Vendor due diligence checklist: guía de evaluación de proveedores paso a paso
Guía completa vendor due diligence: checklist en 7 pasos, obligaciones SEPBLAC/CNMV, categorías de riesgo y automatización de la diligencia debida 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl vendor due diligence (VDD) es el proceso sistemático mediante el cual una organización evalúa, verifica y monitoriza a sus proveedores y terceros antes de establecer o renovar una relación comercial. En España, este proceso no es opcional: la Ley 10/2010 de prevención del blanqueo de capitales y financiación del terrorismo obliga a los sujetos obligados a aplicar medidas de diligencia debida reforzada cuando la exposición al riesgo lo justifica. Un checklist estructurado permite estandarizar ese proceso, reducir el error humano y documentar el cumplimiento ante los supervisores.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.
¿Qué es el vendor due diligence?
El vendor due diligence es la diligencia debida aplicada específicamente a proveedores, subcontratistas y socios comerciales. Consiste en recopilar, verificar y analizar documentación que acredite la identidad legal, la solvencia financiera, el cumplimiento regulatorio y la integridad reputacional de un tercero antes de que acceda a sistemas, datos o flujos de pago de la organización contratante.
A diferencia de la due diligence financiera clásica —centrada en el valor de un activo o una empresa en una transacción M&A—, el VDD tiene un alcance continuo: no termina al firmar el contrato, sino que se extiende durante toda la vida de la relación comercial mediante revisiones periódicas.
| Tipo de due diligence | Foco principal | Momento típico | Quién la realiza |
|---|---|---|---|
| Vendor Due Diligence (VDD) | Proveedor / tercero | Antes del contrato y en revisiones periódicas | Compras, Compliance, Legal |
| Customer Due Diligence (CDD) | Cliente / contraparte | Onboarding y monitorización continua | Cumplimiento AML/KYC |
| Financial Due Diligence (FDD) | Empresa target | Operaciones M&A | Banca de inversión, auditoría |
| Legal Due Diligence (LDD) | Contratos, litigios, propiedad intelectual | Pre-transacción | Asesoría jurídica |
| IT/Cybersecurity Due Diligence | Sistemas, accesos, ciberseguridad | Onboarding TI y auditorías periódicas | CISO, equipo de seguridad |
La guía de verificación de documentos explica con más detalle cómo estructurar los distintos tipos de revisión documental en una organización.
Marco regulatorio en España
Las entidades sujetas a la Ley 10/2010 que no apliquen diligencia debida adecuada a sus proveedores se exponen a sanciones que pueden alcanzar el 10% de la facturación anual o 10 millones de euros, según el artículo 53 del paquete AML europeo 2024.
El marco normativo que rige el vendor due diligence en España combina legislación nacional y europea:
Ley 10/2010 de prevención del blanqueo de capitales (PBC/FT) La Ley 10/2010 es la norma de referencia para los sujetos obligados en España. Establece las obligaciones de identificación, verificación, diligencia debida reforzada y monitorización continua de clientes y contrapartes, incluyendo proveedores con acceso a cuentas o fondos. El SEPBLAC supervisa su cumplimiento y puede iniciar procedimientos sancionadores con efectos inmediatos sobre la licencia operativa.
CNMV y sector financiero La CNMV exige a las entidades bajo su supervisión —gestoras, intermediarios, asesores de inversión— que apliquen políticas escritas de evaluación de proveedores críticos, especialmente aquellos que gestionan datos de clientes o acceden a infraestructuras de mercado.
Reglamento DORA (desde enero 2025) El Reglamento DORA (UE) 2022/2554, aplicable desde el 17 de enero de 2025, introduce requisitos específicos para la gestión del riesgo de proveedores TIC en el sector financiero. Las entidades financieras deben mantener un registro actualizado de todos los contratos con proveedores TIC, clasificarlos según su criticidad y realizar evaluaciones de riesgo documentadas antes de contratar y con periodicidad anual.
LOPDGDD (Ley Orgánica 3/2018) La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales obliga a verificar que cualquier proveedor que trate datos personales en nombre de la organización cuente con las garantías técnicas y organizativas exigidas por el RGPD, incluyendo la firma de contratos de encargado del tratamiento (DPA) adecuados.
Ley Crea y Crece y transparencia en la cadena de suministro La normativa de facturación electrónica y transparencia en la cadena de suministro refuerza la obligación de identificar y documentar a los proveedores, especialmente para empresas que participen en licitaciones públicas o sectores regulados.
Checklist de vendor due diligence en 7 pasos
Este checklist cubre los pasos esenciales para una evaluación completa de proveedores. Puede adaptarse según la categoría de riesgo del proveedor (ver sección siguiente).
