Volver al blog
AML & Cumplimiento

Matriz de Riesgo SARLAFT: guía paso a paso con ejemplo (2026)

La matriz de riesgo es el corazón del SARLAFT. Aprende a construirla paso a paso, qué factores incluir, cómo hacer el mapa de calor y errores comunes que la SFC sanciona.

Publicado 18 de mayo de 202610 min de lecturaActualizado 27 de jun de 2026

La matriz de riesgo es el documento más importante de tu SARLAFT (y SAGRILAFT). Es lo primero que la SFC o la SuperSociedades pide en una visita y lo que define si tu programa de cumplimiento es real o teatro. Aquí te guiamos paso a paso para construir una matriz que pase auditoría.

¿Qué es la matriz de riesgo LA/FT?

Es el documento que identifica, mide y prioriza los riesgos de lavado de activos y financiación del terrorismo a los que está expuesta tu entidad, clasificándolos por probabilidad e impacto en una matriz visual (mapa de calor) que permite tomar decisiones de control.

Los 4 factores de riesgo según SFC

La Circular Básica Jurídica obliga a evaluar 4 factores:

  1. Cliente — Personas naturales y jurídicas con quienes te relacionas.
  2. Productos y servicios — Lo que ofreces (cuentas, créditos, inversiones, fiducia, seguros).
  3. Canales — Cómo distribuís (oficinas, online, móvil, terceros, ATMs).
  4. Jurisdicciones — Países donde operás y donde están los clientes.

Paso 1: Identificar los riesgos por factor

Para cada factor, listá los eventos de riesgo posibles. Ejemplo:

Factor cliente

  • Cliente PEP no detectado al onboarding.
  • Cliente con UBO no declarado o falso.
  • Cliente persona natural extranjera de jurisdicción de alto riesgo.
  • Cliente empresa con estructura corporativa opaca (offshore).
  • Cliente cambia perfil sin justificación documentada.

Factor producto

  • Producto de captación de alta liquidez (CDT, cuenta de ahorros).
  • Productos con flujos a/desde el exterior (cuenta compensación, forex).
  • Productos con cash intensivo (microcrédito en efectivo).
  • Pagos masivos (procesador de pagos para terceros).

Factor canal

  • Onboarding 100% digital sin contacto cara a cara.
  • Operaciones en oficinas de zonas de alto riesgo (frontera, narcotráfico).
  • Corresponsales bancarios con débil supervisión.

Factor jurisdicción

  • Operaciones con países en lista negra/gris GAFI.
  • Transferencias a paraísos fiscales.
  • Clientes residentes en zonas de conflicto.

Paso 2: Medir probabilidad e impacto

Usá escala 1-5 (o 1-3 para programas iniciales):

NivelProbabilidadImpacto
1 — Muy bajoImprobable que ocurraSin efecto material
2 — BajoPodría ocurrir excepcionalEfecto operativo menor
3 — MedioPosibleMulta < 1.000 SMMLV
4 — AltoProbable en el añoMulta > 10.000 SMMLV + reputación
5 — CríticoCasi seguroSanción de cierre + penal

Para cada riesgo identificado, asigná P × I = score. Luego ubicalo en el mapa de calor.

Paso 3: Construir el mapa de calor (heatmap)

Una grilla 5×5 con código de colores:

  • Verde (1-4) — Riesgo aceptable. Solo monitoreo.
  • Amarillo (5-9) — Riesgo moderado. Implementar controles preventivos.
  • Naranja (10-15) — Riesgo alto. Aprobación de Junta + controles reforzados.
  • Rojo (16-25) — Riesgo crítico. Evitar (no asumir) o si se asume, requiere mitigantes específicos + aprobación expresa.

Paso 4: Definir controles y mitigantes

Por cada riesgo, listá:

  • Controles preventivos — Antes de que ocurra (ej. KYC reforzado, EDD para PEPs).
  • Controles detectivos — Para identificar si ocurre (ej. monitoreo transaccional, alertas).
  • Controles correctivos — Qué hacer si ocurre (ej. plan de respuesta a ROS).

Después del control, recalculá P × I (riesgo residual). Si sigue rojo, el control no es suficiente — necesitás otro o aceptar la decisión consciente con aprobación de Junta.

Paso 5: Aprobación por Junta Directiva

La matriz debe ser aprobada formalmente por la Junta mediante acta (no email, no PDF firmado por el Gerente). El acta debe constar en libros de actas e incluir:

  • Versión de la matriz y fecha de corte.
  • Decisión: aprobada con o sin observaciones.
  • Plan de acción para mitigaciones pendientes.
  • Próxima revisión (mínimo anual).

Paso 6: Monitoreo y actualización

La matriz no es estática. Se actualiza:

  • Anualmente como mínimo.
  • Cuando hay cambios materiales (nuevo producto, expansión geográfica, cambio normativo, evento de riesgo materializado).
  • Tras cada visita o requerimiento del regulador.

Errores comunes que sanciona la SFC

  • Matriz copiada de otra empresa sin ajustar al perfil real.
  • Sin metodología documentada — la SFC pregunta "¿por qué este riesgo es probabilidad 4?".
  • Sin riesgo residual calculado tras los controles.
  • Aprobación irregular — sin acta de Junta o con Junta no funcional.
  • No considera nuevos productos lanzados en el año.
  • No alinea con el SARO (riesgo operativo) cuando aplica.

Ejemplo concreto: riesgo "cliente PEP no detectado"

  • Factor: Cliente
  • Descripción: Cliente con condición PEP que no fue identificado en onboarding y por tanto no recibió EDD.
  • Probabilidad inherente: 4 (alto — los PEPs LATAM son 50K+ personas; con consulta manual se escapan).
  • Impacto inherente: 5 (crítico — multa SFC + reputacional).
  • Score inherente: 20 (ROJO).
  • Controles: Consulta automática contra Decreto 1674 + PEPs internacionales en onboarding y re-evaluación diaria; flagging y EDD obligatorio.
  • Probabilidad residual: 2 · Impacto residual: 5 · Score residual: 10 (NARANJA).
  • Mitigante adicional: Capacitación trimestral del front + alerta automática mensual a Junta sobre PEPs activos.

¿Cómo te ayuda GRC Software con la matriz?

  • 20+ matrices preconfiguradas por sector (banco, fiduciaria, comisionista, cooperativa, sector real).
  • Mapa de calor interactivo con drag-and-drop.
  • Cálculo automático de riesgo residual tras controles.
  • Workflow de aprobación con firma electrónica del Comité y Junta.
  • Versionado completo — cada cambio queda en audit trail.
  • Exportación a PDF lista para entregar a la SFC.

Próximos pasos

  1. Lee también ¿Qué es SARLAFT? y KYC paso a paso.
  2. Hacé el diagnóstico SARLAFT 4.0.
  3. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.