Transmisores de Dinero y Pagos

Agentes, corresponsales, intercompany y contratos

En corto

La etiqueta contractual no decide el régimen. Importa si el tercero recibe o entrega recursos, interactúa con el usuario, toma decisiones de cumplimiento o sólo presta tecnología y soporte. La entidad conserva responsabilidad regulatoria aun cuando externaliza ejecución.

Mapa contractual de agentes, servicios intercompañía y proveedores.
Frontera entre entidad, agente, afiliada y proveedor con funciones reservadas; la ilustración es orientativa y el contenido normativo permanece en el texto revisado.

Contenido: diez microblogs

Mapa de decisiones y controles

Mapa de decisiones y controles. Columnas: Tema, Riesgo que resuelve y Evidencia mínima.
Tema Riesgo que resuelve Evidencia mínima
Agente relacionado o proveedor: clasificación por función La clasificación depende de si la persona recibe del transmisor recursos para entregarlos al beneficiario y de cómo interviene la entidad. Entrevistar operación y observar el flujo.
Aviso anual de agentes relacionados: expediente y acuse El acuerdo oficial prevé el envío por el OC, dentro de los primeros quince días hábiles de enero, de la lista de agentes y terceros en el formato y canal señalados. Congelar universo a una fecha definida.
Funciones que no deben diluirse al contratar terceros Aunque un tercero ejecute tareas, el transmisor conserva responsabilidad sobre las operaciones por agentes y el cumplimiento del artículo 95 Bis. Reservar decisiones regulatorias expresamente.
Límites de los servicios intercompany en una entidad regulada Pertenecer al mismo grupo no elimina documentación, confidencialidad, seguridad, conflictos o supervisión. Crear catálogo detallado de servicios.
MSA intercompany: anexos y SLA que sí sirven El contrato marco debe apoyarse en órdenes de servicio con alcance, entregables, niveles, métricas, precio, datos, continuidad, auditoría y terminación. Definir métricas por servicio y riesgo.
Cargos intercompany: alcance, soporte y exclusiones La contraprestación debe corresponder a servicios reales y distinguibles, con método de asignación y soporte. Documentar método, base y periodicidad.
Soporte extranjero y datos de usuarios Antes de dar acceso deben definirse responsable, encargado o tercero, finalidades, transferencias, medidas de seguridad y subcontratación. Aplicar mínimo privilegio y enmascaramiento.
Derecho de auditoría a proveedores críticos La cláusula debe permitir acceder a información, personal, sistemas y subcontratistas en alcance proporcional, además de cooperar con autoridades. Distinguir auditoría ordinaria e incidente.
Plan de salida de un proveedor crítico La terminación debe permitir exportar datos íntegros, mantener servicio durante transición, revocar accesos, destruir copias y transferir conocimiento. Definir paquete de salida y formato.
Contrato con el usuario: operación, comisión y responsabilidad El contrato debe explicar instrucción, aceptación, fondeo, tipo de cambio, comisión, entrega, cancelación, devoluciones, límites, datos y reclamaciones. Usar los mismos estados en contrato y producto.

Método de implementación

Clasifique a cada tercero por actividad, acceso a fondos, acceso a datos y capacidad de decisión. Convierta esa clasificación en anexos de servicio, niveles de atención, derecho de auditoría, continuidad, subcontratación y salida ordenada.


Agente relacionado o proveedor: clasificación por función

Punto de decisión

La clasificación parte de la función real: recibir o entregar recursos, promover, capturar datos, operar tecnología o decidir cumplimiento. Acceso a fondos, interacción con usuario y capacidad de instrucción pesan más que la etiqueta. El contrato se corrige para que objeto, controles y supervisión reflejen esa realidad.

Checklist

  1. Entrevistar operación y observar el flujo.
  2. Clasificar acceso a fondos, datos y decisiones.
  3. Revisar etiqueta, objeto y anexos del contrato.

Patrón observado

En un mapa anonimizado, el tercero llamado ‘consultor’ también coordinaba entregas; la función real obligó a rediseñar contrato y controles.

