Visita CNBV anunciada: checklist 2026 para SOFOMs, SOFIPOs y SOCAPs (qué pide el inspector, qué entregar, cómo defenderse)
Visita CNBV anunciada: checklist 2026 para SOFOMs, SOFIPOs y SOCAPs
Si recibiste el oficio de la Comisión Nacional Bancaria y de Valores (CNBV) anunciando una visita de inspección en materia de Prevención de Lavado de Dinero (PLD), las próximas semanas determinan si saldrás con observaciones manejables o con una multa publicable. En 2025, las multas CNBV por deficiencias PLD crecieron 192% año contra año, pasando de 140.7 a más de 411.8 millones de pesos según Expansión y El CEO. SOFOMes y centros de cambio fueron los más sancionados por número de actos; los bancos lideraron por monto agregado.
La buena noticia: el patrón de lo que la autoridad pide es predecible. La mala: si llegas al día de la visita improvisando, ya perdiste. Este artículo es la lista concreta de qué entregar, qué tener documentado, y cómo planificar los 30-60 días entre la notificación y el inicio de la inspección.
Las primeras 48 horas: 5 documentos que el inspector siempre pide al inicio
Por experiencia documentada en los expedientes públicos sancionatorios de CNBV y en las Disposiciones de Carácter General en materia de PLD/FT (DCG-PLD) aplicables a Entidades No Bancarias, el inspector abre la visita pidiendo 5 piezas. Tenerlas listas antes de que te las pidan reduce significativamente la fricción de la diligencia.
-
Manual de PLD/FT vigente y aprobado por Consejo de Administración. Debe incluir fecha de la sesión de aprobación, número de acta, y reflejar las últimas reformas a la LFPIORPI y a las propias DCG-PLD. Si tu manual cita una versión derogada de la ley o de las disposiciones, la observación es automática.
-
Designación vigente del Oficial de Cumplimiento ante CNBV. Oficio de designación, acuse de recepción CNBV, y el currículum acreditando la experiencia mínima exigida por las disposiciones. Si hubo rotación reciente y no notificaste a la autoridad dentro del plazo, la omisión está documentada en sus sistemas.
-
Última matriz de riesgos institucional + metodología. No basta con la matriz: el inspector pide la metodología documentada que la genera, las fuentes de datos usadas, y el calendario de actualización. La frase "se revisa cuando hay cambios materiales" no constituye metodología.
-
Programa anual de capacitación del año en curso y del año anterior, con evidencia de aplicación. Listas de asistencia firmadas, evaluaciones aplicadas, y el resultado del personal sujeto. Capacitación PLD entregada sin evaluación de comprensión es una observación común.
-
Bitácora del Comité de Comunicación y Control (CCC). Actas de las sesiones, periodicidad documentada, asistencia de los integrantes designados, y la trazabilidad de los casos escalados al comité. La falta de quorum recurrente o sesiones que "se reagendan" mes con mes son banderas rojas estándar.
Si alguno de estos 5 no está listo en formato físico o digital indexado el día 1 de la visita, el inspector lo documenta — y empieza a preguntarse qué otra cosa no encontrará.
Qué genera observación vs qué genera multa
No toda hallazgo se traduce en sanción. La distinción operativa que aparece en los expedientes públicos es la siguiente:
Genera observación (corregible):
- Inconsistencias formales en documentación interna (fechas, formatos, firmas).
- Atrasos puntuales en envíos de reportes con justificación documentada.
- Brechas menores en capacitación específica de un área.
Genera multa publicable:
- Identificación tardía o deficiente de operaciones inusuales — la causa más recurrente en los expedientes 2024-2025.
- Omisión de envío de Reporte de Operación Inusual (ROI) cuando los criterios estaban claramente cumplidos.
- Deficiencias estructurales en el monitoreo automatizado: alertas no dictaminadas, dictámenes sin sustento, mesa Tier-1 atascada.
- Conocimiento del cliente (KYC) insuficiente para el perfil de riesgo del producto.
- Listas restrictivas (OFAC, ONU, PEP) sin matching o con matching parcial.
La diferencia entre un expediente que cierra con observaciones y uno que termina en multa publicable casi siempre se reduce a dos cosas: (a) si la mesa Tier-1 puede demostrar trazabilidad alerta por alerta, y (b) si el oficial de cumplimiento puede defender cada decisión de dictamen con bitácora.
