CumplimientoPLD.mx
Blog →
Artículo Guía de CompraSoftware PLDProveedor

Qué preguntarle a un proveedor de software PLD antes de firmar el contrato

Antes de contratar un software PLD en México, estas son las preguntas que debes hacerle a cualquier proveedor para tomar la mejor decisión.

Elegir un software PLD no es como contratar cualquier herramienta de gestión. Es una decisión que tiene consecuencias regulatorias directas: si el sistema falla o no cumple con los requisitos técnicos de la autoridad, la empresa que lo contrató —no el proveedor— asume las consecuencias ante el SAT o la CNBV.

Esta guía te da el marco para evaluar a cualquier proveedor antes de firmar. No es una lista de características técnicas abstractas: es una batería de preguntas concretas que debes llevar a la reunión de demo, con orientación sobre qué respuesta deberías esperar de un proveedor serio.

Por qué evaluar al proveedor importa tanto como el producto

El software PLD no es una compra de commodities. Tres factores lo hacen distinto:

1. El contexto regulatorio cambia. La LFPIORPI, las Disposiciones de Carácter General de la CNBV y los criterios del SAT se actualizan. Un proveedor que no tiene capacidad o disposición para mantener el sistema actualizado convierte tu herramienta de cumplimiento en una trampa: seguirás pensando que cumples cuando ya no es así.

2. El soporte en auditoría es crítico. Cuando el SAT o la CNBV llegan a revisar, necesitas saber que el proveedor puede ayudarte a reconstruir evidencia, exportar registros y explicar cómo funciona el sistema. Un proveedor que desaparece en ese momento es un pasivo, no un activo.

3. La integración con tu operación real. Un sistema que no se adapta a tu flujo operativo actual terminará siendo evadido por el personal: “lo hago en el Excel y luego lo subo”. Eso anula el valor del software y puede crear inconsistencias peligrosas.

Antes de revisar funcionalidades, evalúa al proveedor. Luego evalúa el producto.

Preguntas sobre la empresa proveedora

Estas preguntas no son sobre el software: son sobre quién está detrás. Son las primeras que debes hacer.

¿Cuántos años llevan operando en México con clientes activos en cumplimiento PLD?

Por qué importa: La experiencia específica en México, con clientes reales operando bajo la LFPIORPI y/o las DCG de la CNBV, no es intercambiable con experiencia genérica en software o incluso en AML en otros países. El marco mexicano tiene particularidades —el portal SPPLD del SAT, los formatos XML de la CNBV, la estructura de la UIF— que solo se conocen operando aquí.

Qué esperarías de un buen proveedor: Al menos 3-5 años con clientes activos en México, capacidad de mostrar una cartera de referencias en el sector y conocimiento detallado de los requisitos específicos del regulador local.

¿Tienen experiencia con entidades reguladas tanto por la CNBV como por el SAT/LFPIORPI?

Por qué importa: Los dos grandes regímenes de cumplimiento PLD en México tienen requisitos técnicos muy distintos. Un proveedor que solo conoce el mundo de las entidades financieras puede no entender las particularidades de las actividades vulnerables, y viceversa.

Qué esperarías de un buen proveedor: Capacidad de nombrar casos de uso concretos en ambos universos, con detalle sobre cómo su sistema maneja los requisitos específicos de cada régimen.

¿Puedo hablar con al menos dos clientes actuales que sean similares a mi empresa en tamaño y sector?

Por qué importa: Las referencias son el mejor filtro disponible. Un proveedor que no puede (o no quiere) conectarte con clientes actuales para que hables libremente tiene algo que ocultar.

Qué esperarías de un buen proveedor: Proporcionar referencias sin resistencia, idealmente de clientes en tu mismo sector o bajo el mismo régimen regulatorio.

¿Cuál es su modelo de financiamiento y estabilidad como empresa?

Por qué importa: Contratar un software PLD con una empresa que cierra o vende sus operaciones en 18 meses es un problema serio: perderías el historial de operaciones, los reportes generados y el soporte técnico en el peor momento posible.

Qué esperarías de un buen proveedor: Transparencia sobre su situación financiera, claridad sobre si tienen inversionistas o si son rentables, y garantías contractuales sobre la continuidad del servicio y la portabilidad de tus datos en caso de cierre.