Cómo llevarlo a operación

Observe al tercero ejecutar una operación y compare con su contrato. Registre si toca fondos, datos, usuario o decisiones. Clasifique cada función por régimen y control. Si cambia el modelo, actualice antes de operar. Los pagos y facturas ayudan a identificar servicios no inventariados. La entidad conserva una lista única entre compras, legal y cumplimiento. La denominación contractual sólo es defendible cuando coincide con los actos y la supervisión efectivamente ejercida.

Prueba de estrés

Compare dos terceros: uno sólo aloja infraestructura y otro recibe instrucciones o atiende usuarios. Contrato, interfaz y práctica determinan la función, no el nombre comercial. La clasificación debe detallar facultades, contacto con recursos, uso de marca y capacidad de decisión. Si el proveedor cambia de actividad durante la relación, active una reevaluación en lugar de conservar la etiqueta inicial.


Aviso anual de agentes relacionados: expediente y acuse

Punto de decisión

El aviso anual se prepara conciliando contratos, pagos, operaciones y registros de cumplimiento. El universo se congela a una fecha, se clasifican agentes y terceros y se genera el XML con revisión independiente. El OC conserva archivo, hash y acuse porque el envío no puede reconstruirse sólo desde una lista de trabajo.

Checklist

  1. Congelar universo a una fecha definida.
  2. Conciliar legal, compras, operaciones y pagos.
  3. Guardar XML, hash y acuse electrónico.

Patrón observado

En una preparación anonimizada, compras tenía contratos que cumplimiento no había clasificado; la conciliación evitó omisiones del listado.

Cómo llevarlo a operación

Extraiga contratos vigentes y compárelos con operaciones y pagos. Confirme nombre, identificador, función y terceros de cada agente. Resuelva duplicados antes de generar XML. Congele el universo y documente altas posteriores para el siguiente evento. Realice validación técnica y jurídica separadas. Conserve archivo exacto y acuse. El responsable debe poder explicar por qué una persona se incluyó o excluyó sin depender de una lista mantenida por otra área.

Prueba de estrés

Mantenga un corte anual con altas, bajas, cambios de función y periodos activos. Cada fila enlaza contrato, evaluación y datos requeridos para el aviso. Antes de enviar, reconcilie la lista contra pagos, accesos y dueños internos para descubrir terceros omitidos. El acuse se asocia a la versión exacta; una modificación posterior se conserva como evento separado y no reescribe el corte reportado.


Funciones que no deben diluirse al contratar terceros

Punto de decisión

La entidad puede externalizar ejecución, pero debe conservar dirección, acceso, decisión y supervisión sobre PLD/FT. El catálogo contractual reserva aceptación, excepciones, reportes y respuesta a autoridad; el proveedor entrega datos y evidencia dentro del plazo. Los indicadores permiten detectar que la función no se vació de contenido.

Checklist

  1. Reservar decisiones regulatorias expresamente.
  2. Exigir evidencia y acceso inmediato.
  3. Supervisar desempeño con indicadores y muestreo.

Patrón observado

En un MSA anonimizado, el proveedor preparaba análisis y también aprobaba excepciones sin una matriz de facultades de la entidad.

Riesgo frecuente

Permitir que el proveedor apruebe sus propias excepciones deja a la entidad sin control efectivo de la obligación.

Cómo llevarlo a operación

Enumere decisiones que permanecen en la entidad y tareas que ejecuta el proveedor. Para cada una defina acceso, evidencia y tiempo de entrega. Pruebe una excepción y un requerimiento urgente. El transmisor debe poder sustituir al tercero sin perder casos ni datos. Los indicadores revisan calidad, no sólo volumen. Si la afiliada prepara análisis, alguien local los aprueba con información suficiente. La responsabilidad se conserva mediante capacidad real de dirigir y cuestionar.

Prueba de estrés

Tome una decisión de alerta y rastree quién fijó reglas, quién analizó, quién aprobó y quién reportó. El tercero puede ejecutar tareas, pero la entidad debe conservar criterio, supervisión y acceso a evidencia. Si el contrato permite subcontratar, revise también esa cadena. Una matriz de responsabilidades que no coincide con permisos del sistema o práctica diaria produce una delegación sólo aparente.