Profundizamos en el cuello de botella estructural de la mesa Tier-1 en El cuello de botella Tier-1 en cumplimiento PLD mexicano — es el problema operativo detrás de la mayoría de las sanciones que CNBV publica.
El expediente Tier-1: qué quiere ver el inspector cuando abre tu sistema de monitoreo
Cuando el inspector se sienta frente a tu plataforma de monitoreo PLD, lo que examina es el ciclo completo de una alerta, desde su generación hasta su dictamen final. La trazabilidad esperada es:
- Regla o tipología que generó la alerta — citada con identificador, no descrita en lenguaje natural.
- Datos del cliente y de la operación detonante — incluyendo histórico transaccional contextual.
- Análisis del analista Tier-1 — qué revisó, qué encontró, qué descartó.
- Decisión — falso positivo, escalamiento a Tier-2, o ROI directo.
- Si escalamiento o ROI: artículo de LFPIORPI o de DCG-PLD aplicable, citado por número y fracción.
- Bitácora del CCC — si el caso llegó al comité, acta correspondiente.
- Reporte enviado a UIF (si aplica) — folio de acuse, fecha de envío.
Si tu sistema actual produce los puntos 1-2 automáticamente pero los puntos 3-5 viven en hojas de cálculo separadas o, peor, en correos del equipo Tier-1, el inspector lo nota en menos de 15 minutos. La pregunta operativa para el director general es: ¿puede el equipo reconstruir el razonamiento completo de cualquier alerta de los últimos 12 meses en menos de 5 minutos sin ayudar a buscar archivos? Si la respuesta es no, hay trabajo por hacer antes de la visita.
Checklist día por día: los 30 días previos a la inspección
Asumiendo notificación con 30-45 días de anticipación, la planificación tiene tres fases.
Semana 1: inventario y honestidad interna
- Día 1-2: reunión cerrada del oficial de cumplimiento + CCC + director general. Definir el alcance probable (todos los productos vs línea específica) y el período cubierto.
- Día 3-4: inventario físico de los 5 documentos críticos. Lo que no exista, marcarlo como gap. No tratar de "reconstruir hacia atrás" cosas que no se hicieron — la fabricación es peor que la omisión cuando el inspector cruza referencias.
- Día 5-7: muestra ciega del archivo Tier-1. Tomar 20 alertas al azar de los últimos 12 meses y pedir al equipo que reconstruya el dictamen. Si en 5 minutos no se puede, ese es el riesgo principal.
Semana 2-3: cierre de brechas reales
- Capacitación PLD del personal sujeto si está pendiente, con evaluación.
- Actualización formal del manual si refleja versiones derogadas (incluye someter a CCC y registrar en acta).
- Validación de listas restrictivas — corrida completa OFAC + ONU + PEP nacional contra la cartera viva, no contra altas nuevas.
- Si la matriz de riesgos no se actualizó en los últimos 12 meses, actualizarla con metodología documentada — no a la carrera.
Semana 4: simulacro y logística
- Simulacro interno: alguien (idealmente externo) actúa como inspector y pide los 5 documentos del primer día más 5 alertas Tier-1 al azar. Cronometrar.
- Logística: dónde se va a sentar el inspector, qué accesos de sistema necesita, qué políticas internas aplican a su presencia (firma de NDA recíproco si procede, política de extracción de información, etc).
- Designar al interlocutor único que va a estar con el inspector todo el tiempo. No es "el director general porque es el más antiguo" — es la persona que conoce el manual y el sistema de monitoreo en detalle.
Cuándo conviene traer ayuda externa
Hay dos escenarios donde el costo-beneficio de traer un tercero entre la notificación y la visita es alto.
Escenario A: la mesa Tier-1 está rezagada estructuralmente. No es un atraso puntual; es que la matemática del volumen de alertas vs el equipo no cierra. En este caso, una mesa Tier-1 operada externamente puede absorber el rezago en las 4-6 semanas previas a la visita y entregar expediente defensible. Documentamos los componentes operativos de este modelo en nuestra mesa PLD operada — el piloto cubre operación durante 30 días con garantía de resultado por escrito.
