Outsourcing PLD para SOFOMs en México 2026: cuándo conviene tercerizar, qué funciones puedes externalizar (y cuáles no), y las 5 preguntas que debes hacerle a cualquier proveedor antes de firmar
Outsourcing PLD para SOFOMs en México: cuándo conviene tercerizar
La pregunta no es si tu mesa de Prevención de Lavado de Dinero (PLD) está saturada. Si tienes más de 200 alertas Tier-1 al mes y un solo analista dictaminando, ya lo está. La pregunta es si la solución es contratar un segundo analista, comprar más software, o tercerizar la operación PLD a un proveedor externo que se haga cargo del trabajo diario y entregue expediente listo para CNBV.
Este artículo separa lo que la LFPIORPI permite outsourcing de lo que no. Explica la economía real del modelo (con cifras de costo internas vs. tercerizadas para una SOFOM con ~600 alertas/mes), describe en qué escenarios el outsourcing es la jugada correcta y en cuáles es un error caro, y termina con las 5 preguntas que necesitas hacerle a cualquier proveedor antes de firmar contrato.
Lo que la LFPIORPI permite tercerizar — y lo que NO
El error más caro que cometen las SOFOMs cuando consideran outsourcing PLD es asumir que pueden externalizar la figura del Oficial de Cumplimiento. No pueden.
El artículo 17 de la LFPIORPI y las Disposiciones de Carácter General en materia de PLD/FT (DCG-PLD) aplicables a Entidades No Bancarias son explícitas: el Oficial de Cumplimiento es una designación interna y nominal ante la CNBV, con responsabilidad personal documentada. La persona designada responde con su nombre y, en casos graves, con su patrimonio. Esto no es delegable a un tercero.
Lo que SÍ es legítimamente tercerizable son las funciones operativas que apoyan al Oficial de Cumplimiento en su trabajo diario:
-
Dictamen de alertas Tier-1 — el análisis caso por caso de operaciones que el motor de monitoreo marcó como inusuales. Es trabajo operativo de criterio + documentación; puede operarlo un equipo externo bajo supervisión del Oficial.
-
Construcción y mantenimiento de expedientes de cliente — la trazabilidad documental que demuestra que tu KYC, tu matriz de riesgo y tu monitoreo continuo cumplen con los criterios CNBV. El expediente es el producto; la firma del Oficial es el sello interno.
-
Generación y revisión preliminar de Reportes de Operación Inusual (ROI) — la redacción técnica + el ensamble del soporte documental pueden externalizarse. El envío formal a UIF debe ir firmado por el Oficial de Cumplimiento designado.
-
Capacitación PLD anual — diseño del curso, aplicación de evaluaciones, archivo de evidencia. Las DCG-PLD no exigen que el capacitador sea empleado interno; sí exigen que la capacitación sea suficiente y verificable.
-
Preparación de visitas de inspección CNBV — el armado del expediente preliminar, la simulación de cuestionamientos del inspector, la priorización de las primeras 48 horas. Es trabajo que se beneficia masivamente de equipos externos con experiencia documentada en visitas previas. (Si tu SOFOM ya recibió notificación de visita, este checklist de 30 días para visita CNBV cubre el detalle.)
Lo que NO es tercerizable bajo el marco regulatorio actual:
- La designación del Oficial de Cumplimiento ante CNBV y la persona física que la ostenta.
- La aprobación del Manual de PLD/FT por Consejo de Administración y las decisiones materiales del Comité de Comunicación y Control (CCC).
- La firma de los reportes formales a UIF y CNBV — quien firma asume la responsabilidad personal.
- Las decisiones de no escalamiento de alertas de alto riesgo — el criterio final de "esto no se reporta" debe quedar documentado bajo la firma del Oficial.
La frontera operativa es clara: outsourcing PLD = tercerizar la mesa operativa, mantener interna la autoridad regulatoria.
La economía: equipo interno vs. mesa PLD operada externamente
Para una SOFOM con ~600 alertas Tier-1 al mes (volumen típico de una entidad mediana con cartera de 800-1,200 clientes activos), la economía comparada se ve así. Los rangos son estimados conservadores basados en salarios públicos del sector y precios de mercado de servicios de outsourcing PLD en México 2026; valida los números contra tu propia operación antes de tomar decisiones.
Equipo PLD interno (operación tradicional):
- 1 Oficial de Cumplimiento senior: $45,000-$65,000 MXN/mes (carga social incluida)
- 1-2 analistas Tier-1 dedicados: $25,000-$35,000 MXN/mes cada uno
- Software PLD especializado (KYC Systems, Stellar, ArmorAML, Artu AI o similares): $15,000-$45,000 MXN/mes según vendor
- Capacitación anual + auditoría externa: ~$80,000-$150,000 MXN/año amortizado mensualmente = $7,000-$12,500 MXN/mes
- Total mensual: aproximadamente $92,000-$192,500 MXN/mes
- Costo anual: ~$1.1M-$2.3M MXN
Esta cifra no incluye el costo de oportunidad del Oficial de Cumplimiento haciendo trabajo de analista (su tiempo más caro aplicado al trabajo de menor jerarquía técnica), ni el costo de las observaciones que se acumulan cuando el equipo se satura y empieza a dictaminar por presión en lugar de por análisis.