Límites de los servicios intercompany en una entidad regulada

Punto de decisión

La afiliada debe tener un servicio definido, no una autorización genérica para operar la entidad mexicana. Se identifican personal, sistemas, datos, subcontratistas, decisiones y capacidad local de supervisión. El acuerdo también trata confidencialidad, continuidad y cooperación frente a requerimientos.

Checklist

  1. Crear catálogo detallado de servicios.
  2. Identificar datos, sistemas y subprocesadores.
  3. Mantener capacidad local para dirigir y auditar.

Patrón observado

En un acuerdo anonimizado, categorías amplias como ‘operaciones’ ocultaban funciones de cumplimiento y soporte a clientes; desagregarlas permitió asignar responsables.

Riesgo frecuente

La pertenencia al grupo no elimina transferencias de datos, conflictos ni necesidad de demostrar quién hizo cada tarea.

Cómo llevarlo a operación

Divida el servicio intercompany por proceso, sistema y personal. Identifique qué datos cruzan frontera y quién autoriza accesos. Establezca métricas y evidencia de cada entregable. La entidad local mantiene conocimiento para supervisar y responder. Revise subcontratistas y conflictos. En terminación, asegure portabilidad y soporte. El grupo económico facilita coordinación, pero no sustituye contrato ni demuestra por sí mismo que la sociedad regulada conserva dirección efectiva.

Prueba de estrés

Examine una instrucción del grupo que pide al proveedor extranjero suspender un usuario. Determine si actúa como soporte conforme a criterio documentado o si ejerce discreción regulatoria. Poder corporativo, MSA y manual deben asignar la decisión a la entidad correcta. Servicios compartidos pueden aportar capacidad técnica, pero no deben convertir al prestador en órgano de cumplimiento sin nombramiento y responsabilidad aplicables.


MSA intercompany: anexos y SLA que sí sirven

Punto de decisión

El MSA se vuelve operativo mediante órdenes de servicio con entregables, métricas, precios, seguridad y soporte regulatorio. Uptime no mide calidad KYC, exactitud de datos ni entrega oportuna de logs. Cada SLA tiene fuente, método de cálculo, remedio y escalamiento entre responsables locales y extranjeros.

Checklist

  1. Definir métricas por servicio y riesgo.
  2. Agregar plazos de evidencia y cooperación.
  3. Prever créditos, remediación y escalamiento.

Patrón observado

En un MSA anonimizado, el anexo técnico medía uptime pero no la entrega de evidencia para requerimientos; se añadió un SLA regulatorio.

Riesgo frecuente

Un catálogo que sólo dice operaciones o tecnología impide saber qué evidencia debe entregar la afiliada.

Cómo llevarlo a operación

Cada orden de servicio debe señalar resultado, frecuencia, fuente y precio. Diseñe métricas para calidad de KYC, alertas y evidencia, además de disponibilidad. Alinee zonas horarias y relojes de escalamiento. Pruebe cómo se atiende una solicitud de autoridad. Los créditos de servicio no reemplazan remediación. Conserve reportes y reuniones de desempeño. Un SLA útil permite decidir si el servicio cumple y qué ocurre cuando un dato incorrecto afecta una obligación regulatoria.

Prueba de estrés

Use un incidente de severidad alta para leer el MSA. Deben aparecer servicio afectado, tiempo de respuesta, escalamiento, acceso a registros, cooperación y recuperación, con anexos consistentes. Luego confronte el texto con un ticket real. Un SLA expresado sólo como porcentaje de disponibilidad no cubre investigación, cumplimiento ni restitución de datos necesarios para explicar una operación.


Cargos intercompany: alcance, soporte y exclusiones

Punto de decisión

Los cargos intercompany deben corresponder a servicios reales, medibles y asignados con un método consistente. Se separan personal, licencias, infraestructura y extraordinarios, y se excluyen multas o pérdidas propias. Factura, orden de servicio y métrica se concilian para probar sustancia y aprobación.

Checklist

  1. Documentar método, base y periodicidad.
  2. Excluir multas, dolo y costos no autorizados.
  3. Conciliar factura con servicios y métricas.

Patrón observado

En una revisión anonimizada, una tarifa global incluía personal, licencias y costos extraordinarios sin regla de asignación; separar componentes hizo auditable el cargo.