15 preguntas sobre funcionalidades técnicas

Esta es la parte técnica. Llévala a la demo y pide que te muestren cada punto en el sistema, no que te lo expliquen en diapositivas.

1. ¿Qué listas de vigilancia consultan y con qué frecuencia se actualizan?

Respuesta esperada de un proveedor sólido: Consulta en tiempo real o con actualización diaria de al menos: lista de personas bloqueadas de la UIF (México), lista SDN de OFAC (EE.UU.), lista consolidada de sanciones de la ONU y bases de datos de PEPs nacionales e internacionales. Las listas desactualizadas son un riesgo regulatorio real.

2. ¿Cómo manejan los falsos positivos en la consulta de listas?

Respuesta esperada: Deben tener un proceso de resolución de coincidencias con evidencia documental, trazabilidad de la decisión y posibilidad de justificar por escrito por qué una alerta fue descartada. Ante una auditoría, esta trazabilidad es fundamental.

3. ¿El sistema genera los reportes en los formatos técnicos requeridos por el regulador?

Respuesta esperada: Para entidades financieras: archivos XML con las especificaciones técnicas de la CNBV. Para actividades vulnerables: integración o exportación compatible con el portal SPPLD del SAT. Pide ver un ejemplo real del archivo generado.

4. ¿Cómo documentan y almacenan el proceso de KYC de cada cliente?

Respuesta esperada: Expediente digital completo con control de versiones, registro de quién hizo qué y cuándo, y posibilidad de exportar el expediente completo ante un requerimiento de auditoría. El almacenamiento debe cumplir con los plazos de retención establecidos en la regulación (generalmente 5-10 años).

5. ¿El sistema permite monitorear transacciones en tiempo real o por lotes?

Respuesta esperada: Depende del tipo de empresa, pero un proveedor serio debe poder explicar cuál es la arquitectura de monitoreo, qué reglas usa para generar alertas y cómo se pueden personalizar esas reglas según el perfil de riesgo de la empresa.

6. ¿Cómo gestionan las actualizaciones regulatorias?

Respuesta esperada: Proceso documentado de seguimiento a cambios en la regulación, comunicación proactiva a los clientes cuando hay cambios que afectan el sistema y actualización incluida en el plan de servicio —no como un costo adicional.

7. ¿Qué tan configurable es el sistema para adaptarse a nuestro modelo de negocio?

Respuesta esperada: Capacidad de configurar perfiles de riesgo, umbrales de alerta, flujos de aprobación y tipos de reporte según las características específicas de tu empresa. Un sistema completamente rígido que asume que todas las empresas son iguales no se adapta bien al cumplimiento basado en riesgo que exige la regulación.

8. ¿Tienen API o integraciones con los sistemas que ya usa mi empresa (ERP, CRM, core bancario)?

Respuesta esperada: Documentación de integraciones disponibles y casos de integración reales en producción. Las integraciones “en hoja de ruta” pero no disponibles hoy son una promesa, no una funcionalidad.

9. ¿Cómo manejan los datos sensibles de los clientes en términos de seguridad y privacidad?

Respuesta esperada: Cifrado en tránsito y en reposo, controles de acceso por rol, registros de auditoría de accesos, cumplimiento con la Ley Federal de Protección de Datos Personales y, idealmente, certificaciones de seguridad (ISO 27001, SOC 2).

10. ¿El sistema soporta la gestión de personas políticamente expuestas (PEPs) con procesos diferenciados?

Respuesta esperada: Flujo específico para PEPs que incluye aprobación de nivel superior, mayor nivel de debida diligencia y monitoreo reforzado durante la vigencia de la relación. No solo identificación, sino gestión del ciclo completo.

11. ¿Cómo documentan las investigaciones de alertas y las decisiones del oficial de cumplimiento?

Respuesta esperada: Módulo de gestión de casos donde el oficial puede documentar su análisis, adjuntar evidencia, registrar la resolución y cerrar el caso con justificación. Todo con fecha, hora y usuario responsable.

12. ¿El sistema permite hacer pruebas o capacitaciones sin afectar los datos de producción?

Respuesta esperada: Ambiente de pruebas (sandbox) separado del ambiente de producción. Esto es importante tanto para capacitar nuevo personal como para probar nuevas configuraciones antes de activarlas.

