Inicio » Marcos de Cumplimiento Personalizados en México | QMA Certeza » Cumplimiento PLD en México: controles y evidencia (LFPIORPI)

Hub México · PLD (LFPIORPI)

Cumplimiento PLD en México: controles y evidencia bajo la LFPIORPI

La Prevención de Lavado de Dinero (PLD) y de Financiamiento al Terrorismo en México descansa en la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI, o “Ley Antilavado”, 2013), su reglamento y las reglas de carácter general que emite la SHCP. La supervisión y recepción de Avisos corresponde al SAT y a la Unidad de Inteligencia Financiera (UIF). El régimen aplica a quienes realizan “Actividades Vulnerables”, no solo al sector financiero supervisado por la CNBV.

Detrás de cada obligación de PLD hay una exigencia operativa: identificar y conocer al cliente (KYC), integrar y resguardar expedientes con integridad, presentar Avisos en tiempo, conservar registros por años y mantener un manual de cumplimiento. Esa carga es documental, de control y de evidencia, y es donde un marco auditable marca la diferencia entre “decir que cumples” y poder demostrarlo.

Aquí es donde entra QMA. No somos tu oficial de cumplimiento PLD ni damos asesoría legal o regulatoria: vía marcos personalizados, mapeamos las obligaciones operativas de la LFPIORPI a un conjunto de controles auditables con evidencia continua, e integramos la seguridad de la información que protege esos datos sensibles. El cumplimiento formal de la ley sigue siendo responsabilidad del sujeto obligado.

LFPIORPI Actividades Vulnerables KYC y expedientes Avisos y resguardo

Solicitar diagnóstico inicial Conocer QMA Certeza

Qué es el PLD y a quién aplica

El PLD es el conjunto de medidas para prevenir e identificar operaciones con recursos de procedencia ilícita y de financiamiento al terrorismo. En México, el marco general lo fija la LFPIORPI, con su reglamento y reglas de carácter general emitidas por la SHCP. La autoridad recibe la información a través del portal del SAT y la analiza en coordinación con la UIF (según la LFPIORPI y la información oficial de la SHCP/SAT).

El concepto central es la “Actividad Vulnerable”: el artículo 17 de la LFPIORPI enumera actividades (inmobiliarias, juegos y sorteos, tarjetas y vales, blindaje, joyería y metales preciosos, vehículos, fe pública, servicios profesionales, donativos, comercio exterior, entre otras) que generan obligaciones de identificación y, según el caso, de Aviso al superar ciertos umbrales. Aplica a un universo amplio de empresas y profesionales, no solo a entidades financieras supervisadas por la CNBV.

El régimen ha sido reforzado: el decreto publicado en el DOF el 16 de julio de 2025 (vigente desde el 17 de julio de 2025) formalizó un enfoque basado en riesgos, incorporó la UMA como unidad de referencia para umbrales y reforzó obligaciones, entre ellas el tratamiento de Personas Políticamente Expuestas (PEP) y la extensión de la conservación de registros. Verifica con tu asesor legal y la normativa vigente qué fracciones y umbrales aplican a tu organización.

Obligaciones del PLD con dimensión de control y evidencia

Cada obligación de la LFPIORPI tiene una contraparte operativa que un marco de controles puede sostener, medir y auditar. Estas son las cuatro de mayor carga documental y de evidencia (alcance y umbrales exactos según la LFPIORPI, su reglamento y las reglas de carácter general aplicables a tu Actividad Vulnerable).

Identificación y conocimiento del cliente (KYC)

Identificar y, en su caso, conocer al cliente o usuario, verificar identidad y dueño beneficiario, y aplicar tratamiento reforzado a Personas Políticamente Expuestas. El control: procedimientos consistentes, verificación de datos y evidencia de cada paso.

Integración y resguardo de expedientes

Conformar el expediente único de identificación con la documentación soporte y resguardarlo con integridad y control de acceso. El control: trazabilidad de quién accede, versiones y protección frente a alteración o pérdida.

Presentación de Avisos en tiempo

Presentar Avisos al SAT por las operaciones que superen el umbral de Aviso, incluido el Aviso por operaciones inusuales o el de 24 horas ante indicios. El control: detección de umbrales, calendario (típicamente a más tardar el día 17 del mes siguiente) y evidencia del envío y acuse.

