Un KYC sólido reduce incertidumbre, no solo riesgos.

KYC (Know Your Customer / Conoce a tu cliente) es el proceso para identificar y verificar al cliente o tercero, entender quién está detrás (control/beneficiario), conocer el propósito de la relación y aplicar monitoreo continuo proporcional al riesgo.

Ejemplo rápido (B2B)

Una empresa abre una cuenta o contrata un servicio. El proceso KYC no termina con el acta constitutiva: también implica validar a representantes, entender la estructura de control y documentar hallazgos relevantes para decidir con consistencia.

KYC vs CDD vs EDD (para hablar el mismo idioma):

• KYC: término operativo, Conoce a tu cliente, usado en el día a día.
• CDD (Customer Due Diligence / debida diligencia del cliente): marco que incluye identidad, control, propósito y monitoreo.
• EDD (Enhanced Due Diligence / debida diligencia reforzada): aplica cuando el riesgo es mayor y se requiere mayor profundidad y documentación.

KYC no es solo pedir documentos. Es una forma ordenada de saber con quién está tratando tu empresa, validar datos clave y dejar evidencia clara de lo que se revisó y cómo se tomó una decisión. En esta guía encontrarás conceptos simples, un paso a paso y errores comunes para aplicarlo en México sin complicar la operación.

Qué es KYC en segundos (vista rápida)

• KYC ayuda a tomar decisiones con orden: saber con quién se relaciona tu empresa y por qué se aprobó (o no) un alta.
• La evidencia es parte del control: registre qué consultaste, cuándo, qué encontró y cómo se resolvió.
• Bien hecho, ahorra tiempo: reduce idas y vueltas por expedientes incompletos y mejora consistencia ante auditorías.
• Incluye una lista de verificación para estandarizar el proceso sin volverlo burocrático.

Introducción

Si tu equipo necesita dar de alta clientes o terceros rápido, pero también debe cumplir controles de PLD/FT, es normal que KYC se sienta como un freno. En la práctica, el problema no es KYC: es que cada área pide cosas distintas, se repite información y el expediente queda incompleto.

Un KYC bien diseñado hace lo contrario: ordena y acelera. Define qué datos pedir, qué validar, cómo clasificar riesgo y cómo dejar evidencia para que cualquier persona (o una auditoría) entienda qué se revisó y por qué. En México, este enfoque se relaciona con prácticas de PLD/FT y, en ciertos giros, con obligaciones específicas (por ejemplo, Actividades Vulnerables bajo LFPIORPI).

Lectura relacionada: Q-Suite (recursos y webinars para fortalecer cumplimiento).

Conceptos clave

Beneficiario controlador (por qué importa):

Traducción operativa: si tu solo validas la razón social pero no entiendes quién controla o se beneficia, tu visión de riesgo queda incompleta. Lo importante es que el expediente explique cómo se determinó ese control, con evidencia.

Listas en KYC: no todas sirven para lo mismo.
Para evitar confusiones, separa por tipo de lista y documenta qué consultó, cuándo y cuál fue la resolución.

Por qué importa / Impacto de no hacerlo

Operativo: Se pierde tiempo, esfuerzo por expedientes incompletos y correcciones de último minuto; aumenta la fricción con el área comercial.
Auditoría: controles sin evidencia (sin bitácora, fecha/hora o resolución documentada) son difíciles de defender.
Gestión de riesgo: tratar a todos igual hace que el equipo invierta esfuerzo donde no se necesita y llegue tarde a casos complejos.
Reputación: Terceros pueden cuestionar la consistencia de su proceso y su gobernanza.

Cómo hacerlo paso a paso

Idea clave

• Cada paso debe responder: qué hacer y qué guardar como evidencia.
• El objetivo es tener un proceso rápido, repetible y defendible.
  

Paso 1. Definir alcance y política

• Determina si aplica a clientes, proveedores, candidatos o aliados.
• Define roles, aprobaciones y tiempos.
• Establece el orden: alta, cambios relevantes y periodicidad.
  

Paso 2. Estandarizar datos mínimos

• Usa un set único de campos para persona física y moral.
• Incluye representantes y facultades cuando aplique.
• Evita pedir “de más”: enfoque en utilidad y trazabilidad.

Paso 3. Verificación de identidad (y documentación)

• Verifica identidades con fuentes confiables e independientes, según su política.
• Registra excepciones y quién las autoriza.

Paso 4. Identificación control/beneficiario

• Documenta estructura de propiedad/control.
• Captura cómo llegó a su conclusión y qué evidencia lo respalda.

Paso 5. Búsqueda y verificación en listas (y resolución de coincidencias)

• Consulta listas por nombre y alias razonables.
• Define reglas de desempate para falsos positivos (por ejemplo, fecha de nacimiento, país, identificadores).
• Documenta la resolución y aprobación.

Paso 6. Clasificación de riesgo simple

• Usa criterios explicables: industria, jurisdicción, complejidad, producto/servicio y hallazgos.
• Evita modelos “caja negra” al inicio.

Paso 7. Monitoreo y actualización periódica

• Define periodicidad por nivel de riesgo.
• Establece disparadores: cambios de accionistas, representantes, giro, país o comportamiento.

Errores comunes y cómo evitarlos

• Cada área pide cosas distintas: Unifica formularios y define un mínimo viable por tipo de cliente.
• Pedir documentos sin entender el perfil: Conecta datos con propósito, actividad y perfil esperado.
• No validar representantes o firmantes: Define reglas claras para verificar autorización e identidad.
• No documentar coincidencias en listas: Guarda evidencia del resultado y la resolución (quién aprobó y por qué).
• Aplicar el mismo nivel de diligencia a todos: Usa Enfoque Basado en Riesgo (EBR) simplificado en bajo riesgo y reforzado en alto riesgo.
• KYC de una sola vez: Implementa actualizaciones por nivel de riesgo y por eventos relevantes.

Siguiente paso: revisa el esquema que mejor conecte con tu operación.

Agenda una reunión con nuestro equipo para que tengas acompañamiento profesional