Escenario B: hay incertidumbre sobre el estado real del cumplimiento. No sabes si los 5 documentos cierran, no sabes si la metodología de la matriz aguanta una pregunta de seguimiento, no sabes si la capacitación del año pasado tiene evidencia recuperable. En ese caso, una auditoría de diagnóstico de 30 días identifica brechas reales con prioridad por riesgo de sanción, y entrega plan de remediación operable. Es el alcance de nuestro AI Audit por $997.
La distinción importa: la mesa operada resuelve el problema de operación insuficiente; el audit resuelve el problema de visibilidad insuficiente. Si tu situación es ambas, conviene resolver primero el audit para que la mesa externa sepa dónde concentrarse.
Qué no hacer en los 30 días previos
Cinco errores recurrentes que aparecen en los expedientes públicos:
-
Fabricar documentación retrospectiva. Actas de CCC firmadas con fechas anteriores, capacitaciones "reconstruidas" sin evidencia de aplicación, dictámenes Tier-1 escritos la semana antes de la visita. El inspector cruza referencias contra sistemas internos con timestamps; las inconsistencias agravan la sanción.
-
Limpiar la matriz de riesgos para que "se vea mejor". Reducir el riesgo asignado a productos o clientes específicos sin metodología documentada es exactamente lo que la autoridad busca al pedir la metodología. La matriz puede tener riesgos altos identificados — lo que importa es que existan controles documentados para esos riesgos.
-
Borrar alertas no dictaminadas del histórico. Las alertas no dictaminadas son un problema; las alertas eliminadas son una causal de procedimiento agravado. Si hay rezago, declararlo en la auto-evaluación inicial es menos costoso que ocultarlo.
-
Esconder rotación reciente del oficial de cumplimiento. Si hubo cambio en los últimos 12 meses y no se notificó a CNBV en plazo, la omisión ya está en sus registros. La estrategia es presentarla y explicar las medidas de continuidad, no omitirla.
-
Sub-estimar el alcance del inspector. Si el oficio menciona "visita ordinaria PLD" eso no limita las preguntas que pueden hacer dentro del marco PLD. El inspector puede pivotar a clientes específicos, líneas de producto puntuales, o procesos transversales como onboarding KYC.
El día de la visita: 3 reglas operativas
- Responder solo lo preguntado, con la documentación en la mano. No anticipar problemas que el inspector no preguntó.
- Si no se sabe, decirlo y comprometer un plazo. "Eso lo verifico y lo entrego en X horas" es preferible a una respuesta inexacta que después se contradice.
- Bitácora interna paralela. El equipo que acompaña al inspector toma notas de cada pregunta y cada documento entregado. Esa bitácora es el insumo para responder a observaciones formales después de la visita.
Lo que pasa después
La visita no termina el día que el inspector se va. Hay un plazo formal para entregar respuestas a observaciones preliminares, otro para revisar el acta circunstanciada, y eventualmente — si aplica — el procedimiento sancionatorio.
La mayoría de las sanciones que terminan en multa publicable se "cocieron" durante la visita, pero el monto final se define en cómo se atendieron las observaciones formales después. Una observación bien atendida con plan de remediación verificable puede cerrarse sin multa; la misma observación atendida con respuestas evasivas escala.
Recursos relacionados
- El cuello de botella Tier-1 en cumplimiento PLD mexicano — por qué la mesa de monitoreo se atasca y qué espera la autoridad.
- Multas PLD para SOFOMs en 2026: cómo evitarlas — patrones de sanciones recientes y controles preventivos.
- Cumplimiento PLD para SOFOMs: guía completa — marco normativo general.
- Reforma LFPIORPI 2026: nuevas obligaciones PLD — cambios recientes que el inspector va a revisar.
- Comparativa de software PLD en México 2026 — 6 opciones reales con tradeoffs estructurales.
Si la visita está anunciada y el calendario aprieta, podemos hablar 15 minutos para entender el alcance y decidir si te sirve auditoría de diagnóstico o mesa Tier-1 operada. Agendar.
¿Quieres un Agente IA como este para tu negocio?
Construimos y desplegamos Agentes IA que automatizan trabajo real — cumplimiento, atención al cliente, procesamiento de documentos y más.
Habla con nosotros