Vendor due diligence checklist: guía de evaluación de proveedores en México
Guía completa vendor due diligence México: checklist 7 pasos, obligaciones UIF/CNBV, LFPIORPI, LFPDPPP y automatización de la debida diligencia 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl vendor due diligence es el proceso estructurado de evaluación de un proveedor o prestador de servicios antes de su contratación y a lo largo de toda la relación comercial. En México, este proceso ha dejado de ser una buena práctica opcional: la LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita), las disposiciones de la CNBV (Comisión Nacional Bancaria y de Valores), las obligaciones de la UIF (Unidad de Inteligencia Financiera) y la LFPDPPP crean un conjunto de obligaciones que se superponen y se acumulan según el sector y el tamaño de la empresa.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Consulte a un profesional cualificado para obtener orientación adaptada a su situación específica.
¿Qué es el vendor due diligence?
El vendor due diligence (VDD) es la evaluación formalizada y documentada de un tercero — proveedor, prestador de servicios, socio tecnológico o subcontratista — con el objetivo de identificar, medir y documentar los riesgos que representa para la organización contratante. Va más allá de una simple verificación administrativa: abarca el perfil financiero, jurídico, operacional, tecnológico, ético y regulatorio del tercero.
El VDD se inserta en el contexto más amplio de la gestión de riesgos de terceros (TPRM). Para una visión completa de ese marco, consulte nuestro artículo: Gestión de riesgos de terceros — guía TPRM completa.
| Tipo de due diligence | Alcance principal | Disparador típico |
|---|---|---|
| Due diligence estándar (CDD) | Identidad, situación financiera, antecedentes | Todo nuevo proveedor |
| Due diligence reforzada (EDD) | Verificaciones profundas, UBO, PEP, sanciones | Proveedor de alto riesgo, jurisdicciones sensibles |
| Due diligence continua | Monitoreo de cambios en el perfil de riesgo | Contratos vigentes, renovaciones |
| Due diligence ESG | Prácticas sociales, ambientales, gobernanza | Obligaciones de responsabilidad corporativa |
La confusión entre una simple revisión administrativa y una due diligence estructurada es la principal fuente de exposición legal para las empresas mexicanas sujetas a obligaciones antilavado — y genera vacíos documentales que la UIF y la CNBV identifican durante sus procesos de supervisión.
Marco regulatorio en México
Cuatro pilares regulatorios principales estructuran las obligaciones mexicanas de vendor due diligence, con ámbitos de aplicación distintos que con frecuencia se acumulan.
LFPIORPI — la ley antilavado primaria en México
La LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita), en vigor desde 2012, es la ley antilavado principal en México. Define 16 Actividades Vulnerables — entre ellas servicios financieros, arrendadoras, constructoras, joyerías, notarías, casinos y venta de vehículos — y obliga a quienes las ejercen a identificar a sus clientes, proveedores y contrapartes, y a presentar avisos ante la UIF cuando se detecten operaciones en umbrales definidos en UDIs o dólares.
Las Resoluciones de Carácter General emitidas por la UIF complementan la ley con guías operativas sobre los procedimientos de identificación, los umbrales de reporte y los controles internos que deben documentarse. El incumplimiento de estas obligaciones puede derivar en multas de hasta 10.000 veces la Unidad de Medida y Actualización (UMA) por infracción.
CNBV — supervisión del sector financiero
La CNBV supervisa instituciones de crédito, casas de bolsa, aseguradoras y entidades de ahorro y crédito popular. Sus Disposiciones de Carácter General (Circular Única de Bancos y circulares sectoriales equivalentes) imponen requisitos de gestión del riesgo operacional que incluyen la evaluación de proveedores de servicios tecnológicos y de procesamiento de datos. La CNBV exige que las entidades supervisadas mantengan registros documentados de las diligencias realizadas sobre sus proveedores tecnológicos críticos.
México no está sujeto al Reglamento DORA de la Unión Europea, pero la Circular Única de Bancos de la CNBV establece requisitos de gestión del riesgo de tercerización que cumplen una función equivalente para el sistema financiero mexicano.
