Lo que aprenderá

  • Por qué los auditores estatutarios son "sujetos obligados" en virtud del Artículo 2(1)(3)(a) de la 4AMLD y qué implica esa condición en la práctica
  • Cómo integrar las obligaciones antiblanqueo con los procedimientos de la NIA-ES 250.13 sobre incumplimiento de leyes y regulaciones
  • Cómo funciona la obligación de reporte de operaciones sospechosas, incluida la prohibición de revelación (tipping-off) y su interacción con el secreto profesional
  • Qué cambia el paquete legislativo antiblanqueo de 2024 de la UE (el Reglamento AML y la AMLA) para los auditores

Lo que aprenderá

  • Por qué los auditores estatutarios son "sujetos obligados" en virtud del Artículo 2(1)(3)(a) de la 4AMLD y qué implica esa condición en la práctica
  • Cómo integrar las obligaciones antiblanqueo con los procedimientos de la NIA-ES 250.13 sobre incumplimiento de leyes y regulaciones
  • Cómo funciona la obligación de reporte de operaciones sospechosas, incluida la prohibición de revelación (tipping-off) y su interacción con el secreto profesional
  • Qué cambia el paquete legislativo antiblanqueo de 2024 de la UE (el Reglamento AML y la AMLA) para los auditores

Tabla de contenidos

Por qué los auditores son sujetos obligados según la legislación AML de la UE

La 4AMLD (Directiva 2015/849) Artículo 2(1)(3)(a) designa a los auditores estatutarios y las firmas de auditoría como "sujetos obligados". Esta obligación no es opcional y no depende del tipo de cliente ni del tamaño del encargo. Todo auditor estatutario que realice trabajos de auditoría en un Estado miembro de la UE tiene obligaciones antiblanqueo. La directiva se aplica al auditor, no a la auditoría.

Las obligaciones se agrupan en cuatro categorías: debida diligencia del cliente (conocer al cliente antes y durante el encargo), reporte de operaciones sospechosas (informar a la UIF cuando se detecten indicios de blanqueo de capitales o financiación del terrorismo), conservación de registros (mantener documentación de debida diligencia y evidencia de transacciones), y políticas y procedimientos internos (mantener un marco de cumplimiento AML a nivel de firma). Cada una de estas obligaciones se aplica en paralelo con las responsabilidades de auditoría conforme a las NIA-ES. No forman parte de la auditoría. Son una obligación legal independiente derivada de la condición de sujeto obligado.

La supervisión es efectiva. Las autoridades nacionales supervisan el cumplimiento de los auditores con la normativa antiblanqueo. Las acciones de ejecución publicadas incluyen sanciones contra firmas de auditoría por no realizar debida diligencia adecuada del cliente, por no reportar operaciones sospechosas, por procedimientos internos AML insuficientes y por conservación de registros inadecuada. Una acción de ejecución de 2022 resultó en una multa de 40.000 euros contra una firma mediana por incumplimiento sistemático en varios encargos.

Debida diligencia del cliente: qué exige la normativa

La normativa antiblanqueo requiere realizar debida diligencia del cliente antes de establecer una relación comercial (es decir, antes de aceptar el encargo de auditoría) y de forma continuada durante todo el encargo. Los elementos de debida diligencia incluyen: identificar y verificar la identidad del cliente, identificar y verificar la identidad del titular real (beneficiario efectivo), evaluar y documentar el propósito y la naturaleza prevista de la relación comercial, y realizar un seguimiento continuo de la relación.

La identificación implica obtener la denominación social del cliente, el domicilio registrado, el número de registro mercantil y la identidad de las personas físicas que son administradores o representantes autorizados. La verificación supone comprobar estos datos contra una fuente independiente y fiable. Para una sociedad limitada, el extracto del registro mercantil satisface la verificación de la persona jurídica. Para el titular real, se consulta el registro de titulares reales. Si este registro no es accesible, la normativa exige tomar medidas razonables para verificar la identidad del titular real mediante otros medios (registro de accionistas, escritura de constitución o declaración del cliente respaldada por documentación adicional).

