Volver al blog
AML & Cumplimiento

Due Diligence de Proveedores: guía operativa para SAGRILAFT y PTEE

La debida diligencia de proveedores es la #1 fuente de exposición AML/soborno. Aprende qué evaluar, niveles de profundidad y cómo armar un workflow eficiente.

Publicado 22 de junio de 20268 min de lecturaActualizado 27 de jun de 2026

Tu próximo riesgo regulatorio probablemente no esté en tus clientes, sino en tus proveedores. Estudios OCDE muestran que el 75% del soborno transnacional pasa por intermediarios o terceros. Aquí te enseñamos cómo armar una debida diligencia de proveedores que cumpla SAGRILAFT y PTEE sin asfixiar al área de compras.

Due Diligence de Proveedores: qué es

Es el proceso por el cual una empresa identifica, evalúa y monitorea el riesgo AML, anti-soborno y reputacional asociado a sus proveedores, agentes, intermediarios, contratistas y consultores. En SAGRILAFT son contrapartes materiales; en PTEE son terceros relevantes.

Por qué los proveedores son el riesgo #1

  • Son la principal vía de soborno transnacional (caso Odebrecht, FIFA, etc.).
  • Pueden ocultar UBOs problemáticos detrás de varias capas societarias.
  • Sus prácticas laborales y de pago pueden impactar tu compliance.
  • Auditores y reguladores los revisan como extensión de tus controles.
  • En caso de incidente, tu empresa responde solidariamente.

Los 4 niveles de profundidad

NivelCuándo aplicarProfundidad
1. LightProveedor < USD 5K/año, sector bajo riesgoCámara de comercio + screening listas básicas
2. StandardProveedor regular < USD 50K/año+ KYB + UBO declarado + Habeas Data
3. Enhanced (EDD)Proveedor crítico, internacional, contratista del Estado+ verificación UBO + estados financieros + visita
4. ForensicBanderas rojas detectadas+ investigación, base extensiva, entrevistas

Qué información recolectar (checklist)

Datos básicos

  • Razón social, NIT, dirección, teléfono.
  • Certificado de existencia (≤30 días).
  • Representante legal + cédula.
  • Actividad económica CIIU.
  • Año de constitución.

UBO (Beneficiario Final)

  • Personas naturales con ≥5% de control directo o indirecto.
  • Si hay holding extranjera, trazar hasta la persona natural.
  • Validar consistencia entre lo declarado y lo que muestra registro mercantil.

Capacidad financiera y operativa

  • Estados financieros últimos 2 años.
  • Referencias comerciales.
  • Capacidad instalada para entregar el servicio/producto.

Compliance del proveedor

  • ¿Tiene Política Anti-Soborno?
  • ¿Tiene Política de Tratamiento de Datos?
  • ¿Está sujeto a SARLAFT/SAGRILAFT/PTEE?
  • ¿Tiene Oficial de Cumplimiento designado?
  • ¿Ha sido sancionado en los últimos 5 años?

Screening obligatorio

  • OFAC SDN, ONU, UE, INTERPOL.
  • PEPs Colombia + internacionales.
  • Listas vinculantes Colombia (UIAF).
  • Bases judiciales (antecedentes penales).
  • Noticias adversas (adverse media).

Las 8 banderas rojas en proveedores

  1. Estructura corporativa opaca con jurisdicciones offshore.
  2. Solicita pagos a terceros distintos al proveedor original.
  3. Pide pagos a paraísos fiscales.
  4. Negativa a firmar cláusulas anti-corrupción.
  5. Precio significativamente superior al mercado sin justificación técnica.
  6. Relación con funcionarios públicos o sus parientes.
  7. Empresa de creación reciente (≤6 meses) con contratos desproporcionados al patrimonio.
  8. Falta de oficina física verificable.

Agentes e intermediarios — el caso especial

Los agentes comerciales que abren mercados o representan a la empresa ante el Estado son la categoría de mayor riesgo. La FCPA estadounidense, la UK Bribery Act y la Ley 1778 colombiana ponen el foco aquí. La debida diligencia debe incluir:

  • Justificación de necesidad del agente.
  • Estructura de comisiones (% sobre venta es bandera amarilla).
  • Performance histórico medible.
  • Cláusula anti-soborno con derecho a auditar.
  • Pagos contra entregables verificables.

Workflow de Due Diligence (operativo)

Pasos típicos en un sistema digital:

  1. Solicitud — área operativa solicita alta de proveedor.
  2. Formulario público — el proveedor llena KYB online con Habeas Data.
  3. Validación documental — sistema verifica cámara, RUT, registro.
  4. Screening automático — listas restrictivas y PEPs.
  5. Risk scoring — el sistema calcula riesgo (sector + país + UBO).
  6. Aprobación — bajo riesgo: automática. Medio: jefe de compras. Alto: Comité de Compliance. Crítico: Junta.
  7. Contrato con cláusulas AML obligatorias.
  8. Monitoreo — re-screening + revisión periódica.

Errores típicos

  • Onboarding solo por urgencia operativa — "lo aprobamos rápido y después documentamos".
  • UBO declarado sin verificar.
  • No re-screening de proveedores antiguos.
  • Cláusula anti-soborno copiada sin definir penalidades reales.
  • No auditar a proveedores críticos.

Multas y casos relevantes

  • Odebrecht — USD 2.6B (FCPA 2016) por sobornos vía proveedores.
  • Walmart — USD 282M (FCPA 2019) por agentes en México.
  • Goldman Sachs — USD 2.9B (2020, escándalo 1MDB Malasia).
  • Multinacional colombiana sancionada por SuperSociedades en 2023 por no validar proveedor extranjero relacionado con un funcionario sancionado.

¿Cómo te ayuda GRC Software?

  • Formulario público KYB para proveedores con Habeas Data integrado.
  • Validación documental + screening automático contra OFAC, PEPs, etc.
  • Detección de UBO con grafo de relaciones.
  • Risk scoring por proveedor con justificación auditable.
  • Workflow de aprobación multi-nivel con firma electrónica.
  • Re-screening diario de toda tu cartera de proveedores.
  • Reporte para Comité con cartera completa, riesgo concentrado y casos abiertos.

Próximos pasos

  1. Lee también SAGRILAFT vs SARLAFT y Guía PTEE.
  2. Hacé el diagnóstico de Debida Diligencia.
  3. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.