13. ¿Cómo gestionan las solicitudes de información retroactiva? (operaciones de meses anteriores)

Respuesta esperada: Capacidad de consultar y exportar el histórico completo de operaciones, alertas e investigaciones con filtros flexibles. Los reguladores frecuentemente piden información de períodos anteriores.

14. ¿El sistema puede adaptarse a una estructura de múltiples sucursales o entidades?

Respuesta esperada: Arquitectura multiempresa o multisucursal con consolidación central y posibilidad de gestión descentralizada con visibilidad centralizada para el oficial de cumplimiento corporativo.

15. ¿Qué métricas e indicadores de gestión genera el sistema para el oficial de cumplimiento?

Respuesta esperada: Dashboard con KPIs operativos: alertas generadas vs. investigadas, tiempo promedio de resolución, reportes enviados, expedientes pendientes de actualización. El oficial necesita saber cómo está funcionando el programa, no solo operar caso por caso.

Preguntas sobre implementación

El software más bueno del mundo es inútil si no se implementa bien.

¿Cuánto tiempo toma la implementación típica para una empresa como la nuestra? Pide un cronograma detallado, no solo un número. Un proceso de implementación bien documentado incluye fases: configuración inicial, migración de datos (si aplica), capacitación y periodo de acompañamiento.

¿Quién del lado del proveedor estará asignado a nuestra implementación? El equipo de ventas y el equipo de implementación suelen ser distintos. Necesitas conocer a la persona que realmente va a trabajar contigo en el proceso.

¿Qué recursos necesitamos poner de nuestra parte? Tiempo del oficial de cumplimiento, acceso a sistemas, disponibilidad de áreas de TI. Un proveedor que dice “no necesitan nada, nosotros hacemos todo” probablemente no entiende bien la complejidad de la implementación.

¿Cómo manejan la migración de datos históricos? Si ya tienes expedientes de clientes en algún sistema previo o en Excel, la migración es un proceso crítico. Pide ejemplos de cómo lo han resuelto con otros clientes.

Preguntas sobre soporte en auditorías

Este es el momento de la verdad. Cuando el SAT o la CNBV llegan, ¿el proveedor está contigo?

¿Han acompañado a clientes durante auditorías del SAT o revisiones de la CNBV? Un proveedor con experiencia real en auditorías puede prepararte, ayudarte a exportar la información que el regulador pide y explicar cómo funciona el sistema si hay preguntas técnicas.

¿Qué tipo de soporte ofrecen durante una auditoría? Respuesta esperada: soporte prioritario, persona de contacto asignada durante el proceso, capacidad de generar reportes en los formatos que pida el regulador y tiempo de respuesta garantizado (SLA).

¿Pueden certificar el funcionamiento del sistema para efectos de auditoría? En algunos contextos, el regulador puede preguntar cómo funciona técnicamente el sistema. Tener documentación técnica y la disposición del proveedor para explicarlo es un elemento de tranquilidad.

Preguntas sobre precio y modelo comercial

Los costos ocultos son el principal motivo de insatisfacción en este mercado.

¿El precio incluye actualizaciones regulatorias? Si no están incluidas, cada cambio en la ley puede convertirse en un costo adicional. Exige claridad contractual.

¿Cuál es el modelo de escalabilidad? ¿Cómo cambia el precio si crece el volumen de operaciones o el número de clientes? Un modelo de precios que se dispara ante el crecimiento puede volverse un freno para escalar. Conoce los umbrales y los precios de cada nivel.

¿Cuáles son las condiciones de salida del contrato? ¿Qué pasa si decides cambiar de proveedor? ¿Puedes exportar todos tus datos en un formato utilizable? ¿Hay períodos de permanencia mínima? ¿Cuál es el proceso de terminación? Las condiciones de salida revelan mucho sobre la confianza del proveedor en su propio producto.

¿Existen costos de onboarding, setup o implementación además de la suscripción mensual? Algunos proveedores tienen tarifas de implementación significativas que no aparecen en la cotización inicial. Pide el costo total del primer año, no solo la mensualidad.