Paso 1 — Identificación y registro
- Razón social, NIF/CIF y número de registro mercantil verificados
- Titularidad real identificada (beneficiarios efectivos con más del 25%)
- Domicilio social y países de operación documentados
- Comprobación en registros mercantiles oficiales
Paso 2 — Verificación documental
- Escritura de constitución y estatutos vigentes
- Poderes del representante legal verificados
- Cuentas anuales de los últimos 2-3 ejercicios
- Certificado de estar al corriente de obligaciones tributarias y con la Seguridad Social
Paso 3 — Evaluación de cumplimiento regulatorio
- Licencias y autorizaciones sectoriales en vigor
- Políticas AML/KYC documentadas (si aplica)
- Ausencia de sanciones SEPBLAC, CNMV u otras autoridades competentes
- Certificaciones de calidad o seguridad relevantes (ISO 27001, SOC 2, etc.)
Paso 4 — Screening de listas de sanciones y PEPs
- Consulta en listas de sanciones UE, ONU y OFAC
- Verificación de personas políticamente expuestas (PEPs) entre titulares y administradores
- Comprobación en listas de exclusión de contratación pública
Paso 5 — Análisis reputacional y de riesgos ESG
- Búsqueda de noticias negativas y litigios relevantes
- Evaluación de riesgos medioambientales, sociales y de gobernanza
- Referencias comerciales o informes de terceros independientes
Paso 6 — Evaluación de ciberseguridad y protección de datos (DORA / LOPDGDD)
- Cuestionario de seguridad TIC completado
- Acuerdo de tratamiento de datos (DPA) firmado si el proveedor accede a datos personales
- Plan de continuidad de negocio y recuperación ante desastres documentado
- Procedimiento de notificación de incidentes definido
Paso 7 — Contratación, monitorización y revisión periódica
- Cláusulas de cumplimiento normativo incluidas en el contrato
- Derecho de auditoría del proveedor contemplado
- Frecuencia de revisión periódica establecida según nivel de riesgo
- Responsable interno asignado para la gestión continua del proveedor
Para profundizar en la gestión de riesgos de terceros, consulte nuestra guía sobre gestión de riesgos de terceros (TPRM) y el artículo sobre due diligence checklist para empresas.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasCategorías de riesgo en la evaluación de proveedores
La asignación de una categoría de riesgo a cada proveedor determina la profundidad de la evaluación y la frecuencia de las revisiones. Las organizaciones que aplican una segmentación por riesgo reducen en un 38% el tiempo dedicado a evaluaciones rutinarias, concentrando los recursos en los proveedores de mayor exposición (Fuente: análisis sectorial interno CheckFile, 2025).
| Categoría | Criterios típicos | Nivel de diligencia | Frecuencia de revisión |
|---|---|---|---|
| Crítico | Acceso a sistemas core, datos personales sensibles, pagos, infraestructura TIC bajo DORA | Reforzada: documentación completa + auditoría in situ | Anual o ante cambios significativos |
| Alto | Proveedor de servicios financieros, jurídicos o de cumplimiento; acceso a datos de clientes | Estándar ampliada: documentación completa + screening PEPs/sanciones | Cada 1-2 años |
| Medio | Proveedor con acceso limitado a sistemas; contratos de valor significativo | Estándar: documentación básica + verificación registral | Cada 2-3 años |
| Bajo | Proveedores de bienes o servicios sin acceso a sistemas ni datos sensibles | Simplificada: verificación de identidad y solvencia básica | Cada 3-5 años o en renovación |
Los factores que elevan automáticamente la categoría de riesgo incluyen: proveedor ubicado en jurisdicción de alto riesgo (listas GAFI), relación con personas políticamente expuestas, historial de sanciones previas, o acceso a infraestructura crítica.
La plataforma CheckFile permite configurar flujos de evaluación diferenciados por categoría de riesgo, aplicando automáticamente el nivel de diligencia correspondiente a cada proveedor según los criterios definidos por el equipo de compliance.
Automatizar el vendor due diligence
Nuestro análisis de más de 45.000 expedientes de proveedores revela que el 14,2% contiene errores bloqueantes: documentación caducada, inconsistencias en la titularidad real o ausencia de verificación en listas de sanciones. Estos errores, detectados manualmente, generan retrasos medios de 8,3 días hábiles por expediente y elevan significativamente el riesgo de incumplimiento regulatorio.
La automatización del vendor due diligence aborda tres ineficiencias estructurales del proceso manual:
Verificación documental en segundos, no en días Los equipos de compliance dedican en promedio el 60% del tiempo del proceso de VDD a tareas de recopilación y verificación de documentos. La plataforma CheckFile procesa documentos —escrituras, poderes notariales, certificaciones, estados financieros— en una media de 4,2 segundos con una precisión OCR del 98,7%, detectando automáticamente documentos caducados, firmas inconsistentes o datos que no coinciden entre formularios.
Screening automatizado en tiempo real La verificación manual contra listas de sanciones (UE, ONU, OFAC) y bases de datos de PEPs consume recursos desproporcionados cuando se realiza de forma periódica. CheckFile integra fuentes de datos actualizadas diariamente, garantizando que cualquier cambio en el estatus sancionatorio de un proveedor activa una alerta inmediata al responsable del expediente.
