Know Your Supplier (KYS): checklist de verificación de proveedores
Guía completa KYS para equipos de compras: checklist de 12 verificaciones, marco normativo español (Ley 10/2010, SEPBLAC, CSDDD), señales de alerta y automatización.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl Know Your Supplier (KYS) es el proceso de diligencia debida estructurado mediante el cual una organización verifica sistemáticamente la identidad legal, la situación de cumplimiento y las coordenadas bancarias de sus proveedores antes y durante cualquier relación comercial. Derivado de las prácticas KYC (Know Your Customer) del sector bancario, el KYS se ha convertido en un estándar de gestión del riesgo en la cadena de suministro de todos los sectores, impulsado por marcos normativos cada vez más exigentes.
En España, las obligaciones de verificación de terceros provienen principalmente de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y su reglamento de desarrollo (RD 304/2014). El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) supervisa el cumplimiento de estas obligaciones y puede imponer sanciones de hasta el 10 % del volumen de negocio anual en caso de incumplimientos graves (SEPBLAC — Guías de cumplimiento).
Los equipos de compras que automatizan su proceso KYS reducen el tiempo de procesamiento de verificaciones en un 83 % y el coste por expediente proveedor en un 67 % (análisis interno CheckFile, 2026). Esta eficiencia se logra mediante la eliminación de controles manuales redundantes y la obtención automatizada de documentos de fuentes oficiales.
¿Qué es el Know Your Supplier (KYS)?
El KYS aplica los principios del KYC al lado del aprovisionamiento: en lugar de conocer a los clientes, se trata de conocer a los proveedores. El proceso cubre tres dimensiones complementarias: verificación de la identidad legal de la empresa, autenticación de sus coordenadas bancarias y evaluación continua de su perfil de riesgo a lo largo de la relación comercial.
Un programa KYS completo incluye obligatoriamente:
- Verificación de la existencia legal y el estado de la sociedad (activa, concurso de acreedores, cancelación)
- Identificación de titulares reales o beneficiarios efectivos (UBO — Ultimate Beneficial Owners)
- Cribado en listas de sanciones internacionales (UE, OFAC, ONU) y nacionales
- Detección de Personas con Exposición Política (PEP) en la dirección y en la propiedad
- Revisión de noticias adversas (adverse media screening)
- Autenticación de cuenta bancaria para prevenir el fraude al cambio de IBAN
La sexta Directiva Anti-Blanqueo (AMLD6), transpuesta mediante la Directiva (UE) 2024/1640, exige a las entidades obligadas aplicar medidas de diligencia reforzada a los proveedores y socios comerciales de alto riesgo (Directiva (UE) 2024/1640, Art. 22).
Marco normativo español del KYS
Cuatro marcos regulatorios estructuran las obligaciones de verificación de proveedores en España:
Ley 10/2010 de PBC/FT y RD 304/2014: las entidades obligadas deben aplicar medidas de diligencia debida a sus socios comerciales y proveedores que intervienen en operaciones sujetas a supervisión. El Reglamento de Desarrollo (RD 304/2014) establece los procedimientos internos de control requeridos y la periodicidad mínima de las revisiones.
Ley Orgánica 3/2018 (LOPDGDD) + RGPD: la recogida y el tratamiento de datos personales en el marco del proceso KYS debe respetar los principios del Reglamento (UE) 2016/679 y la LOPDGDD, supervisados por la AEPD (Agencia Española de Protección de Datos).
Ley 11/2018 (información no financiera): las grandes empresas y grupos cotizados están obligados a divulgar información sobre diligencia debida en materia de derechos humanos y cadena de suministro. La CNMV supervisa el contenido de estas declaraciones e informes de sostenibilidad.