La obligación de seguimiento continuo es la que más auditores pasan por alto. La normativa requiere supervisar la relación comercial durante toda su duración, incluyendo el escrutinio de transacciones para asegurar que sean coherentes con el conocimiento que se tiene del cliente. Durante la auditoría, si se detectan transacciones que no se corresponden con el perfil comercial del cliente, la normativa AML exige investigar. Esta obligación no es lo mismo que la evaluación de riesgo de fraude de la NIA-ES 240.35, aunque la información pueda coincidir. La obligación AML se activa por indicios de blanqueo o financiación del terrorismo, no por riesgo de incorrección.

Reporte de operaciones sospechosas: la obligación que más auditores subestiman

La normativa impone la obligación de reporte: si usted conoce, sospecha o tiene motivos razonables para sospechar que una transacción está relacionada con el blanqueo de capitales o la financiación del terrorismo, debe reportarla a la Unidad de Inteligencia Financiera (UIF) nacional sin demora. Esta obligación se extiende a las transacciones previstas que no se completaron. El reporte se presenta directamente a la UIF a través del portal en línea correspondiente.

El umbral para reportar es más bajo de lo que la mayoría de los auditores supone. No es necesario tener certeza de que se está produciendo blanqueo. No es necesario completar una investigación. "Motivos razonables para sospechar" es el estándar aplicable. Las listas de indicadores publicadas por las autoridades competentes proporcionan orientación sobre qué constituye motivos razonables. Los indicadores objetivos incluyen transacciones que implican países de la lista de terceros países de alto riesgo de la UE. Los indicadores subjetivos incluyen transacciones sin propósito económico aparente o transacciones que no se corresponden con el perfil del cliente.

Dos aspectos de la obligación de reporte sorprenden a los auditores. Primero, la prohibición de revelación (tipping-off). La normativa prohíbe informar al cliente (o a cualquier persona que no sea la UIF y el responsable de cumplimiento AML de la firma) de que se ha realizado o se está considerando un reporte. No se puede informar al cliente. No se puede comentar con los otros asesores del cliente. Segundo, la obligación de reporte prevalece sobre la confidencialidad profesional. La normativa establece expresamente que la obligación de reporte tiene prioridad sobre cualquier deber de confidencialidad con el cliente.

El escenario práctico es el siguiente: durante el trabajo de campo, usted identifica una serie de transacciones que activan un indicador subjetivo. Reporte a la UIF. Continúe la auditoría. Retirarse del encargo únicamente porque presentó un reporte equivaldría a revelar la información al cliente, así que permanece. Si las transacciones sospechosas también constituyen fraude potencial, evalúelas simultáneamente conforme a la NIA-ES 240. Si también constituyen incumplimiento potencial de leyes, evalúelas conforme a la NIA-ES 250. La obligación AML se ejecuta en paralelo.

Cómo interactúan las obligaciones AML con la NIA-ES 250

La NIA-ES 250.13 requiere obtener evidencia de auditoría suficiente y adecuada respecto al cumplimiento de las leyes y regulaciones que tienen un efecto directo en la determinación de importes materiales y revelaciones en los estados financieros. La legislación antiblanqueo normalmente no afecta directamente a los importes de los estados financieros (el incumplimiento del cliente con la obligación de reportar operaciones sospechosas no cambia el balance). Sin embargo, la NIA-ES 250.14 requiere que el auditor realice procedimientos para identificar incumplimientos de otras leyes y regulaciones que puedan tener un efecto material en los estados financieros. Las sanciones por incumplimiento AML pueden ser materiales.

La interacción funciona en ambas direcciones. Los procedimientos de la NIA-ES 250.14 pueden identificar incumplimientos que activen la obligación de reporte AML. La debida diligencia AML puede identificar información relevante para la evaluación del riesgo de fraude conforme a la NIA-ES 240.35 o para la evaluación de empresa en funcionamiento conforme a la NIA-ES 570.10 (si el modelo de negocio del cliente depende de transacciones que parecen carecer de sustancia económica, la hipótesis de empresa en funcionamiento puede ser cuestionable).

La NIA-ES 250.19 requiere comunicar el incumplimiento identificado o sospechado a los responsables del gobierno de la entidad. Pero la prohibición de revelación restringe lo que usted puede comunicar y cuándo. Si ha reportado una operación sospechosa a la UIF, no puede informar al comité de auditoría de que lo ha hecho. Sin embargo, puede comunicar sus inquietudes sobre las transacciones subyacentes conforme a la NIA-ES 250 sin hacer referencia al reporte AML. Esto requiere una redacción cuidadosa. Documente la estrategia de comunicación en el expediente del encargo.