Mesa PLD operada externamente (modelo de outsourcing operativo):
- Piloto inicial mensual: rango de mercado $40,000-$80,000 MXN/mes para volúmenes de 400-800 alertas/mes según el proveedor
- Oficial de Cumplimiento interno mantenido (jornada parcial posible si el operativo está externalizado): $25,000-$40,000 MXN/mes
- Software PLD si el proveedor lo trae incluido en el servicio operado: $0 incremental (verificar en contrato)
- Capacitación interna: $5,000-$8,000 MXN/mes amortizado
- Total mensual: aproximadamente $70,000-$128,000 MXN/mes
- Costo anual: ~$840,000-$1.5M MXN
El ahorro nominal es del orden de 25-35%, pero el factor más importante no es el costo directo: es a quién le toca el riesgo regulatorio cuando el proceso falla. En el modelo interno, las observaciones de CNBV las absorbe directamente tu institución. En el modelo operado, un buen proveedor te entrega expediente defensible, lo que significa que el trabajo documental que sustenta la decisión está hecho con calidad de auditoría, no con calidad de "lo hicimos rápido para sacarlo".
(Si quieres entender por qué la mesa Tier-1 es el cuello de botella estructural de toda SOFOM mediana, escribimos sobre eso aquí.)
Cuándo el outsourcing PLD es la jugada correcta
Tres escenarios donde tercerizar la mesa operativa es la decisión estratégica:
Escenario 1: el Oficial de Cumplimiento está saturado y no escala. Si tu Oficial pasa más del 50% de su semana dictaminando alertas en lugar de supervisando el programa, calibrando la matriz de riesgo, o preparando el siguiente reporte trimestral CNBV, el cargo está mal usado. Outsourcing libera al Oficial para hacer lo que regulatoriamente solo él puede hacer: supervisar, firmar y decidir. (Para entender qué entrega regulatoriamente un buen reporte trimestral, ver Cómo preparar el reporte trimestral CNBV para SOFOM 2026.)
Escenario 2: tu SOFOM tuvo una visita CNBV con observaciones operativas. Si las observaciones del último oficio de la autoridad mencionan "identificación tardía", "dictamen insuficiente", "expediente incompleto" o "demoras estructurales en mesa", el problema no es del Oficial: es del modelo operativo. Reemplazar internamente lleva 6-12 meses entre contratar, capacitar y consolidar criterio. Una mesa externa ya operativa absorbe el volumen en semanas. (Sobre el patrón de multas y sus causas más recurrentes, ver Multas PLD para SOFOMs 2026: cómo evitarlas.)
Escenario 3: estás creciendo más rápido de lo que el equipo PLD puede escalar. Si tu cartera está creciendo 40-60% año contra año pero tu mesa PLD sigue con el mismo número de analistas, el rezago no es un riesgo futuro: ya está empezando a acumularse. Contratar y capacitar a un analista Tier-1 nuevo lleva 4-6 meses hasta que su criterio iguala al del equipo existente. Una mesa externa absorbe volumen incremental sin curva de aprendizaje sobre tus criterios institucionales (siempre que el proveedor sepa replicar tu metodología de matriz de riesgo).
Cuándo el outsourcing PLD NO es la jugada correcta
Dos escenarios donde tercerizar es un error caro:
Escenario 1: tu manual PLD y matriz de riesgo no están bien construidos. Outsourcing no arregla un manual mal escrito. Si tu metodología de matriz de riesgo es genérica ("se actualiza cuando hay cambios materiales") o tu manual cita versiones derogadas de la ley, el proveedor externo no puede operar bien sobre un fundamento mal construido. La secuencia correcta es: primero auditar el programa documental (puede ser una auditoría de cumplimiento PLD de 30 días o un diagnóstico interno serio), luego tercerizar la operación una vez que el manual y la matriz están en orden. Tercerizar primero sin arreglar lo de fondo solamente desplaza la responsabilidad sin reducir el riesgo regulatorio.
Escenario 2: tu volumen es bajo y estable. Si tu SOFOM tiene menos de 100 alertas Tier-1 al mes y el volumen no está creciendo, el costo fijo mensual de un proveedor externo (típicamente $40,000+ MXN/mes incluso para volúmenes bajos) no se justifica frente a un analista interno bien capacitado. El outsourcing aporta más cuando hay volumen suficiente para que la especialización del proveedor + sus economías de escala bajen tu costo unitario por alerta dictaminada por debajo de lo que puedes lograr internamente.
Las 5 preguntas que debes hacerle a cualquier proveedor antes de firmar
El mercado de outsourcing PLD en México está creciendo rápidamente. La calidad entre proveedores varía enormemente, y los contratos de un año son caros de revertir si la operación no funciona. Antes de firmar, exige respuestas concretas a estas cinco preguntas:
1. ¿Cómo construyen el expediente defensible? Muéstrenme un ejemplo redactado para una alerta similar a las nuestras.
