Skip to content
Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento10 min de lectura

Gestión de riesgos de terceros (TPRM): guía completa

Guía completa de gestión de riesgos de terceros (TPRM): marco DORA, CNBV, evaluación de proveedores

El equipo CheckFile
El equipo CheckFile·
Illustration for Gestión de riesgos de terceros (TPRM): guía completa — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La gestión de riesgos de terceros (Third-Party Risk Management o TPRM) se ha convertido en una obligación regulatoria de primer nivel para las entidades financieras mexicanas. El 35.5 % de las violaciones de datos tienen su origen en la cadena de suministro, y la CNBV (Comisión Nacional Bancaria y de Valores) ha identificado carencias significativas en las políticas de gestión de proveedores TIC entre las entidades supervisadas en México.

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.

Este artículo presenta el marco regulatorio mexicano e internacional, los cinco pilares de un programa TPRM efectivo y las herramientas prácticas para cumplir con las exigencias de la CNBV y la UIF en 2026.

Este artículo tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico, financiero ni regulatorio. Para cuestiones específicas a su organización, consulten con un profesional cualificado.

Qué es el TPRM y por qué es obligatorio en México

El TPRM (Third-Party Risk Management) es el proceso estructurado mediante el cual una organización identifica, evalúa, supervisa y mitiga los riesgos derivados de sus relaciones con proveedores externos, subcontratistas y socios tecnológicos.

En México, las Disposiciones de carácter general aplicables a las instituciones de crédito de la CNBV imponen requisitos de gestión del riesgo operacional que abarcan a proveedores de servicios tecnológicos y de procesamiento de datos. La CNBV ha intensificado su supervisión en materia de tercerización de servicios financieros, alineándose con estándares internacionales como DORA en la UE.

Además, el Reglamento DORA (UE) 2022/2554, aplicable desde el 17 de enero de 2025, es relevante para las instituciones mexicanas con operaciones en la UE o que procesan datos de ciudadanos europeos, ya que impone requisitos precisos de gestión del riesgo vinculado a proveedores TIC.

Las entidades mexicanas deben cumplir con:

Marco normativo Ámbito de aplicación
Disposiciones CNBV en materia de riesgo operacional Instituciones de crédito, casas de bolsa, SOFIPOS
LFPDPPP Tratamiento de datos personales con terceros
LFPIORPI Debida diligencia sobre proveedores de servicios (actividades vulnerables)
Circular Única de Bancos (CNBV) Requisitos de tercerización y continuidad operativa
DORA (Reglamento UE 2022/2554) Entidades con operaciones en la UE
NIS2 (para operaciones en la UE) Seguridad de la cadena de suministro

Marco regulatorio: CNBV, UIF y estándares internacionales en 2026

Obligaciones de la CNBV para entidades financieras mexicanas

Las Disposiciones de carácter general de la CNBV exigen a las instituciones de crédito y casas de bolsa mantener un programa de gestión de riesgo operacional que incluya la evaluación y monitoreo de proveedores críticos. La CNBV y Banxico (Banco de México) actúan como autoridades supervisoras nacionales.

Las principales obligaciones relacionadas con el TPRM son:

  • Inventario de proveedores críticos: mantenimiento de un registro completo de todos los proveedores de servicios tecnológicos y de procesamiento de datos.
  • Due diligence precontractual: evaluación obligatoria de riesgos antes de suscribir cualquier acuerdo que cubra funciones críticas.
  • Cláusulas contractuales mínimas: los contratos deben incorporar derechos de auditoría, niveles de servicio, notificación de incidentes, estrategias de salida y requisitos de confidencialidad.
  • Supervisión continua: las entidades no pueden delegar su responsabilidad de supervisión en un tercero.
  • Gestión del riesgo de concentración: evaluación de alternativas cuando existe dependencia excesiva de un único proveedor.

La CNBV ha identificado que aproximadamente el 25 % de las entidades presenta carencias en sus políticas de gestión de tercerización y cambios — precisamente el área donde se sitúa la mayor vulnerabilidad TPRM.

UIF y la debida diligencia sobre terceros

La UIF (Unidad de Inteligencia Financiera) exige, en el marco de la LFPIORPI, que los sujetos obligados y quienes realizan actividades vulnerables apliquen medidas de diligencia debida sobre sus proveedores de servicios cuando estos puedan exponer a la entidad a riesgos de lavado de dinero o financiamiento al terrorismo. Esta obligación complementa las exigencias de la CNBV y amplía el perímetro del TPRM más allá del riesgo TIC.