La NIA-ES 250.23 requiere que el auditor considere las implicaciones del incumplimiento para la opinión de auditoría. Si el incumplimiento del cliente con la legislación antiblanqueo es material (por sanciones, acción regulatoria o daño reputacional que afecte a la empresa en funcionamiento), puede requerir una modificación de la opinión o un párrafo de énfasis. Evalúe cada caso en función del impacto específico en los estados financieros.

Debida diligencia ampliada y evaluación de PEP

La normativa requiere debida diligencia ampliada en situaciones de alto riesgo específicas. Los desencadenantes obligatorios incluyen: un cliente o titular real que sea una Persona Políticamente Expuesta (PEP), una relación comercial o transacción que implique un país de la lista de terceros países de alto riesgo de la UE, una relación de corresponsalía bancaria, y cualquier situación donde la evaluación de riesgo identifique un riesgo elevado de blanqueo o financiación del terrorismo.

La evaluación de PEP es el desencadenante que afecta a los auditores con mayor frecuencia. Una PEP es una persona física que ejerce (o ha ejercido en los últimos 12 meses según la implementación en algunos Estados) una función pública prominente. La definición se extiende a familiares y asociados cercanos conocidos. Si el titular real de su cliente de auditoría es una PEP, se requiere obtener la aprobación de la alta dirección para el encargo, tomar medidas adecuadas para establecer el origen de la riqueza y los fondos, y realizar un seguimiento ampliado continuo.

En la práctica: antes de aceptar cualquier encargo de auditoría nuevo, filtre al titular real contra una base de datos de PEP. Si el titular real es una PEP, documente las medidas de debida diligencia ampliada adoptadas. Si el encargo está en curso y el titular real se convierte en PEP (por ejemplo, el accionista mayoritario del cliente es nombrado para un cargo ministerial), las medidas ampliadas deben aplicarse desde ese momento. Supervise los cambios anualmente.

La lista de terceros países de alto riesgo de la UE también activa la debida diligencia ampliada. Si el cliente de auditoría tiene relaciones comerciales con entidades en jurisdicciones incluidas en la lista, se aplican medidas adicionales y usted debe tomar medidas para comprender la naturaleza y el propósito de esas transacciones. Verifique la justificación comercial. La lista de la UE se actualiza periódicamente; consulte la versión vigente antes de cada ciclo de encargos.

Conservación de registros y la regla de cinco años

La normativa antiblanqueo requiere conservar todos los registros de debida diligencia del cliente y los registros de transacciones durante cinco años después de la finalización de la relación comercial (es decir, después del último encargo de auditoría para ese cliente). Este período de conservación es independiente del período de retención de los papeles de trabajo de auditoría y potencialmente más largo.

Los registros que debe conservar incluyen: copias de los documentos de identificación o fuentes de datos utilizadas para verificar la identidad del cliente, los registros de identificación y verificación del titular real, la evaluación de riesgo de la relación comercial, los registros de cualquier reporte de operaciones sospechosas realizados, la documentación de seguimiento continuo y cualquier documentación de debida diligencia ampliada. Estos registros deben ser suficientes para permitir que las autoridades supervisoras reconstruyan el proceso de debida diligencia si lo solicitan.

La implicación práctica para las firmas: mantenga un expediente AML del cliente separado (o una sección claramente delimitada dentro del expediente del encargo) que se conserve con un calendario diferente al del expediente de auditoría si es necesario. Si la retención estándar de papeles de trabajo de la firma es de seis años pero la relación comercial AML terminó dos años antes de la última auditoría, la retención AML puede extenderse hasta siete años desde la última auditoría.

El paquete AML de 2024 de la UE: qué cambia para los auditores

La UE adoptó un nuevo paquete legislativo antiblanqueo en 2024 compuesto por el Reglamento AML (Reglamento (UE) 2024/1624, directamente aplicable en todos los Estados miembros), la Sexta Directiva Antiblanqueo (6AMLD, Directiva (UE) 2024/1640), y el reglamento que establece la Autoridad Antiblanqueo (AMLA, Reglamento (UE) 2024/1620). El Reglamento AML sustituye gran parte del contenido actualmente en la 4AMLD/5AMLD y, al ser un reglamento en lugar de una directiva, se aplicará directamente sin transposición nacional.

