Volver al blog
Cumplimiento
29 de junio de 2026
9 min

Matriz de riesgo LAFT en Panamá: cómo construir tu enfoque basado en riesgo sin improvisar

Equipo sof-IA
Matriz de riesgo LAFT en Panamá: cómo construir tu enfoque basado en riesgo sin improvisar
Si tu empresa es sujeto obligado en Panamá, ya te habrás topado con la frase en cada acuerdo, cada guía y cada visita de supervisión: tienes que aplicar un enfoque basado en riesgo. Suena a tecnicismo de manual, pero es lo contrario. Es el criterio que decide cuánto esfuerzo le pones a cada cliente, qué operaciones miras con lupa y dónde puedes aliviar la carga sin quedar expuesto. Y todo eso se aterriza en un documento concreto que el regulador te va a pedir: tu matriz de riesgo.

El problema es que muchas matrices nacen muertas. Se llenan una vez para pasar el registro, se guardan en una carpeta y no vuelven a tocarse hasta que llega una inspección o un cliente nuevo que no encaja en ningún molde. Cuando eso pasa, no tienes una herramienta de gestión, tienes un trámite. En este artículo te mostramos qué exige la norma panameña, cómo se construye una matriz que de verdad funcione y dónde la tecnología te ahorra trabajo sin reemplazar tu criterio.

## Qué pide la ley cuando habla de enfoque basado en riesgo

La base de todo es la [Ley 23 de 27 de abril de 2015](https://www.mef.gob.pa/wp-content/uploads/2020/10/Ley-23-de-27-de-abril-de-2015.pdf), que adoptó las medidas para prevenir el blanqueo de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva. Esa ley define el enfoque basado en riesgo como el proceso mediante el cual los sujetos obligados, según su comprensión de los riesgos que enfrentan, adoptan medidas de prevención acordes con la naturaleza de esos riesgos. La idea es simple de enunciar y difícil de ejecutar: donde el riesgo es mayor, las medidas se refuerzan y se amplían; donde es menor, se pueden simplificar.

Esto no es una ocurrencia local. Viene directo de la primera de las cuarenta recomendaciones del Grupo de Acción Financiera Internacional, que pide a los países y a sus regulados identificar, evaluar y entender sus riesgos antes de gastar un solo dólar en controles, según las [Recomendaciones del GAFI](https://www.gafilat.org/index.php/es/las-40-recomendaciones). Las recomendaciones 22 y 23 extienden ese mismo deber a las actividades y profesiones no financieras designadas, que en Panamá caen bajo la supervisión de la Superintendencia de Sujetos No Financieros.

Que Panamá tome esto en serio dejó de ser opcional hace rato. El país estuvo en la lista gris del GAFI hasta que [salió de ella el 27 de octubre de 2023](https://www.mef.gob.pa/2023/10/panama-sale-de-la-lista-gris-del-gafi/), entre otras cosas porque fortaleció la comprensión de sus riesgos de lavado y creó el Registro Único de Beneficiarios Finales. Salir de la lista no relajó la vigilancia: la elevó. Hoy el supervisor llega esperando ver matrices vivas, no plantillas.

## Los cuatro factores que tienes que medir

La SSNF publicó una [Guía de Matriz de Riesgo del Sujeto Obligado No Financiero](https://ssnf.gob.pa/wp-content/uploads/2022/11/Gu%C3%ADa-de-Matriz-de-Riesgo-del-SONF.pdf) que ordena bastante el panorama. Según ese documento, tu modelo de evaluación tiene que considerar las tipologías que emiten el GAFI, el GAFILAT y la Unidad de Análisis Financiero, además de la Evaluación Nacional de Riesgos. Y debe descansar sobre cuatro grandes factores que conviene entender uno por uno, porque cada empresa los pondera distinto.

El primero es el riesgo asociado al cliente. Aquí pesa quién es, a qué se dedica y qué tan transparente resulta su estructura. Una persona expuesta políticamente entra de inmediato en la franja alta, mientras que una sociedad que cotiza en la Bolsa de Valores de Panamá, con información pública y auditada, suele ubicarse en la baja. Entre esos dos extremos vive la mayoría de tus clientes, y ahí es donde tu criterio marca la diferencia.

El segundo es el riesgo del producto o servicio que ofreces. No es lo mismo administrar un fideicomiso con movimientos internacionales que vender un servicio profesional puntual y local. Los productos que permiten mover valor con rapidez, anonimato o a través de varias jurisdicciones cargan más riesgo, y tu matriz tiene que reflejarlo en lugar de tratar todo tu portafolio como si fuera igual de inocente.

El tercero es el canal a través del cual entablas y mantienes la relación. Un cliente al que conociste cara a cara, con documentos originales sobre la mesa, no plantea el mismo desafío que uno captado de forma totalmente remota o mediante un intermediario. Cada capa de distancia entre tú y la persona real detrás de la operación suma riesgo, y eso debe traducirse en controles proporcionales.

El cuarto es la geografía. Importa de dónde viene el cliente, dónde opera y hacia dónde fluyen sus fondos. Las jurisdicciones señaladas por el propio GAFI o por la Evaluación Nacional de Riesgos como deficientes en materia de prevención obligan a subir la guardia. Una operación anclada por completo en Panamá, con contrapartes locales conocidas, no exige el mismo escrutinio que una con ramificaciones en territorios de alto riesgo.