Riesgo frecuente

Una tarifa global sin base puede trasladar costos que la entidad nunca recibió o no estaba autorizada a asumir.

Cómo llevarlo a operación

Liste componentes del cargo y base de asignación. Compare personal, licencias y uso real con la factura. Excluya sanciones, duplicados y servicios no solicitados. Apruebe extraordinarios antes de incurrir. Mantenga evidencia fiscal y operativa compatibles. Revise si el precio incentiva volumen sobre calidad. La conciliación debe permitir a un tercero recalcular el monto y localizar el entregable asociado, evitando que una tarifa global oculte funciones críticas o pérdidas propias.

Prueba de estrés

Seleccione un cargo mensual que mezcla licencias, personal y desarrollo. Separe cada componente, su base de reparto y la entidad beneficiada, y vincúlelo con entregables. El soporte debe permitir excluir actividades no contratadas o reservadas. Una factura global pagada regularmente demuestra erogación, pero no acredita alcance, razonabilidad ni que la sociedad regulada recibió el servicio declarado.


Soporte extranjero y datos de usuarios

Punto de decisión

El acceso remoto extranjero es tratamiento de datos aunque no exista descarga. Se definen rol, finalidad, transferencias, subencargados, ubicación, seguridad y revocación; después se limita la vista a lo necesario. El aviso y el contrato deben coincidir con la matriz técnica de accesos.

Checklist

  1. Aplicar mínimo privilegio y enmascaramiento.
  2. Documentar transferencias y subencargados.
  3. Registrar acceso, propósito y revocación.

Patrón observado

En un flujo anonimizado, soporte veía expedientes completos para resolver errores de interfaz aunque sólo necesitaba identificadores técnicos.

Riesgo frecuente

Dar expedientes completos a soporte para resolver un error de interfaz viola minimización y amplía innecesariamente el incidente posible. La matriz de permisos debe probar que soporte sólo vio los campos necesarios para resolver el ticket.

Cómo llevarlo a operación

Construya una matriz de campos visibles por perfil de soporte. Pruebe que enmascaramiento y restricciones funcionan desde el extranjero. Registre ticket, finalidad, hora y revocación. El contrato cubre subencargados e incidentes; el aviso refleja la transferencia aplicable. Evite usar datos productivos completos en pruebas. Una revisión debe demostrar que soporte sólo accedió a lo necesario y que cualquier exportación quedó controlada, cifrada y eliminada conforme a la instrucción.

Prueba de estrés

Pruebe un ticket al que se adjunta identificación de usuario. Verifique región de almacenamiento, accesos del equipo extranjero, descarga, retención y eliminación. El flujo real debe coincidir con contrato y aviso, incluyendo subencargados. Si la solución permite resolver con datos enmascarados, esa configuración es preferible; la conveniencia operativa no justifica exposición completa por defecto.


Derecho de auditoría a proveedores críticos

Punto de decisión

El derecho de auditoría debe cubrir evidencias, personal, sistemas y subcontratistas con una vía ordinaria y otra por incidente o requerimiento. Se pactan aviso, confidencialidad, costos y remediación sin permitir veto discrecional del proveedor. Para pagos, el alcance incluye fraude, contracargos, PCI y controles AML asignados.

Checklist

  1. Distinguir auditoría ordinaria e incidente.
  2. Garantizar acceso a evidencias y subprocesadores.
  3. Regular costos, confidencialidad y remediación.

Patrón observado

En un contrato anonimizado, la auditoría sólo podía ocurrir una vez al año con aviso largo, incluso tras incidente; se creó una vía extraordinaria.

Riesgo frecuente

Una auditoría anual con aviso prolongado no sirve cuando hay una brecha activa o un plazo de autoridad.

Cómo llevarlo a operación

Defina alcance de auditoría por riesgo y evento. La vía extraordinaria se activa ante fraude, brecha o requerimiento sin esperar la visita anual. Incluya subprocesadores, logs y personal relevante. Acordar confidencialidad no debe impedir entregar evidencia. Registre hallazgos y fecha de corrección, con derecho a validar. En pagos, pruebe contracargo y control AML. La cláusula sirve cuando produce acceso oportuno y una remediación verificable, no sólo cuando concede una facultad abstracta.