Los cinco pilares de un programa TPRM efectivo

1. Inventario y clasificación de terceros

Un programa TPRM comienza con un inventario exhaustivo de todos los proveedores — directos, subcontratistas, socios tecnológicos y proveedores cloud. Cada tercero se clasifica según su criticidad:

  • Crítico: funciones esenciales, acceso a datos sensibles, alta dependencia operacional.
  • Importante: impacto moderado en caso de fallo, acceso limitado a datos.
  • Estándar: servicios periféricos, bajo impacto operacional.

Según datos de Whistic 2025, las organizaciones gestionan en promedio 286 proveedores, con una proporción de 33.6 proveedores por profesional del riesgo. Sin una clasificación clara, es imposible priorizar los recursos de due diligence y supervisión.

2. Due diligence precontractual

La evaluación precontractual de proveedores TIC críticos debe cubrir:

  • Solidez financiera (estados financieros auditados, calificación crediticia, coberturas de seguro).
  • Postura de seguridad (certificaciones ISO 27001, SOC 2 Tipo II, resultados de pruebas de penetración).
  • Cumplimiento normativo (LFPDPPP, LFPIORPI, sectorial).
  • Capacidad de continuidad de negocio y recuperación ante desastres.
  • Documentación de planes de salida y portabilidad de datos.

CheckFile automatiza la recopilación y verificación de los documentos aportados por los proveedores en esta fase — certificaciones, estados financieros auditados, pólizas de seguro, constancias del Registro Público de Comercio — detectando automáticamente documentos ausentes o caducados.

3. Contratos conformes con la regulación mexicana

Los contratos con proveedores TIC críticos deben incluir las cláusulas exigidas por las Disposiciones de la CNBV, so pena de incumplimiento regulatorio. Las cláusulas mínimas comprenden:

  • Descripción precisa de los servicios y niveles de rendimiento (SLA).
  • Derechos de auditoría e inspección para la entidad y sus supervisores.
  • Notificación de incidentes graves en un plazo máximo razonable.
  • Condiciones de resolución y estrategia de salida documentada.
  • Restricciones a la subcontratación de funciones críticas sin aprobación previa.
  • Localización de los datos y régimen jurídico aplicable.

4. Supervisión continua

La supervisión puntual ha dejado de ser suficiente. El 70 % de las partes interesadas carece de visibilidad sobre los riesgos de sus proveedores (Gartner, 2025). Los supervisores — tanto la CNBV como Banxico — esperan evidencia de monitoreo en tiempo real, no evaluaciones anuales estáticas.

Las prácticas de supervisión continua incluyen:

  • Revisión periódica de cuestionarios de evaluación (frecuencia adaptada a la criticidad).
  • Seguimiento de indicadores de riesgo cibernético (puntuaciones de seguridad externas, alertas CVE).
  • Monitoreo de la salud financiera del proveedor.
  • Control del cumplimiento de los SLA y gestión de incidentes.
  • Alertas automáticas sobre vencimiento de certificaciones y licencias regulatorias.

CheckFile permite centralizar la documentación de cumplimiento de proveedores y recibir alertas automáticas cuando un certificado ISO, una póliza de seguro o una licencia regulatoria se aproxima a su vencimiento.

5. Gestión de incidentes y estrategias de salida

Las mejores prácticas internacionales y la CNBV exigen estrategias de salida documentadas y probadas para todos los proveedores TIC críticos. En la práctica, esto implica:

  • Identificación de proveedores alternativos o planes de internalización.
  • Planes de migración de datos y transición de sistemas probados.
  • Plazos de preaviso contractuales adaptados a la complejidad de la transición.
  • Registro completo de dependencias técnicas y flujos de datos.

Para profundizar en el marco regulatorio DORA y la verificación documental en el sector financiero, consulte nuestro artículo sobre DORA 2026.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Explorar las guías

Desafíos prácticos del TPRM en México

Los foros de cumplimiento y los profesionales del riesgo identifican de forma recurrente los mismos obstáculos para implementar un programa TPRM maduro.

El primer reto es obtener la documentación adecuada de los proveedores: el 48 % de los equipos de cumplimiento lo señala como su principal dificultad (ISACA, 2020). Muchos proveedores, especialmente las pymes, carecen de programas de cumplimiento estructurados y tienen dificultades para proporcionar la documentación exigida.

El segundo reto es la falta de recursos internos: el 62 % de los responsables de riesgo considera que su programa TPRM está insuficientemente dotado de personal. Con proporciones de 33.6 proveedores por profesional del riesgo, la automatización documentaria deja de ser opcional.