Conservación de registros

Conservar la documentación e información por el plazo de ley. Tras la reforma de 2025, el plazo se extendió a 10 años para operaciones realizadas desde el 17 de julio de 2025; las anteriores conservan su plazo previo. El control: retención, disponibilidad y recuperación verificable.

A esto se suman obligaciones transversales: contar con un manual y políticas de cumplimiento, designar al responsable, aplicar el enfoque basado en riesgos y mantener mecanismos de capacitación. Todas se traducen en controles documentables.

El ángulo QMA: mapear el PLD a controles auditables

Este es el núcleo de lo que hacemos. QMA no presenta tus Avisos ni interpreta la ley por ti; tomamos las obligaciones operativas del PLD y las convertimos, mediante un marco personalizado, en controles concretos con dueño, frecuencia y evidencia. El resultado es un marco auditable y continuo, no un binder que se arma una vez al año para la revisión.

De obligación a control

Cada obligación operativa (KYC, expediente, Aviso, retención) se descompone en controles con responsable, periodicidad y la evidencia esperada. Lo que la ley exige hacer se vuelve algo que se ejecuta y se demuestra.

Integridad y acceso a datos sensibles

Los expedientes KYC contienen datos personales y financieros. Mapeamos controles de control de acceso, segregación de funciones, cifrado y registro de actividad para protegerlos, alineados con seguridad de la información.

Trazabilidad de Avisos y operaciones

Definimos controles para detectar umbrales, generar el Aviso, conservar acuses y dejar registro de quién hizo qué y cuándo, de modo que la cadena de evidencia quede completa.

Enfoque basado en riesgos

Estructuramos la documentación del análisis de riesgos y su mitigación como controles medibles, en línea con el enfoque basado en riesgos que reforzó la reforma de 2025.

Este enfoque se construye sobre nuestra capacidad general de marcos personalizados: ahí explicamos cómo diseñamos marcos de controles a medida. Esta página es la aplicación específica de esa capacidad al régimen PLD.

Integrado con ISO 27001: la seguridad que protege los datos PLD

El PLD genera y resguarda información altamente sensible: identificación de clientes, dueños beneficiarios, montos, Avisos. Proteger esos datos no es opcional, y es justo el terreno de la seguridad de la información. Por eso el marco PLD que construimos se solapa de forma natural con ISO 27001: los controles de seguridad sostienen las obligaciones de resguardo, integridad y disponibilidad que el PLD exige.

Obligación operativa del PLDControl de seguridad de la información (ISO 27001)
Resguardo de expedientes KYC con integridadControl de acceso, gestión de identidades y registro de actividad sobre los repositorios de expedientes
Protección de datos personales y financieros del clienteClasificación de información, cifrado y manejo seguro de datos sensibles
Conservación de registros por el plazo de leyPolíticas de retención, respaldo y recuperación verificable de la información
Trazabilidad de Avisos y operacionesRegistro de eventos (logging), no repudio y monitoreo de actividad
Segregación de funciones en el proceso de cumplimientoGestión de roles y privilegios mínimos sobre sistemas y datos

Trabajar PLD e ISO 27001 en un mismo marco evita duplicar esfuerzo: un control bien diseñado puede satisfacer la dimensión de seguridad de varias obligaciones de PLD a la vez. Si gestionas además otros regímenes, nuestra práctica de gobernanza, riesgo y cumplimiento (GRC) consolida todo en una sola vista.

Evidencia continua con QMA Certeza

El reto del PLD no es solo cumplir una vez, sino poder demostrarlo en cualquier momento ante una revisión. La evidencia “de última hora” es frágil y costosa. Con QMA Certeza, los controles del marco PLD se monitorean de forma continua y la evidencia se recolecta a lo largo del año, no en una carrera previa a la auditoría.

  • Estado de cada control PLD visible en tiempo, no solo en la fecha de revisión.
  • Evidencia recolectada de forma continua y vinculada a la obligación que respalda.
  • Alertas cuando un control se desvía (por ejemplo, un expediente sin documentación soporte).
  • Reportes listos para tu área de cumplimiento o para una revisión de autoridad.
  • Una sola fuente de verdad cuando PLD convive con ISO 27001 u otros marcos.

Conoce cómo funciona la evidencia continua en QMA Certeza. Recuerda: la plataforma sostiene la evidencia y el control; la presentación de Avisos y el cumplimiento formal de la LFPIORPI siguen a cargo del sujeto obligado.

