El marco y por qué incomoda tanto

Lo que falla primero en la práctica

Lo que ocurre en realidad en la mayoría de despachos medianos es que la política PBC/FT vive en un documento aparte, firmado por el socio responsable, y los encargos siguen corriendo como si no existiera. Marcar la casilla del "manual de prevención" en el archivo y seguir adelante con lo que hay. Ese es el punto de partida habitual. Y es también la razón por la que las inspecciones del ICAC y las actuaciones del SEPBLAC sobre firmas auditoras suelen encontrar el mismo fallo: no hay rastro de que el equipo de campo aplicara la diligencia debida del cliente (DDC) en el encargo concreto.

La Directiva 2018/1673 tipificó el blanqueo como delito armonizado. La Directiva 2024/1640 (sexta directiva, AMLD6), junto con el Reglamento AMLR 2024/1624, reorganiza el sistema: una autoridad europea (AMLA), un cuerpo único de normas directamente aplicable, y obligaciones más afiladas para los sujetos obligados. Los auditores estatutarios siguen dentro del perímetro — Art. 3 AMLR los enumera explícitamente — y el plazo de transposición de la AMLD6 vence el 10 de julio de 2027 para la mayoría de preceptos.

En España la pieza central sigue siendo la Ley 10/2010, de 28 de abril, y su Reglamento (RD 304/2014). El auditor reporta a SEPBLAC (la Unidad de Inteligencia Financiera, UIF española, adscrita al Banco de España) a través del aplicativo habilitado. Eso no cambia con el AMLD6; lo que cambia es la granularidad.

Qué dice realmente la norma

El Artículo 2.1.n de la Ley 10/2010 incluye a "los auditores de cuentas, contables externos y asesores fiscales" como sujetos obligados. Esto no es una extensión de la NIA-ES 240 ni una variante de la NIA-ES 250. Son obligaciones paralelas, con su propio régimen sancionador (Art. 50 y ss. Ley 10/2010), su propio régimen supervisor (SEPBLAC, no ICAC) y, sobre todo, su propia lógica.

La lógica de fondo es distinta. La NIA-ES 240.26 pide al auditor que evalúe el riesgo de incorrección material debida a fraude en las cuentas anuales. La Ley 10/2010 le pide que detecte indicios de blanqueo en las operaciones del cliente, aunque esos indicios no tengan impacto material alguno en los estados financieros. Un auditor puede emitir una opinión limpia sobre unas cuentas que reflejan fielmente, y al mismo tiempo tener la obligación de comunicar por indicio una operación de 30.000 euros que no afecta a la materialidad.

La zona gris donde vive el juicio

¿Dónde vive el juicio profesional? En el umbral del indicio. "Indicio racional", dice el Art. 18 de la Ley 10/2010. Ni prueba, ni certeza. Algo que a un auditor formado le haría sospechar. En mi caso, el criterio de trabajo que he visto funcionar es doble: (1) si el equipo de campo siente incomodidad al documentar la racionalidad económica de una operación, y (2) si esa incomodidad sobrevive a una segunda lectura del expediente con el socio, entonces hay indicio y hay que comunicar.

La contradicción estructural: independencia frente a deber de denuncia

Aquí está el problema que el AMLD6 no resuelve y que el lector debería tener claro. El auditor tiene un deber de independencia frente al cliente (NIA-ES 200.14; Reglamento 537/2014 para EIP) y un deber de confidencialidad (Art. 25 LAC). Y tiene, simultáneamente, un deber de comunicación por indicio a SEPBLAC que rompe explícitamente esa confidencialidad (Art. 24 Ley 10/2010, el llamado "safe harbour").

Dos caras de la misma moneda que no encajan del todo. La Ley 10/2010 protege al auditor que comunica de buena fe. No le protege del daño reputacional que supone haber denunciado a un cliente con el que mantenía la relación profesional. No le protege tampoco de la tentación más peligrosa: la sobre-comunicación defensiva.

Y esta es, desde mi punto de vista, la segunda observación importante del artículo. La sobre-comunicación ocurre porque el coste marginal de comunicar una operación dudosa es bajo (inmunidad ex Art. 24) y el coste marginal de no comunicarla una que luego resulte relevante es altísimo (sanción administrativa, pérdida del ROAC, responsabilidad penal por omisión). El incentivo estructural empuja hacia el "por si acaso". SEPBLAC recibe así un ruido considerable, y los equipos de campo desarrollan una pereza defensiva (comunicar todo lo raro sin filtrar).

Argumento, contraargumento, réplica, veredicto

Argumento: el deber prevalece sobre el secreto

La posición que defiendo es que la comunicación por indicio prevalece, en casi todos los supuestos, sobre el secreto profesional. No porque lo diga Bruselas, sino porque la propia Ley 10/2010 lo construye así: el Art. 22 exceptúa expresamente el deber de confidencialidad cuando se trata de cumplir con PBC/FT, y el Art. 24 añade la inmunidad civil, penal y administrativa.

