrarse en el Manual de Cumplimiento: Fase de Diseño, Fase de Implementación y Fase de Valoración.

¿Cuál es el papel del Oficial de Cumplimiento en el diseño del Enfoque Basado en Riesgos?

Es el responsable de diseñar la metodología, ejecutar su implementación y presentar los resultados para aprobación del Comité de Comunicación y Control (o Comité de Riesgos), defendiendo técnicamente el modelo ante la CNBV.

¿Cómo ayuda la tecnología (RegTech) en el EBR?

La tecnología RegTech automatiza la matriz de riesgos en tiempo real, elimina los errores de los procesos manuales en Excel, sincroniza datos sin inconsistencias, monitorea perfiles transaccionales y resguarda la información por los 5 años obligatorios.

Fuente:

Comisión Nacional Bancaria y de Valores [CNBV] & Barajas Fuentes, Z. (2026). 3. Conocimientos en Auditoría, Supervisor y Enfoque Basado en Riesgos en PLD/FT: 3.3 EBR (Contexto Nacional). Gobierno de México

¿Que es el PUI? - Plataforma única de identidad

ArmorAML® Solución Integral de Prevención de Lavado de Dinero

Suscríbete para recibir el mejor contenido relevante para PLD

Sistema de Prevencion de Lavado de Dinero_ Logo ARMOR
Resumen de privacidad

Consulta el aviso de privacidad aquí