Cómo te acompaña QMA

Nuestro rol es claro y acotado: convertir tus obligaciones de PLD en un marco de controles que puedas operar y demostrar. Así se ve el acompañamiento, paso a paso.

  • Diagnóstico inicial sin costo para entender tu Actividad Vulnerable y tu situación actual.
  • Mapeo de las obligaciones operativas del PLD a controles auditables, con dueño y frecuencia.
  • Diseño del marco personalizado integrando la seguridad de la información (ISO 27001).
  • Implementación de la evidencia continua sobre QMA Certeza.
  • Acompañamiento para que tu área de cumplimiento mantenga el marco vivo y listo para revisión.

QMA no es despacho legal ni oficial de cumplimiento, y no sustituye a tu asesor regulatorio. Aportamos el marco de controles y la evidencia; las decisiones legales y la relación con la autoridad las conserva tu organización.

Preguntas frecuentes

¿QMA presenta mis Avisos o actúa como mi oficial de cumplimiento PLD?

No. La presentación de Avisos al SAT y el cumplimiento formal de la LFPIORPI son responsabilidad del sujeto obligado y de su área u oficial de cumplimiento. QMA no es despacho legal ni oficial de cumplimiento: mapeamos tus obligaciones operativas a controles auditables y sostenemos la evidencia que las respalda.

¿Qué controles y evidencia exige en la práctica el PLD?

En términos operativos, el PLD se sostiene en controles de identificación y conocimiento del cliente (KYC), integración y resguardo de expedientes, detección de umbrales y presentación de Avisos, conservación de registros y un manual de cumplimiento con enfoque basado en riesgos. Cada uno debe poder demostrarse con evidencia: documentos, acuses, registros de acceso y trazabilidad. QMA convierte esas exigencias en controles con dueño, frecuencia y evidencia esperada.

¿Cómo aseguro la integridad y el control de acceso de los expedientes KYC?

Los expedientes KYC contienen datos personales y financieros sensibles. Su protección se logra con controles de seguridad de la información: control de acceso por roles, segregación de funciones, cifrado, respaldo y registro de actividad sobre los repositorios. Estos controles coinciden con ISO 27001, por lo que el marco PLD que diseñamos los integra para proteger los datos y, a la vez, generar evidencia de esa protección.

¿Cuánto tiempo debo conservar los registros de PLD?

La conservación de registros es una obligación de la LFPIORPI. Con la reforma publicada en el DOF el 16 de julio de 2025 (vigente desde el 17 de julio de 2025), el plazo se extendió a 10 años para las operaciones realizadas a partir de esa fecha; las operaciones anteriores mantienen el plazo previo (generalmente 5 años). Confirma el plazo aplicable a tu caso con tu asesor legal. QMA aporta los controles de retención, disponibilidad y recuperación verificable.

¿El marco PLD se integra con ISO 27001?

Sí, y es una de sus mayores ventajas. La seguridad de la información que protege los datos del PLD (acceso, integridad, retención, trazabilidad) es justo el terreno de ISO 27001. Diseñamos el marco para que un control de seguridad satisfaga la dimensión de protección de varias obligaciones de PLD a la vez, evitando duplicar esfuerzo.

¿El PLD aplica a actividades vulnerables no financieras?

Sí. La LFPIORPI aplica a quienes realizan “Actividades Vulnerables” del artículo 17, que incluyen sectores no financieros como inmobiliarias, joyería y metales preciosos, vehículos, servicios profesionales, fe pública, juegos y sorteos, donativos y comercio exterior, entre otros. No se limita a las entidades financieras supervisadas por la CNBV. Verifica si tu giro encuadra en alguna fracción y qué umbrales le aplican.

¿Esto sustituye a mi asesor legal o regulatorio?

No. QMA no da asesoría legal, fiscal ni regulatoria, y no sustituye a tu asesor ni a tu área de cumplimiento. Nuestro alcance es exclusivamente el marco de controles y la evidencia. La interpretación de la ley, la presentación de Avisos y la relación con la autoridad las conserva tu organización.

¿Cómo demuestro cumplimiento continuo y no solo en la fecha de revisión?

Con evidencia continua. En lugar de armar la documentación justo antes de una revisión, los controles del marco PLD se monitorean a lo largo del año y la evidencia se recolecta de forma sostenida sobre QMA Certeza. Así el estado de cumplimiento es visible en cualquier momento y los reportes están listos para tu área de cumplimiento o para la autoridad.

Solicitar diagnóstico inicial

Scroll al inicio