## Cómo se calcula y qué hacer con el resultado

Medir cada factor no sirve de nada si después no los combinas. La mecánica habitual consiste en asignar a cada factor un valor según su nivel y luego ponderarlos, porque no todos pesan igual en tu negocio: para una inmobiliaria la geografía y el origen de fondos suelen mandar, mientras que para un proveedor de servicios corporativos la estructura del cliente y sus beneficiarios finales se llevan el protagonismo. El resultado de esa combinación ubica a cada cliente en un nivel alto, medio o bajo.

Lo que viene después es lo que justifica todo el ejercicio. Un cliente de riesgo bajo admite una debida diligencia simplificada; uno de riesgo medio sigue la diligencia básica; y uno de riesgo alto exige debida diligencia ampliada, con más documentación, aprobación de un nivel jerárquico superior y un monitoreo más frecuente. La propia [guía de debida diligencia de la SSNF](https://ssnf.gob.pa/wp-content/uploads/2022/11/Gu%C3%ADa-de-debida-diligencia-para-el-adecuado-cumplimiento.pdf) insiste en que la profundidad del análisis tiene que ser consistente con el riesgo que arrojó tu evaluación. Si tu matriz clasifica a alguien como alto riesgo y luego le aplicas el mismo trámite que a todos, la matriz te está acusando a ti.

Este encadenamiento es justo lo que revisa el supervisor. El [Acuerdo JD-02-2022](https://ssnf.gob.pa/wp-content/uploads/2022/08/Acuerdo-No.-JD-02-2022.pdf), dirigido a abogados y contadores que realizan actividades sujetas a supervisión, deja claro que el deber no se agota en tener una matriz: hay que adoptar mitigadores y controles internos, un manual de prevención, herramientas tecnológicas, capacitación continua, un oficial de cumplimiento y evaluaciones independientes de auditores externos sobre la efectividad de todo ese andamiaje. La matriz es el corazón, pero late dentro de un cuerpo de controles.

## El error más común es una matriz que nadie vuelve a mirar

La trampa en la que caen muchos sujetos obligados es tratar la matriz como una foto y no como una película. La calificas al dar de alta al cliente y la dejas congelada, aunque el negocio del cliente cambie, aparezca una nueva tipología de la UAF o una jurisdicción que antes era tranquila pase a la lista de seguimiento. El riesgo es dinámico y tu matriz tiene que respirar al mismo ritmo.

Una buena práctica es revisar la calificación cada vez que ocurra un evento relevante y, en todo caso, de forma periódica para los clientes de riesgo alto. La actualización más reciente de la [Evaluación Nacional de Riesgo](https://cnbc.mef.gob.pa/wp-content/uploads/2026/01/Informe-de-Evaluacion-Nacional-de-Riesgo-ALA-SSNF-7.1.25.pdf) es un insumo que deberías incorporar en cuanto sale, porque cambia las prioridades del país y, por tanto, las tuyas. Una matriz que ignora la realidad de afuera termina protegiendo solo en el papel.

El otro error frecuente es el opuesto: tratar a todos como alto riesgo por miedo a equivocarse. Eso no es prudencia, es renunciar al enfoque basado en riesgo. Si todo es prioritario, nada lo es, y tu equipo de cumplimiento se ahoga revisando expedientes intrascendentes mientras el caso que de verdad importa pasa desapercibido entre el ruido. La gracia del modelo es concentrar el esfuerzo donde el riesgo lo amerita.

## Dónde entra la tecnología y dónde sigue mandando tu criterio

Gran parte del trabajo de una matriz es repetitivo y verificable, y ahí la automatización rinde de verdad. El factor cliente, por ejemplo, depende de saber si la persona es PEP, si figura en listas de sanciones o si arrastra noticias adversas, y eso es exactamente lo que resuelve [PEP Check](https://sof-ia.net), la herramienta de sof-IA que cruza a tus clientes y beneficiarios finales contra esas fuentes y te devuelve una señal limpia para alimentar la calificación de riesgo. En lugar de buscar a mano nombre por nombre, recibes el insumo ya procesado y trazable, que es justo lo que un auditor querrá ver documentado.

Lo importante es entender qué automatizas y qué no. La tecnología te da los datos y la consistencia; la ponderación de los factores, la decisión de aceptar o rechazar a un cliente de alto riesgo y la lectura de un caso que no encaja en ningún patrón siguen siendo tuyas. Una matriz bien montada combina lo mejor de ambos mundos: un motor que captura señales sin descanso y un oficial de cumplimiento que las interpreta con conocimiento del negocio panameño. Cuando esa combinación funciona, dejas de improvisar y empiezas a gestionar el riesgo de verdad.

## Por dónde empezar esta semana

Si sientes que tu matriz es más trámite que herramienta, no necesitas refundar el programa de un día para otro. Empieza por revisar si tus cuatro factores están realmente definidos y ponderados según tu negocio, comprueba que cada nivel de riesgo dispara un nivel de diligencia distinto y fija una regla clara de cuándo se actualiza la calificación de un cliente. Con eso ya estás por delante de buena parte del mercado, y dejas a tu empresa en posición de responder con tranquilidad cuando el supervisor pregunte por qué clasificaste a cada quien como lo hiciste.

En sof-IA acompañamos a sujetos obligados panameños a montar este tipo de controles sin convertir el cumplimiento en una carga que paralice la operación. Si quieres revisar cómo está tu matriz hoy, conversemos.

¿Te interesa implementar estas soluciones?

Contáctanos para una consulta gratuita y descubre cómo podemos ayudarte a transformar tu empresa con IA y tecnología cloud.

Solicitar consulta gratuita