LFPDPPP e INAI — protección de datos personales
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento imponen obligaciones en dos direcciones dentro del vendor due diligence: en el tratamiento de datos personales recopilados sobre los representantes y beneficiarios finales del proveedor durante el proceso de evaluación, y en la verificación de que el proveedor que procesará datos personales de su organización cuenta con las políticas y controles adecuados de protección de datos.
El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es la autoridad supervisora en materia de protección de datos. Ha publicado guías sobre contratos de encargados de datos que hacen obligatoria la evaluación de cumplimiento con la LFPDPPP cuando el proveedor tendrá acceso a datos personales de clientes o colaboradores de la empresa contratante.
SAT y RFC — verificación fiscal y registral
El SAT (Servicio de Administración Tributaria) administra el RFC (Registro Federal de Contribuyentes), que es el identificador fiscal de personas morales (12 caracteres) y personas físicas (13 caracteres) en México. La verificación del RFC y del estatus fiscal del proveedor en el SAT es un paso fundamental de cualquier due diligence, ya que permite confirmar la existencia legal de la empresa, detectar posibles irregularidades fiscales y validar que el proveedor está al corriente de sus obligaciones. Las empresas con RFC en estatus "no localizado" o con cancelaciones tributarias representan un riesgo contractual y regulatorio significativo.
El Registro Público de Comercio en México tiene administración federal pero operación estatal, por lo que la consulta debe realizarse en el estado donde la empresa tiene su domicilio fiscal.
Nuestro análisis de más de 45.000 expedientes de proveedores revela que el 14,2% contiene errores bloqueantes — documentos vencidos, inconsistencias en el RFC, o actas constitutivas sin inscripción vigente en el Registro Público de Comercio — exponiendo directamente a la empresa contratante a responsabilidad regulatoria ante la UIF, la CNBV y el SAT.
Checklist de vendor due diligence en 7 pasos
Este checklist cubre el ciclo completo de evaluación de un proveedor, desde el inicio de la relación hasta el monitoreo continuo. Es aplicable con independencia del tamaño de la empresa y puede calibrarse según el nivel de riesgo del tercero. Para un checklist ampliado que cubra todos los tipos de due diligence corporativa, vea también: Due diligence checklist empresas — guía completa.
Paso 1 — Identificación y calificación inicial
- Recopilar el RFC de la empresa proveedora y verificar su estatus en el portal del SAT
- Obtener el acta constitutiva y sus modificaciones, con constancia de inscripción en el Registro Público de Comercio
- Identificar socios, administradores y beneficiarios controladores finales (UBO) con INE, CURP y RFC individuales
- Confirmar el domicilio fiscal y los establecimientos relevantes para la relación contractual
Paso 2 — Verificación de regularidad legal y fiscal
- Verificar la opinión de cumplimiento fiscal en el portal del SAT (32-D)
- Obtener constancia de situación fiscal actualizada (no mayor a 3 meses)
- Verificar la ausencia de procedimientos de concurso mercantil, quiebra o suspensión de pagos
- Para proveedores con empleados: constancia de cumplimiento con obligaciones del IMSS e INFONAVIT
Paso 3 — Screening de sanciones, PEP y listas restrictivas
- Verificar socios, administradores y UBOs contra listas de sanciones internacionales (OFAC, ONU, UE)
- Comprobar el estatus de Persona Políticamente Expuesta (PEP) de los representantes y socios significativos
- Buscar antecedentes de involucramiento en casos de lavado de dinero, corrupción o fraude en México y en el extranjero
- Consultar registros en procesos administrativos de la CNBV, COFECE y resoluciones públicas de la UIF
Paso 4 — Evaluación financiera
- Analizar los tres últimos estados financieros (balance general y estado de resultados)
- Calcular indicadores de liquidez, solvencia y rentabilidad
- Evaluar la dependencia de pocos clientes y la concentración de ingresos
- Verificar la ausencia de gravámenes, hipotecas o garantías que comprometan la operación
Paso 5 — Evaluación de riesgos operacionales y tecnológicos
