Global Site
Argentina Aruba Barbados Bolivia Brazil Canada Cayman Islands Chile Colombia Costa Rica Curacao El Salvador Guatemala Honduras Mexico Paraguay Peru Puerto Rico Saint Martin Suriname United States Uruguay Venezuela
Australia Cambodia China Hawaii Hong Kong India Indonesia Japan Macau Malaysia Maldives Mongolia Myanmar Nepal New Zealand Pakistan Philippines Singapore South Korea Sri Lanka Taiwan Thailand Vietnam
Albania Andorra Armenia Austria Azerbaijan Belgium Bulgaria Croatia Cyprus Czech Republic Denmark Estonia Finland France Georgia Germany Greece Hungary Ireland Italy Kazakhstan Kosovo Latvia Lithuania Luxembourg Malta Moldova Netherlands Norway Poland Portugal Romania Serbia Slovakia Slovenia Spain Sweden Switzerland Tajikistan Turkey Ukraine United Kingdom Uzbekistan
Algeria Angola Bahrain Egypt Ghana Israel Jordan Kenya Kuwait Lebanon Liberia Mauritius Morocco Mozambique Nigeria Oman Qatar Saudi Arabia Senegal Sierra Leone South Africa Tanzania Togo Tunisia Uganda United Arab Emirates Yemen
home Ideas

CONSULTORÍA

La importancia de implementar un Programa de Third-Party Risk

2508251_Third-Party Risk

En el contexto actual, los riesgos ya no se limitan a lo que sucede dentro de su organización. Hoy, cualquier tercero con el que mantenga una relación —proveedores, clientes, socios comerciales, contratistas— puede ser la puerta de entrada a un problema legal, regulatorio o reputacional de gran magnitud. Por eso, implementar un Programa de Gestión de Riesgo de Terceros (Third-Party Risk) ya no es una buena práctica: es una obligación estratégica para proteger su operación, patrimonio y reputación.

1. El riesgo no siempre llega por la puerta principal

Recientes casos han demostrado que actores ilícitos aprovechan vínculos indirectos para acceder a los sistemas financieros y al comercio internacional. La Ley Patriota de Estados Unidos permite sancionar a empresas extranjeras —aunque operen fuera de su territorio— si se detecta que han facilitado, de forma directa o indirecta, operaciones de lavado de dinero o financiamiento al crimen organizado.

Esto significa que, aunque su empresa no tenga operaciones ilegales, si uno de sus terceros está vinculado a actividades ilícitas, usted puede ser alcanzado por las sanciones: congelamiento de activos, bloqueo de operaciones y daño irreversible a su reputación.

2. La reforma a la LFPIORPI en México

La reciente reforma a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) amplía las obligaciones para quienes realizan actividades vulnerables. Ahora, los umbrales son más estrictos y la supervisión se refuerza, incorporando de forma más directa el financiamiento al terrorismo y la alineación con los estándares internacionales del GAFI.

Esto implica que las empresas deben conocer no solo sus propios riesgos, sino también los de sus socios y proveedores, porque un incumplimiento de un tercero puede derivar en sanciones administrativas, económicas e incluso penales.

3. La Lista de Personas Bloqueadas

La Unidad de Inteligencia Financiera (UIF) obliga a las instituciones financieras y a otros sujetos regulados a verificar que ninguno de sus clientes o contrapartes esté incluido en la Lista de Personas Bloqueadas. La detección de un tercero en esta lista implica suspender de inmediato la relación y reportarlo a la autoridad.
No contar con mecanismos para monitorear a sus terceros es operar con los ojos vendados frente a uno de los riesgos más críticos y vigilados por las autoridades.

4. Beneficios de un Programa de Third-Party Risk

Un programa bien diseñado le permitirá:

  • Identificar y evaluar riesgos antes de que se materialicen.
  • Cumplir con las obligaciones legales y regulatorias de forma proactiva.
  • Proteger la reputación y la continuidad del negocio.
  • Actuar con rapidez y certeza ante cualquier contingencia.

5. Diez pasos para implementar esta práctica de forma efectiva

1. Identificar a sus terceros críticos: Mapeo de proveedores, clientes, socios y contratistas con mayor exposición.
2. Realizar due diligence inicial: Verificación en listas de sanciones (OFAC, UIF, ONU, GAFI) y antecedentes legales.
3. Evaluar el riesgo: Asignación de niveles de riesgo (alto, medio, bajo) con base en jurisdicción, actividad y reputación.
4. Fortalecer contratos: Incorporar cláusulas de cumplimiento, auditoría y terminación por riesgo reputacional.
5. Monitorear de forma continua: Implementación de alertas y revisiones periódicas en listas y bases de datos oficiales.
6. Capacitar a su equipo y a sus terceros: Formación en riesgos legales, regulaciones y señales de alerta.
7. Auditar periódicamente: Revisión documental y de campo del cumplimiento de terceros clave.
8. Definir un plan de acción ante incidentes: Protocolos claros para suspender relaciones y reportar a la autoridad.
9. Establecer un comité de riesgo de terceros: Órgano responsable de supervisar y reportar a la alta dirección.
10. Actualizar el programa de forma constante: Incorporar cambios regulatorios y lecciones aprendidas de eventos reales.

6. Cómo podemos ayudarle

Nuestro equipo cuenta con la experiencia y las herramientas necesarias para diseñar, implementar y operar su Programa de Third-Party Risk, alineado con la reforma a la LFPIORPI, las disposiciones de la UIF y las mejores prácticas internacionales.
Podemos acompañarle en cada paso: desde la identificación de terceros críticos hasta la creación de protocolos de respuesta, garantizando que su empresa esté protegida ante los riesgos legales, financieros y reputacionales que hoy amenazan a cualquier organización.

Conclusión:

El cumplimiento normativo ya no es un lujo, es un escudo. Y en un entorno donde los riesgos se cuelan por las grietas más pequeñas, su programa de Third-Party Risk es la muralla que evita que un tercero ponga en riesgo todo lo que ha construido.


Lic. Alejandro Lozano Curiel 
Associate Partner
Regulatory Risk and Compliance
Crowe México