Directiva CSDDD — Transposición prevista 2026–2027: la Directiva (UE) 2024/1760 de diligencia debida empresarial en materia de sostenibilidad exigirá a las grandes empresas europeas —incluidas las españolas— procesos de diligencia en toda la cadena de valor a partir de 2027, con sanciones de hasta el 5 % del volumen de negocio mundial.
| Normativa | Umbral de aplicación | Obligación KYS principal |
|---|---|---|
| Ley 10/2010 + RD 304/2014 | Entidades obligadas | Diligencia debida en clientes y terceros |
| Ley 11/2018 (información no financiera) | >500 empleados o cotizadas | Divulgación cadena de suministro |
| LOPDGDD + RGPD | Todas las organizaciones | Protección de datos en procesos de verificación |
| CSDDD (desde 2027) | >1.000 empleados, >450 M€ facturación | Diligencia debida en toda la cadena de valor |
Checklist KYS: las 12 verificaciones obligatorias
Los profesionales de compras y compliance identifican con regularidad que las dos etapas más omitidas en la práctica son la verificación de titulares reales y el cribado de sanciones — ambas pueden exponer a la empresa a sanciones regulatorias de gran calado.
Pasos 1–4: Verificación de identidad legal
| Documento | Fuente oficial | Frecuencia de control |
|---|---|---|
| Nota Simple del Registro Mercantil | Registro Mercantil Central | En incorporación + anualmente |
| Escritura de constitución y estatutos | Notaría / Registro Mercantil | En incorporación |
| Declaración de titulares reales (UBO) | Registro Mercantil — art. 21 Ley 10/2010 | En incorporación + en cambios |
| NIF activo y no incluido en listas de sanciones | AEAT — verificación NIF | En cada pago >6.000 € |
Pasos 5–6: Verificación de coordenadas bancarias
La autenticación del IBAN y la titularidad de la cuenta es la medida más eficaz contra el fraude al cambio de IBAN. Este tipo de ataque represente el 31 % de los casos de fraude documental con proveedores detectados en nuestra plataforma. La verificación debe repetirse en cada modificación bancaria comunicada, independientemente del canal utilizado, y nunca debe actuarse sobre notificaciones verbales o por correo electrónico sin confirmación documental.
Pasos 7–9: Cribado de sanciones, PEP y noticias adversas
El cribado debe cubrir la lista consolidada de la UE, la lista SDN de OFAC, las listas de la ONU y el Boletín Oficial del Estado para sanciones nacionales. La detección de PEP debe extenderse a administradores, socios mayoritarios y titulares reales. La búsqueda de noticias adversas cubre condamnaciones penales, procedimientos sancionatorios de la CNMV o el Banco de España, escándalos reputacionales y vínculos con crimen organizado.
Pasos 10–12: Verificaciones sectoriales específicas
Según el sector del proveedor: habilitaciones y autorizaciones profesionales, certificaciones ISO (9001, 27001, 14001), pólizas de seguro de responsabilidad civil, y acreditación de estar al corriente con la Seguridad Social y la Agencia Tributaria. El certificado de situación tributaria actualizado es un documento clave para cualquier proveedor de la Administración Pública.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoPuntuación de riesgo del proveedor
Aplicar un nivel uniforme de verificación a todos los proveedores es operativamente insostenible en carteras amplias. Un modelo de puntuación por nivel de riesgo concentra la diligencia reforzada donde más importa.
| Nivel de riesgo | Criterios | Frecuencia de revisión |
|---|---|---|
| Bajo | Proveedor registrado en España/UE, <50 K€/año, sector no regulado | Anual |
| Medio | Fuera de la UE, 50 K€–500 K€/año, o sector con regulación específica | Semestral |
| Alto | >500 K€/año, países de alto riesgo (lista GAFI), o servicios regulados | Trimestral + diligencia reforzada |
| Crítico | Proveedor estratégico, operaciones en territorios sancionados | Vigilancia continua |
Según el Índice de Riesgo Documental CheckFile, los expedientes de proveedores en sectores de alto volumen transaccional alcanzan una puntuación media de 6,2/10, lo que justifica la automatización de los controles para garantizar la exhaustividad de las verificaciones.
KYS, KYC y KYB: diferencias clave
| Proceso | Objetivo | Contexto principal |
|---|---|---|
| KYC (Know Your Customer) | Clientes, inversores, particulares | Banca, seguros, servicios financieros |
| KYB (Know Your Business) | Socios comerciales, distribuidores | Incorporación B2B, licitaciones públicas |
| KYS (Know Your Supplier) | Proveedores, subcontratistas, prestadores de servicios | Compras, cadena de suministro, cuentas por pagar |
Para profundizar en los procesos de verificación de empresas proveedoras, consulte nuestra guía sobre verificación documental de empresas en el onboarding KYB y el checklist de due diligence para empresas.
