Gestión de terceros en Compliance PLD: cómo blindar tu KYC cuando hay intermediarios, comisionistas y proveedores (LFPIORPI + software PLD)

2 mar 2026

En la vida real, el cumplimiento PLD casi nunca ocurre en línea recta. Un cliente llega recomendado por un broker. Una operación se canaliza por un comisionista. El onboarding lo hace un despacho externo. La cobranza la administra un tercero. Y, sin darte cuenta, tu KYC termina siendo “un rompecabezas” repartido en correos, WhatsApp, drives y contratos.

El problema: para las autoridades y para los estándares internacionales, puedes apoyarte en terceros, pero no puedes transferirles la responsabilidad. La rendija por donde se cuela el riesgo suele ser exactamente esa: “no lo hice yo, lo hizo mi proveedor”.

Este artículo te explica cómo gestionar el riesgo de terceros (intermediarios, outsourcers y proveedores) dentro de un programa de compliance PLD en México, y cómo un software PLD puede convertir ese caos operativo en evidencia sólida y auditable.

1) Terceros sí, “delegar la responsabilidad” no

Los estándares del GAFI/FATF permiten la dependencia de terceros para ejecutar partes de la debida diligencia, pero establecen una regla clara: la entidad que depende del tercero sigue siendo responsable de que el CDD/KYC se haga bien.

En México, esto se vuelve especialmente sensible para quienes realizan Actividades Vulnerables, porque además de identificar, integrar expedientes y presentar avisos, deben custodiar y resguardar información por el plazo aplicable (p. ej., el SAT señala conservación por 5 años en su portal).

Traducción a la práctica: si tu intermediario “no juntó bien el expediente”, el hallazgo y el riesgo no se quedan en el intermediario: se quedan contigo.

2) ¿Qué tipos de “terceros” generan más riesgo PLD?

En auditorías y revisiones internas, los focos rojos suelen repetirse en cuatro categorías:

  1. Intermediarios comerciales
    Brokers, agentes, comisionistas, “referenciadores” y gestores.

    • Riesgo típico: clientes llegan “preaprobados” sin trazabilidad del origen de la relación.

  2. Proveedores que tocan datos críticos
    CRM, pasarelas de pago, firma electrónica, validadores, call centers, mensajería, plataformas de onboarding.

    • Riesgo típico: fragmentación de evidencia, pérdida de documentos, falta de bitácora.

  3. Outsourcing de KYC/Compliance
    Despachos que recaban documentos, hacen screening, arman expedientes o apoyan en avisos.

    • Riesgo típico: se “cumple en papel”, pero no hay control de calidad ni consistencia.

  4. Terceros que cobran o pagan por ti
    Administradores, fideicomisos operativos, plataformas de cobro, gestores de arrendamiento, etc.

    • Riesgo típico: opacidad del beneficiario real y del propósito de pagos.

3) El error clásico: tratar al tercero como “proveedor de compras” y no como riesgo PLD

Cuando compras un servicio, lo normal es evaluar precio, SLA y continuidad.
Cuando integras un tercero a tu operación con impacto en KYC/PLD, necesitas además controles de:

  • Alcance: exactamente qué parte del KYC hace el tercero y qué parte haces tú.

  • Evidencia: dónde queda el expediente único y quién lo resguarda.

  • Calidad: cómo verificas que los documentos/datos cumplen anexos y requisitos.

  • Trazabilidad: quién hizo qué, cuándo y con qué fuente.

  • Monitoreo continuo: qué pasa si el cliente cambia perfil, actividad o riesgo.

El SAT, por ejemplo, enfatiza la obligación de integrar un expediente único con datos y documentos conforme a reglas/anexos aplicables.

4) Mini framework práctico: “Tercero bajo control” en 6 pasos

Paso 1: Clasifica al tercero por impacto PLD

Crea una segmentación simple:

  • Alto impacto: recaba documentos, valida identidad, maneja pagos, arma expedientes, hace screening/monitoreo.

  • Medio impacto: canaliza clientes, opera comunicaciones, guarda información parcial.

  • Bajo impacto: no toca datos ni flujos relevantes.

Paso 2: Define el “punto de verdad” del expediente

Decide dónde vive el expediente único y evita duplicidades.

  • Si el expediente “vive” en el proveedor, te arriesgas a perder control y evidencia.

  • Si el expediente “vive” en tu operación, el tercero alimenta, pero tú controlas.

Paso 3: Contrata con cláusulas PLD (sin romanticismo)

Incluye, de forma medible:

  • obligación de entregar información “completa y verificable”

  • formato/estructura de entregables

  • tiempos máximos

  • auditoría y derecho de revisión

  • subcontratación prohibida o controlada

  • protección de datos y seguridad (mínimos)

Paso 4: Control de calidad (QC) del KYC

No confíes en “checklists” genéricos. Revisa:

  • consistencia (nombre/ID/domicilio vs comprobantes)

  • vigencia de documentos

  • coherencia de actividad económica vs operación

  • señales de alerta (inconsistencias, prisa, estructuras opacas)

Paso 5: Monitoreo de desempeño del tercero

Mide con 4 KPI sencillos:

  • % expedientes completos a la primera

  • tiempo promedio de integración

  • tasa de retrabajo/correcciones

  • hallazgos por auditoría (por tipo)

Paso 6: Evidencia auditable y resguardo

No basta con “tenerlo”. Debe poder demostrarse:

  • quién integró

  • qué validó

  • cuándo se actualizó

  • con qué soporte

Esto conecta con obligaciones de resguardo y protección de información en el marco de Actividades Vulnerables.

5) ¿Dónde entra un software PLD y por qué cambia el juego?

Cuando gestionas terceros con Excel + correo, te pasa lo inevitable: versiones distintas del expediente, evidencia incompleta, y cero bitácora confiable.

Un software PLD bien implementado suele aportar tres ventajas prácticas:

  • Expediente único centralizado: un solo lugar para KYC, documentos, validaciones y actualizaciones (sin “adjuntos perdidos”).

  • Trazabilidad y auditoría: bitácora automática de cambios, cargas, aprobaciones y revisiones.

  • Controles consistentes: reglas de obligatoriedad, validaciones mínimas y flujos de aprobación (útil para reducir “cumplimiento de papel”).

En otras palabras: el tercero puede participar, pero tu compliance PLD mantiene control, consistencia y evidencia.

6) Checklist rápido: señales de que tu programa PLD ya depende “demasiado” de terceros

Si te identificas con 3 o más, hay trabajo urgente:

  • “No sé exactamente dónde está el expediente de este cliente”.

  • “El comisionista dice que ya verificó, pero no tengo soporte”.

  • “El despacho nos manda PDFs sin estructura y luego nadie los encuentra”.

  • “No podemos demostrar quién validó ni cuándo”.

  • “En auditoría, todo se justifica con ‘así nos lo entregó el proveedor’”.

  • “El monitoreo continuo no existe: solo hacemos KYC al inicio”.

Cierre: el tercero no es el problema; el problema es no gobernarlo

En compliance PLD, los terceros son inevitables. Lo que sí es opcional (y peligroso) es no tratarlos como una extensión controlada de tu KYC, sino como un proveedor cualquiera.

Si aterrizas clasificación, contratos, QC, monitoreo y evidencia —idealmente apoyado por un software PLD— conviertes al tercero en un aliado operativo sin abrir una puerta trasera al riesgo.

Atrás