Prueba de estrés

Active el derecho de auditoría mediante una solicitud concreta de logs y una entrevista al responsable del proveedor. Mida plazo, formato y restricciones recibidas. Si la cláusula sólo permite certificaciones genéricas, evalúe si alcanza para investigar el riesgo contratado. El expediente conserva solicitud, respuesta, hallazgo y remediación, demostrando que el derecho es ejercitable y no una frase decorativa.


Plan de salida de un proveedor crítico

Punto de decisión

La salida ordenada define paquete de datos, formato, reglas, adjuntos, bitácoras, asistencia y periodo de transición. Antes de terminar se prueba una exportación y se valida que otro equipo pueda reconstruir casos. Al cierre se revocan accesos y se certifica borrado de copias no retenidas.

Checklist

  1. Definir paquete de salida y formato.
  2. Probar migración antes de una crisis.
  3. Asegurar asistencia, plazo y borrado certificado.

Patrón observado

En un plan anonimizado, el proveedor podía entregar CSV, pero no reglas, bitácoras ni adjuntos; la reconstrucción del expediente habría sido imposible.

Riesgo frecuente

Recibir sólo un CSV de operaciones puede dejar atrás decisiones, versiones y evidencias necesarias para PLD.

Cómo llevarlo a operación

Especifique formatos, diccionario, adjuntos, reglas y bitácoras del paquete de salida. Ejecute una exportación temprana y reconstruya varios casos. Defina asistencia, costos y periodo de coexistencia. La revocación de accesos ocurre tras validar migración. Exija certificado de borrado con excepciones legales identificadas. El plan debe cubrir conocimiento operativo, no únicamente datos. Una terminación ordenada permite continuar reportes y atención sin depender de herramientas o personal del proveedor anterior.

Prueba de estrés

Suponga terminación inmediata mientras existen operaciones pendientes y datos en la plataforma. El plan debe priorizar continuidad, exportación verificable, revocación de accesos y destrucción posterior, con responsables de ambos lados. Pruebe que el formato de salida puede cargarse en la alternativa. Tener una lista de proveedores sustitutos no basta si faltan llaves, documentación o tiempo para migrar.


Contrato con el usuario: operación, comisión y responsabilidad

Punto de decisión

El contrato con el usuario debe utilizar los mismos estados que producto y soporte: recibida, fondeada, aceptada, enviada, entregada, rechazada o devuelta. Explica comisión, FX, límites, datos, cancelación y reclamación. Las obligaciones del proveedor se distinguen de la responsabilidad del transmisor frente al cliente.

Checklist

  1. Usar los mismos estados en contrato y producto.
  2. Mostrar precio y tipo de cambio antes de confirmar.
  3. Definir evidencia y canal de reclamación.

Patrón observado

En un formato anonimizado, la definición de ‘operación completada’ no coincidía con el sistema; alinear estados redujo disputas sobre tiempos.

Riesgo frecuente

Definir operación completada de forma distinta en el contrato y el ledger genera disputas imposibles de conciliar.

Cómo llevarlo a operación

Compare términos contractuales con estados visibles en aplicación y soporte. Defina momento de aceptación, posibilidad de cancelar y tratamiento de devolución. Desglose precio y FX antes de confirmar. Conserve consentimiento a la versión aplicable. Pruebe una reclamación desde referencia hasta resolución. Las limitaciones del proveedor no deben eliminar responsabilidad del transmisor. El contrato funciona cuando usuario y operación describen la misma secuencia y ofrecen evidencia suficiente para corregir un error.

Prueba de estrés

Reconstruya una devolución disputada desde el contrato y la pantalla previa hasta el recibo y la atención al usuario. Debe quedar claro quién ejecuta, cuándo se considera aceptada la instrucción, qué comisión aplica y qué ocurre ante error. Si intervienen aliados, las limitaciones internas de responsabilidad no pueden producir mensajes contradictorios frente a la persona que contrató.


Siguiente paso

SVA.LAW puede revisar Agentes, corresponsales, intercompany y contratos dentro del modelo concreto y convertir el análisis de Transmisores de Dinero y Pagos en decisiones, responsables y evidencia de implementación. Iniciar una conversación.