Si la respuesta es genérica ("usamos templates institucionales"), el proveedor probablemente entrega expedientes que pasan el primer filtro pero no resisten un cuestionamiento de inspector CNBV. Pide ver el formato real de un expediente cerrado (anonimizado), con la trazabilidad documental, las citas a tus criterios institucionales, y la lógica de no-escalamiento si aplica. Un buen proveedor te enseña expedientes que cualquier auditor externo podría defender en una visita.
2. ¿Cuál es el plazo contractual mínimo y la cláusula de salida?
Contratos de 12-24 meses sin salida intermedia son red flag. Una mesa PLD operada bien entrega resultado medible en 30-60 días: si al final del piloto el rezago Tier-1 no bajó, el ratio de falsos positivos sigue alto, o los expedientes no son defensibles, debes poder salir sin penalidad. Los proveedores que confían en su entrega ofrecen pilotos cortos con garantía explícita. Los que no, encadenan a contratos largos para amortizar su propia ineficiencia operativa.
3. ¿Cómo se integran con nuestro software PLD actual (o por qué nos piden migrar al suyo)?
Si el proveedor solo opera sobre su propia plataforma propietaria y te exige migrar de tu software actual, el costo total de switchear (migración + capacitación interna + reescritura de manual técnico) puede superar el ahorro operativo. Un buen proveedor opera sobre el software que ya tienes — sea una plataforma SOFOM como SIAC u otra, o un software PLD especializado del mercado mexicano de comparativa de PLD 2026 — y agrega valor operativo, no costo de migración.
4. ¿Quién es el equipo concreto que va a operar nuestra mesa? Quiero ver CVs y experiencia regulatoria documentada.
"Equipo de especialistas certificados" es marketing. Pide nombres, CVs, años en mesa PLD, experiencia en visitas CNBV previas, y composición exacta del equipo dedicado a tu institución. Si el proveedor responde con generalidades, lo más probable es que su modelo sea pool genérico de analistas sin especialización por institución — lo que se traduce en calidad inconsistente cuando un caso complejo aparece en tu cola.
5. ¿Cómo manejan el handoff regulatorio? Específicamente: en una visita CNBV, ¿quién comparece, qué entrega el proveedor, y dónde queda mi Oficial de Cumplimiento?
Esta pregunta separa a los proveedores serios del resto. La respuesta correcta: tu Oficial de Cumplimiento comparece y firma; el proveedor entrega el expediente operativo defensible, la trazabilidad documental completa, el armado del paquete de respuesta a observaciones, y soporte técnico in-situ durante la inspección. Si el proveedor sugiere que "ellos manejan a CNBV", desconfía: ese rol no es legalmente delegable y el proveedor que lo afirma o no entiende el marco regulatorio o te está vendiendo más de lo que puede entregar.
Conclusión: outsourcing PLD bien hecho es asignación de roles, no abdicación de responsabilidad
El modelo mental correcto para outsourcing PLD en una SOFOM mexicana es asignación de roles, no delegación de responsabilidad. Tu Oficial de Cumplimiento mantiene la firma, la designación ante CNBV, y la autoridad regulatoria. El proveedor opera la mesa Tier-1, construye expedientes defensibles, y absorbe el volumen incremental que tu equipo interno no puede dictaminar con calidad. Bien construido, este modelo libera 60-70% del tiempo del Oficial, reduce el rezago Tier-1 medible en el primer mes, y baja el costo total de cumplimiento entre 25-35% comparado con un equipo 100% interno.
Mal construido — proveedor genérico, contrato largo, sin garantía de resultado, sin claridad sobre qué firma quién — el outsourcing es una forma cara de comprar tranquilidad temporal mientras el riesgo regulatorio sigue acumulándose en tu institución.
Si quieres ver un modelo de mesa PLD operada externamente con garantía de resultado por escrito y piloto de 30 días, Mesa PLD de RooxAI opera exactamente bajo este marco: tu Oficial de Cumplimiento mantiene la firma, nosotros operamos Tier-1 con expediente defensible y bitácora completa, y si al final del primer mes no rebajamos tu rezago Tier-1 en al menos 70%, devolvemos el monto del piloto.
Si antes del piloto quieres una revisión externa de tu programa PLD actual (manual, matriz de riesgo, metodología, brechas operativas), ofrecemos una auditoría de diagnóstico PLD de 30 días con plan de remediación priorizado. Es la secuencia correcta cuando hay duda sobre si el problema está en la operación o en el fundamento documental.
Cualquiera de las dos rutas empieza por una llamada de 30 minutos para entender tu volumen actual, tu equipo, y tu última visita CNBV (si la hubo). Reserva aquí.
¿Quieres un Agente IA como este para tu negocio?
Construimos y desplegamos Agentes IA que automatizan trabajo real — cumplimiento, atención al cliente, procesamiento de documentos y más.
Habla con nosotros