5 señales de alerta: lo que un proveedor confiable nunca diría

Estas frases en una demostración o negociación son señales de que debes proceder con cautela:

  1. “Con nuestro sistema ya estás en cumplimiento automáticamente.” Ningún software garantiza el cumplimiento por sí solo; el cumplimiento depende de cómo se usa. Un proveedor que promete esto no entiende —o pretende que no entiende— cómo funciona la regulación.

  2. “No te preocupes por las actualizaciones, eso nosotros lo manejamos sin que notes nada.” La opacidad en las actualizaciones regulatorias es peligrosa. Necesitas saber cuándo cambia algo y qué significa para tu operación, no solo que alguien lo manejó.

  3. “No tenemos clientes en tu sector específico todavía, pero es básicamente lo mismo.” La experiencia sectorial importa. Las particularidades de una SOFOM no son las mismas que las de una inmobiliaria o un despacho contable.

  4. “Los reportes los generas tú en Excel y los subes; el sistema te ayuda con el resto.” Si el sistema no genera los reportes en el formato técnico requerido por el regulador, el riesgo de error es del usuario, no del sistema.

  5. “Si decides irte, podemos exportar los datos pero tomará tiempo coordinarlo.” La portabilidad de datos debe ser un derecho claro y ágil, no un proceso nebuloso. Tus datos de cumplimiento son tuyos.

Plantilla de evaluación comparativa de proveedores

Usa esta tabla para comparar lado a lado a los proveedores que estás evaluando. Puntúa de 1 a 5 en cada criterio.

Criterio de evaluaciónProveedor AProveedor BProveedor C
Experiencia en México (años y referencias)
Cobertura de ambos regímenes (CNBV y SAT/LFPIORPI)
Actualización de listas de vigilancia
Generación de reportes en formato regulatorio
Gestión de expedientes y trazabilidad
Soporte en auditorías (experiencia documentada)
Proceso de implementación y capacitación
Integraciones con sistemas existentes
Seguridad y privacidad de datos
Transparencia en precios (sin costos ocultos)
Condiciones de salida y portabilidad de datos
Estabilidad financiera del proveedor
Puntaje total (sobre 60)

Un proveedor con menos de 40 puntos sobre 60 en esta evaluación merece revisión adicional antes de cualquier decisión.

FAQ: preguntas frecuentes sobre la selección de software PLD

¿Cuánto tiempo debería tomar el proceso de evaluación de proveedores?

Para una decisión de esta importancia, entre 4 y 8 semanas es razonable. Incluye tiempo para demos, revisión de referencias con clientes actuales, negociación del contrato y revisión legal del mismo. Decisiones en menos de dos semanas suelen omitir pasos críticos.

¿Debo involucrar al área de TI en la evaluación?

Absolutamente. El área de TI debe evaluar la seguridad del sistema, las posibilidades de integración con tu infraestructura actual y los requisitos técnicos de implementación. El oficial de cumplimiento evalúa el cumplimiento regulatorio; TI evalúa la arquitectura técnica. Ambas perspectivas son necesarias.

¿Existe algún registro o certificación oficial de proveedores de software PLD en México?

No existe un registro oficial obligatorio. La CNBV y el SAT no certifican proveedores de software. Esto hace aún más importante el proceso de due diligence que describimos en esta guía. Las certificaciones internacionales (ISO 27001, por ejemplo) y las membresías en asociaciones como ACAMS son señales positivas, pero no sustituyen la evaluación directa.

¿Puedo usar el mismo software si tengo entidades bajo distintos regímenes regulatorios?

Depende del proveedor. Algunos sistemas están diseñados para uno u otro régimen; los más completos cubren ambos. Si tu empresa tiene entidades bajo la CNBV y otras bajo la LFPIORPI, necesitas confirmar explícitamente que el sistema soporta ambos y ver cómo gestiona las diferencias en los reportes y procesos requeridos.

¿Es necesario cambiar el software si cambia la regulación?

No necesariamente. Un proveedor con buen soporte regulatorio actualiza el sistema ante cambios en la ley. El riesgo ocurre cuando el proveedor no hace esas actualizaciones, lo que puede dejarte operando un sistema que ya no cumple los requisitos vigentes. Por eso, las preguntas sobre actualización regulatoria son de las más importantes en el proceso de evaluación. Revisa también nuestra comparativa de los mejores softwares PLD en México para ver cómo se posicionan los principales jugadores del mercado.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.