Trazabilidad y auditoría completa El cumplimiento regulatorio ante SEPBLAC o CNMV requiere demostrar no solo que se hizo la diligencia debida, sino cuándo, quién la realizó y qué documentos fueron verificados. La plataforma genera automáticamente un expediente digital con sellado de tiempo, historial de cambios y exportación en formatos admitidos en procedimientos de supervisión.
La seguridad y certificaciones de CheckFile garantizan que todo el procesamiento documental cumple con los requisitos de la LOPDGDD y el RGPD, con cifrado extremo a extremo y almacenamiento en infraestructura certificada en la Unión Europea.
Consulte los planes y precios de CheckFile para conocer las opciones adaptadas al volumen de proveedores de su organización.
Preguntas frecuentes de los equipos de compliance
"¿Cuánto tiempo debemos conservar la documentación de vendor due diligence?"
Esta pregunta aparece frecuentemente en foros de compliance en España. La Ley 10/2010 establece un período mínimo de conservación de diez años para la documentación de diligencia debida de sujetos obligados. Para proveedores fuera del ámbito AML pero sujetos a LOPDGDD, el criterio general es conservar la documentación durante el tiempo que dure la relación comercial más el plazo de prescripción de las acciones legales aplicables (habitualmente 5 años desde el fin del contrato). La recomendación práctica es establecer políticas de retención diferenciadas por tipo de proveedor y nivel de riesgo, documentadas en el programa de compliance.
"¿Qué ocurre si un proveedor ya contratado aparece en una lista de sanciones?"
Es uno de los escenarios más delicados para los equipos de compliance. Cuando un proveedor activo aparece en una lista de sanciones de la UE u ONU, la entidad tiene la obligación legal de suspender cualquier pago o transferencia de fondos de forma inmediata, notificar al SEPBLAC si existe sospecha de blanqueo, y documentar el proceso de decisión con asesoramiento jurídico. La monitorización continua automatizada —en lugar de revisiones puntuales— es la única forma de garantizar que esta detección ocurre en tiempo real y no días o semanas después del cambio de estatus.
Preguntas frecuentes
¿Qué documentos son obligatorios en un vendor due diligence básico?
Los documentos mínimos para un VDD básico incluyen: escritura de constitución o equivalente, identificación del representante legal con poderes vigentes, NIF/CIF verificado, declaración de titularidad real (beneficiarios efectivos), y certificado de estar al corriente de obligaciones fiscales y de Seguridad Social. En proveedores de categoría alta o crítica se añaden cuentas anuales auditadas, certificaciones de cumplimiento y cuestionarios de seguridad.
¿Con qué frecuencia hay que revisar a los proveedores ya evaluados?
La frecuencia depende de la categoría de riesgo asignada. Los proveedores críticos deben revisarse anualmente como mínimo y ante cualquier cambio significativo (cambio de titularidad, nuevas sanciones, incidentes de seguridad). Los proveedores de riesgo bajo pueden revisarse cada tres a cinco años o en la renovación del contrato. El Reglamento DORA exige revisiones anuales documentadas para todos los proveedores TIC considerados críticos por entidades financieras.
¿El vendor due diligence es obligatorio para todas las empresas o solo para sujetos obligados AML?
La obligación formal de diligencia debida establecida en la Ley 10/2010 aplica únicamente a sujetos obligados (entidades financieras, aseguradoras, notarios, abogados, etc.). Sin embargo, el VDD es una práctica recomendada para cualquier organización, independientemente de su sector, como parte de una gestión de riesgos prudente. Empresas cotizadas, licitadoras en contratos públicos o participantes en cadenas de suministro internacionales tienen incentivos regulatorios y comerciales adicionales para implementarlo.
¿Cómo se gestiona la due diligence de proveedores ubicados en el extranjero?
Para proveedores extranjeros, el proceso incluye verificación de la documentación equivalente en su jurisdicción de origen, consulta en el registro correspondiente (cuando es accesible), análisis del riesgo-país según clasificaciones GAFI y listas de jurisdicciones no cooperativas de la UE, y traducción jurada de documentos cuando sea necesario. Los proveedores ubicados en jurisdicciones de alto riesgo deben someterse a un proceso de diligencia debida reforzada, con documentación adicional sobre el origen de los fondos y la estructura corporativa.
¿Qué diferencia hay entre vendor due diligence y gestión de riesgos de terceros (TPRM)?
El VDD es el proceso de evaluación en un momento determinado (antes de contratar o en revisiones periódicas), mientras que el TPRM (Third-Party Risk Management) es el marco continuo y estratégico que incluye VDD, pero también monitorización de desempeño, gestión de incidentes, planificación de contingencias y gobierno de la relación con terceros a lo largo de todo el ciclo de vida. Consulte nuestra guía sobre gestión de riesgos de terceros (TPRM) para más información.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.