Señales de alerta en la verificación de proveedores
Los profesionales de compras y compliance identifican con frecuencia estas señales que deben activar una diligencia reforzada inmediata:
- Cambio de IBAN comunicado por correo electrónico informal, sin documentación oficial en papel timbrado
- Ausencia de presencia web verificable (sin sitio web, sin perfil en Registro Mercantil)
- Estructura de propiedad opaca con sociedades interpuestas en jurisdicciones de riesgo
- Discrepancia entre el NIF/CIF facilitado y el nombre legal registrado en el Registro Mercantil
- Negativa a facilitar Nota Simple reciente o declaración de titulares reales
- Domicilio fiscal diferente al domicilio de facturación o a la sede social registral
- Capital social simbólico para el volumen de negocio propuesto en el contrato
Automatizar el proceso KYS
La gestión manual del KYS para una cartera de 100 proveedores activos supone entre 200 y 300 verificaciones anuales, con un riesgo de omisión y error que se multiplica a medida que la cartera crece. Las empresas con más de 200 proveedores activos raramente pueden garantizar la exhaustividad con recursos manuales.
CheckFile automatiza todo el flujo de trabajo KYS: recogida documental, verificación frente a registros oficiales (Registro Mercantil, AEAT, listas de sanciones UE y OFAC), generación de alertas de renovación y trazabilidad de auditoría certificada. Consulte también el guía completo de verificación de documentos para conocer la metodología de verificación en detalle.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento jurídico, financiero o regulatorio. Para situaciones específicas, consulte a un profesional de compliance o abogado especializado.
Preguntas frecuentes
¿Qué es el Know Your Supplier (KYS)?
El Know Your Supplier (KYS) es el proceso de diligencia debida mediante el cual una organización verifica la identidad legal, la situación financiera, el perfil sancionatorio y las coordenadas bancarias de sus proveedores antes y durante la relación comercial. Extiende los principios del KYC al lado del aprovisionamiento, aplicando controles equivalentes a los que los bancos realizan sobre sus clientes.
¿Es obligatorio el KYS en España?
El KYS es obligatorio para las entidades sujetas a la Ley 10/2010 de prevención del blanqueo de capitales respecto de socios comerciales y proveedores que participan en operaciones sujetas a supervisión. La Ley 11/2018 obliga a las grandes empresas a divulgar su diligencia debida en la cadena de suministro. A partir de 2027, la CSDDD impondrá obligaciones de diligencia en toda la cadena de valor para las grandes empresas europeas con sanciones de hasta el 5 % del volumen de negocio mundial.
¿Con qué frecuencia debe renovarse la verificación KYS?
La frecuencia depende del nivel de riesgo asignado al proveedor. Los de bajo riesgo requieren revisión anual. Los de riesgo medio, semestral. Los de alto riesgo, revisión trimestral con diligencia reforzada. Cualquier cambio en la titularidad, coordenadas bancarias o domicilio social activa una revisión inmediata fuera del ciclo previsto, independientemente de cuándo se realizó la última revisión.
¿Qué documentos hay que recopilar en un proceso KYS?
El expediente KYS básico incluye: Nota Simple del Registro Mercantil (<3 meses), escritura de constitución, declaración de titulares reales, certificado bancario en papel oficial, certificado de estar al corriente con la Seguridad Social y certificado tributario de la AEAT. Cada documento debe verificarse en la fuente oficial, no limitarse a su recepción desde el proveedor.
¿Cuál es la diferencia entre KYS y KYB?
El KYB (Know Your Business) se refiere a la diligencia sobre socios comerciales o clientes empresariales en el onboarding B2B, especialmente en sectores regulados. El KYS es específico para proveedores —las empresas a las que se compran bienes o servicios—. Los pasos de verificación son similares, pero la dirección de la relación comercial y las obligaciones regulatorias asociadas son distintas.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.