El tercer reto es la obtención del apoyo de la dirección: solo el 40 % de las empresas reporta regularmente sobre riesgos de terceros a su consejo de administración. El argumento económico es directo: el costo promedio de una violación de datos alcanzó los 4.88 millones de dólares en 2024 (IBM Cost of a Data Breach Report 2024).

Para una visión completa del marco de gobernanza en el que se inscribe el TPRM, consulte nuestra guía GRC y la guía de conformidad documental.

Checklist operativa del programa TPRM

Un programa TPRM maduro incluye los siguientes elementos:

  • Política TPRM escrita y aprobada por la dirección.
  • Inventario completo y actualizado de terceros con clasificación por criticidad.
  • Cuestionarios de evaluación adaptados al nivel de riesgo.
  • Registro de proveedores críticos conforme a las Disposiciones CNBV.
  • Cláusulas contractuales conformes a la regulación mexicana para proveedores críticos.
  • Proceso de supervisión continua documentado.
  • Estrategias de salida probadas para proveedores críticos.
  • Informe anual TPRM presentado al órgano de administración.
  • Mapa de riesgos de concentración.
  • Procedimiento de gestión de incidentes con implicación de terceros.

Para centralizar la gestión documental de proveedores y automatizar el seguimiento de certificaciones y contratos, descubran CheckFile y sus funcionalidades de conformidad de proveedores.

Para una visión completa, consulte nuestra guía completa de conformidad documental. Nuestra plataforma procesa más de 180,000 documentos de cumplimiento al mes con una precisión OCR del 98.7 % y una tasa de detección de fraude del 94.8 %, manteniendo una disponibilidad del 99.97 %.

Ir más allá

Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.

Ir más allá

Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.

Preguntas frecuentes

¿Qué es el TPRM y por qué es obligatorio para entidades financieras mexicanas?

El TPRM (Third-Party Risk Management) es el conjunto de procesos para gestionar los riesgos derivados de proveedores externos. Es obligatorio para las entidades financieras mexicanas en virtud de las Disposiciones de carácter general de la CNBV sobre riesgo operacional y tercerización, con la CNBV y Banxico como autoridades supervisoras nacionales.

¿Cómo afectan las regulaciones internacionales como DORA a México?

DORA es directamente aplicable a entidades con operaciones en la UE. Para instituciones mexicanas sin presencia europea, DORA establece un estándar de referencia que la CNBV utiliza como benchmark. Las mejores prácticas de DORA — registro de contratos TIC, due diligence precontractual, supervisión continua — se están incorporando progresivamente a la regulación mexicana.

¿Cuál es la diferencia entre TPRM y gestión de proveedores?

La gestión de proveedores se centra en el rendimiento operativo y las condiciones comerciales. El TPRM añade una dimensión de riesgo estructurada: evaluación de seguridad, cumplimiento normativo, solidez financiera y resiliencia, con documentación destinada a los supervisores.

¿Qué documentos hay que exigir a los proveedores críticos?

Los documentos mínimos para un proveedor TIC crítico incluyen: el contrato con cláusulas de auditoría y salida, certificados de seguridad (ISO 27001, SOC 2), plan de continuidad de negocio, plan de respuesta a incidentes, plan de salida e informes de auditoría recientes.

¿Qué sanciones conlleva el incumplimiento en materia de TPRM?

Las entidades financieras que incumplan las disposiciones de la CNBV están sujetas a sanciones administrativas que incluyen multas, amonestaciones e incluso la revocación de la autorización para operar. La CNBV puede imponer multas de hasta 100,000 UMA por infracciones graves a las disposiciones de tercerización y riesgo operacional.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Artículos relacionados

Cumplimiento13 min

Tipologías de lavado de dinero en México: esquemas y señales documentales

Principales tipologías de lavado de dinero bajo la LFPIORPI, obligaciones de la UIF y el SAT, actividades vulnerables y señales de alerta documentales para sujetos obligados en México.

Leer
Cumplimiento12 min

AML Red Flags: indicadores de actividad sospechosa para compliance en México

Guía completa de AML red flags en México: indicadores transaccionales, de cliente, geográficos y sectoriales. Marco UIF, CNBV, LFPIORPI y actividades vulnerables para equipos de cumplimiento.

Leer
Cumplimiento9 min

SOC 2 Compliance para SaaS en México: Seguridad Documental, Controles y Auditoría

Guía completa de SOC 2 compliance para empresas SaaS en México: AICPA, UIF, CNBV, SAT, LFPIORPI y LFPDPPP. Seguridad documental alineada al marco regulatorio mexicano y preparación para auditoría Tipo II.

Leer