- Verificar la existencia de un Plan de Continuidad de Negocio (PCN) y Plan de Recuperación ante Desastres
- Confirmar certificaciones ISO 27001, SOC 2 o equivalentes si el proveedor tratará datos sensibles
- Mapear subcontratistas de primer nivel relevantes (riesgo de concentración)
- Evaluar la dependencia tecnológica: proveedores de nube, sistemas críticos y software de terceros
Paso 6 — Evaluación de cumplimiento LFPIORPI / LFPDPPP
- Verificar si el proveedor es sujeto obligado bajo la LFPIORPI y si presenta sus avisos a la UIF en tiempo y forma
- Recopilar la política de protección de datos y, cuando aplique, el contrato de encargado (LFPDPPP)
- Obtener declaración de conocimiento y adhesión al código de conducta o política de integridad de su organización
- Evaluar el historial de incidentes de seguridad de la información y notificaciones al INAI
Paso 7 — Documentación, scoring y monitoreo continuo
- Asignar un score de riesgo global (bajo / medio / alto) con base en los pasos anteriores
- Constituir el expediente del proveedor con sello de tiempo y todos los documentos recopilados
- Definir la frecuencia de renovación de la due diligence según el score de riesgo
- Configurar alertas automáticas para eventos disparadores: cambio de socios, concurso mercantil, nuevas sanciones
Las organizaciones que formalizan estos 7 pasos en un proceso documentado reducen en un 60% el tiempo de procesamiento por expediente y dividen entre tres el número de incumplimientos detectados en auditorías internas, según los datos agregados de nuestra plataforma CheckFile.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasCategorías de riesgo en la evaluación de proveedores
Cada proveedor presenta un perfil de riesgo compuesto. La tabla siguiente estructura las principales categorías, los indicadores de alerta asociados y el nivel de prioridad según el tipo de empresa contratante en México.
| Categoría de riesgo | Indicadores de alerta principales | Prioridad (entidad financiera) | Prioridad (empresa industrial) |
|---|---|---|---|
| Riesgo financiero | Capital contable negativo, incumplimientos recurrentes, concurso mercantil | Alta | Alta |
| Riesgo de cumplimiento / sanciones | Inclusión en listas OFAC/ONU/UE, PEP no declarado, RFC en estatus irregular | Crítica | Alta |
| Riesgo antilavado (LFPIORPI) | Actividad vulnerable sin registro UIF, operaciones en umbrales no reportadas | Crítica | Alta |
| Riesgo operacional | Ausencia de PCN, dependencia de proveedor único para función crítica | Alta | Media |
| Riesgo tecnológico / cibernético | Ausencia de ISO 27001, incidente de seguridad reciente, sin política de accesos | Alta (CNBV CUB) | Media |
| Riesgo jurídico | Litigios en curso, sentencias penales contra socios o administradores | Alta | Alta |
| Riesgo de protección de datos (LFPDPPP) | Sin aviso de privacidad, sin contrato de encargado, historial de violaciones al INAI | Crítica (si trata datos) | Alta (si trata datos) |
| Riesgo geográfico | Jurisdicciones bajo embargo, países de alto riesgo GAFI, paraísos fiscales | Crítica | Alta |
Para las entidades supervisadas por la CNBV, el riesgo antilavado y el riesgo tecnológico tienen prioridad crítica independientemente del tamaño del proveedor, dado que la Circular Única de Bancos establece responsabilidad directa de la institución por las deficiencias de control en sus terceros contratados.
Una matriz de scoring ponderado, adaptada a su sector, está disponible en nuestra guía de verificación de documentos.
Automatizar el vendor due diligence
La automatización del vendor due diligence responde a tres presiones simultáneas: el volumen creciente de proveedores por evaluar, la complejidad regulatoria que aumenta cada año en México, y la necesidad de mantener una pista de auditoría sólida para los controles de la UIF, la CNBV y el INAI.
Nuestro análisis de más de 45.000 expedientes de proveedores revela que el 14,2% contiene errores bloqueantes — documentos con vigencia expirada, divergencias entre datos del acta constitutiva y el RFC en el SAT, o constancias que presentan señales de adulteración. Estos errores no son detectados por procesos manuales en más del 40% de los casos, por falta de tiempo o de capacitación de los equipos de compras y cumplimiento.