Contraargumento: el riesgo de tipping-off y de ruptura de la relación

La objeción razonable es que la comunicación temprana puede llevar al auditor a incurrir en tipping-off inverso. Es decir, a modificar su comportamiento con el cliente (intensificar procedimientos, pedir documentación adicional, alterar la calendarización) de una manera que el cliente pueda interpretar como señal de que ha sido comunicado. El Art. 46 Ley 10/2010 prohíbe expresamente revelar al cliente que se ha cursado una comunicación. Esta prohibición es más difícil de cumplir de lo que parece.

Réplica: la granularidad procedimental es la salida

La salida no está en comunicar menos. Está en separar flujos de trabajo. Los procedimientos de PBC/FT se documentan en un expediente paralelo, con acceso restringido al socio responsable de PBC/FT y al órgano de control interno (OCI) si el despacho tiene más de diez auditores. Los procedimientos de la NIA-ES 240 se documentan en el archivo de auditoría ordinario. Esta separación no es burocrática; es defensiva.

Veredicto

Por lo que conozco del mercado español, los despachos que sobreviven a una inspección combinada ICAC-SEPBLAC sin sobresaltos son los que han construido esta separación desde el inicio del encargo. No los que comunican más. Los que comunican mejor.

Un caso que se complica

Un encargo real (con los datos alterados). Auditorías Levante S.L.P. auditando a Importaciones del Mediterráneo S.L., comercio internacional, cifra de negocio de 12,4 millones de euros, tres ejercicios de relación.

Paso 1: DDC reforzada en la aceptación. El cliente opera con proveedores en Chipre y Malta. Dos jurisdicciones de la UE, no terceros países de alto riesgo del Art. 9 AMLD. Riesgo medio. Procede DDC reforzada documentada (Art. 11 Ley 10/2010).

Paso 2: Identificación del titular real. Registro Mercantil y consulta al Registro de Titularidades Reales. Estructura: un socio único persona física, residente fiscal en España. Limpio en apariencia.

Paso 3: Monitorización de operaciones. Durante la revisión de cuentas a pagar, el equipo identifica 15 transferencias a una entidad chipriota por 850.000 euros agregados. Documentación contractual ligera. Hasta aquí el caso es de libro.

La complicación. La entidad chipriota se constituyó el mismo mes en que empezaron las transferencias. El administrador de la chipriota comparte apellidos con un directivo del cliente. No es el titular real, ni aparece en ningún registro español. Coincidencia onomástica.

¿Indicio o no indicio? Aquí dos socios del mismo despacho, igual de competentes, discrepan de buena fe. El socio A dice que hay indicio: constitución reciente, coincidencia de apellidos, documentación débil. Comunicar. El socio B dice que no: la coincidencia puede ser fortuita, la documentación débil es frecuente en este sector, y comunicar sin más inflaría el ruido de SEPBLAC. Procedimientos adicionales primero (circularización del proveedor, inspección de un contrato, cotejo de flujos), y luego decidir.

Mi opinión es que el socio A tiene razón, y la razón es la siguiente: el Art. 18 Ley 10/2010 habla de "indicio racional", no de "certeza razonable". El estándar es más bajo que el de la NIA-ES 500 para evidencia suficiente y adecuada. Esperar a tener evidencia de auditoría convierte la comunicación en una denuncia, y eso no es lo que la Ley pide. La razón por la que muchos equipos esperan no es técnica — es emocional. Nadie quiere ser el que comunicó sin pruebas.

Resolución

En el caso real, el despacho comunicó a SEPBLAC en el plazo del Art. 18 (sin demora, en la práctica 30 días desde la detección), documentó la decisión en expediente PBC/FT separado, mantuvo los procedimientos de la NIA-ES 240 en el archivo de auditoría, y emitió una opinión sin salvedades sobre las cuentas anuales. Tres meses después, SEPBLAC archivó el expediente sin actuación. Eso no significa que la comunicación estuviera mal; significa que el sistema funcionó.

Lista de verificación práctica

1. Clasificar el nivel de riesgo PBC/FT del cliente en la aceptación (Art. 7 Ley 10/2010), usando factores geográficos, sectoriales y de estructura de titularidad real 2. Aplicar DDC reforzada cuando el riesgo sea alto o el cliente opere con jurisdicciones del Art. 9 AMLD o con personas con responsabilidad pública (PEP) 3. Documentar la monitorización de operaciones en expediente PBC/FT separado del archivo de auditoría NIA-ES 240 4. Fijar un umbral interno del indicio (más exigente que el legal, nunca más laxo) y dejarlo por escrito en el MOI 5. Definir el flujo de escalado hacia el socio responsable de PBC/FT y hacia el OCI si existe 6. Conservar los expedientes PBC/FT durante diez años (Art. 25 Ley 10/2010), no los seis del archivo de auditoría

Errores frecuentes

Contenido relacionado

- Glosario: Blanqueo de capitales — Definición técnica y procedimientos de detección bajo la NIA-ES 240 - Herramienta: Evaluador de riesgo de fraude NIA-ES 240 — Incluye factores de riesgo PBC/FT actualizados - Blog: Comunicación con autoridades bajo NIA-ES 250 — Marco para reportes regulatorios requeridos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.