CheckFile automatiza las verificaciones documentales en cada etapa del checklist: extracción OCR de datos de identidad legal, verificación de consistencia entre documentos, validación de autenticidad de constancias oficiales (SAT, IMSS, Registro Público de Comercio) y screening automático contra listas de sanciones actualizadas diariamente. La plataforma genera un expediente del proveedor con sello de tiempo y firma electrónica, directamente utilizable en procesos de auditoría o inspección regulatoria.
Para los equipos de financiamiento y arrendamiento que procesan altos volúmenes de expedientes de proveedores, nuestro módulo dedicado /solutions/financement-leasing reduce el tiempo de procesamiento por expediente en un 78% en promedio. Los detalles técnicos sobre nuestra infraestructura de seguridad están disponibles en /securite.
La automatización no elimina la responsabilidad humana en la decisión final — la redirige hacia el análisis de casos complejos y la validación de expedientes de alto riesgo, donde el valor del oficial de cumplimiento es real. Consulte nuestros planes y precios para conocer las opciones adecuadas a su volumen de expedientes.
Preguntas frecuentes
¿Qué es el vendor due diligence y por qué es obligatorio en México?
El vendor due diligence es el proceso de evaluación formalizada de un proveedor que cubre su situación financiera, jurídica, regulatoria y operacional. En México, la obligatoriedad varía por sector: la LFPIORPI impone identificación de contrapartes y reporte a la UIF para las 16 Actividades Vulnerables; la Circular Única de Bancos de la CNBV exige gestión de riesgos de terceros para el sistema financiero; la LFPDPPP obliga a evaluar a los proveedores que tratarán datos personales; y el SAT requiere verificación del RFC para cualquier relación comercial formal. La ausencia de due diligence documentada expone a la empresa a multas de la UIF, sanciones de la CNBV y responsabilidad civil.
¿Cuál es la diferencia entre due diligence estándar y due diligence reforzada?
La due diligence estándar (CDD) cubre las verificaciones básicas: identidad legal vía RFC y acta constitutiva, situación fiscal en el SAT, ausencia de sanciones. La due diligence reforzada (EDD) se activa por un nivel de riesgo elevado — proveedor ubicado en una jurisdicción de alto riesgo según el GAFI, PEP entre los socios, actividad dentro de las 16 Actividades Vulnerables de la LFPIORPI, o montos contractuales significativos. La EDD incluye verificaciones profundas sobre los beneficiarios controladores finales (UBO), análisis de flujos financieros y revisión más frecuente del expediente.
¿Con qué frecuencia se debe renovar la due diligence de proveedores en México?
La frecuencia depende del nivel de riesgo asignado al proveedor y de las obligaciones regulatorias aplicables. Las Resoluciones de Carácter General de la UIF exigen actualización de expedientes cuando se producen cambios relevantes en el perfil del proveedor. En la práctica, los equipos de cumplimiento aplican revisión semestral para proveedores críticos y revisión anual o disparada por evento — cambio de socios, fusión, incidente de seguridad — para los demás.
¿Qué documentos se deben recopilar en un vendor due diligence en México?
El conjunto documental mínimo incluye: constancia de situación fiscal del SAT (no mayor a 3 meses), acta constitutiva con inscripción vigente en el Registro Público de Comercio, opinión de cumplimiento fiscal (32-D), identificación oficial vigente (INE o pasaporte) de socios administradores y UBOs, CURP de los representantes personas físicas, y — para proveedores que traten datos personales — aviso de privacidad y contrato de encargado LFPDPPP. Para proveedores del sector financiero supervisados por la CNBV, se añaden los registros de cumplimiento antilavado y los reportes de auditoría tecnológica.
¿Cómo demostrar que la due diligence fue realizada ante una auditoría de la UIF o la CNBV?
La comprobación reside en el expediente del proveedor: debe contener sello de tiempo en cada documento, el resultado de las verificaciones de autenticidad, el score de riesgo asignado y las decisiones tomadas (aprobación, rechazo, escalada a cumplimiento). Un registro de las reevaluaciones con fechas y conclusiones completa el dispositivo probatorio. Plataformas como CheckFile generan automáticamente esta documentación en un formato directamente utilizable en inspecciones regulatorias.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.