Para los auditores, los cambios del Reglamento AML incluyen: un marco armonizado máximo para la debida diligencia del cliente (reduciendo la variación actual entre Estados miembros), reglas más detalladas sobre la identificación y verificación de titulares reales, una definición armonizada de PEP que reduce la divergencia nacional en la implementación, un conjunto ampliado de desencadenantes obligatorios de debida diligencia ampliada, y reglas más claras sobre la aplicación de medidas de debida diligencia a relaciones comerciales existentes.

El Reglamento AML se aplica a partir del 10 de julio de 2027. Los auditores siguen siendo sujetos obligados supervisados a nivel nacional, pero los requisitos específicos dentro de cada categoría de obligación se endurecen. La AMLA, con sede en Fráncfort, supervisará directamente determinadas entidades financieras de alto riesgo y coordinará a los supervisores nacionales. Para las firmas de auditoría, la supervisión directa de la AMLA no se prevé inicialmente, pero la coordinación a través de la AMLA puede aumentar la coherencia de las expectativas de supervisión en todos los Estados miembros.

Ejemplo práctico: Auditorías Mediterráneas S.L. auditando Importaciones Costa Brava S.L.

Escenario: Auditorías Mediterráneas S.L. acepta la auditoría de Importaciones Costa Brava S.L., una empresa de comercio internacional con ingresos de 12,4 millones de euros. El administrador posee el 100% a través de una sociedad holding. La empresa importa componentes electrónicos de Asia del Sudeste y los distribuye a fabricantes en España.

Paso 1: Debida diligencia inicial del cliente

Antes de aceptar el encargo, el equipo de Auditorías Mediterráneas realiza la identificación y verificación. Obtiene el extracto del registro mercantil de Importaciones Costa Brava, identifica al administrador y verifica su identidad. A continuación consulta el registro de titulares reales para confirmar la cadena de propiedad hasta la persona física que controla la sociedad holding. Clasifica al cliente como riesgo medio basándose en el sector de comercio internacional y la presencia de operaciones en jurisdicciones de riesgo elevado.

Documentación: "Evaluación de riesgo AML completada el 15 de enero. Cliente clasificado como riesgo medio. Factores de riesgo: sector de comercio internacional, pagos a proveedores en jurisdicciones de riesgo elevado. Factores mitigantes: empresa establecida hace 12 años, estructura de propiedad transparente."

Paso 2: Debida diligencia ampliada

Dado que el cliente opera en comercio internacional con jurisdicciones de riesgo elevado, el equipo aplica debida diligencia ampliada. Solicita información sobre los proveedores asiáticos y verifica que los flujos de pago corresponden a las facturas comerciales. Confirma que los importes son coherentes con los volúmenes de importación declarados en aduanas.

Documentación: "Verificada identidad de los cinco proveedores principales. Confirmada coherencia entre pagos, facturas y documentación aduanera. No se identificaron discrepancias materiales."

Paso 3: Identificación de indicadores durante el trabajo de campo

Durante el examen de las cuentas a pagar, el equipo identifica 15 transferencias a una entidad en Chipre por un total de 850.000 euros. La documentación comercial de estas transacciones es limitada. Las entidades beneficiarias fueron registradas el mismo mes que las transferencias. No existe una justificación comercial evidente para estas operaciones.

Documentación: "Identificadas transacciones con características de estructuración. Total: 850.000 euros en 15 transferencias a entidad chipriota. Documentación de soporte insuficiente. Entidades beneficiarias constituidas en fechas coincidentes con las transferencias. Requiere evaluación adicional bajo marco AML."

Paso 4: Evaluación de reporte a la UIF

El equipo evalúa las transacciones contra los indicadores de la lista de indicadores. Concurren dos indicadores objetivos (transacciones con jurisdicción de alto riesgo, entidades constituidas recientemente) y dos indicadores subjetivos (ausencia de propósito económico aparente, documentación insuficiente). El equipo decide que existen motivos razonables para sospechar y presenta el reporte a la UIF.

Documentación: "Reporte presentado a la UIF el 15 de marzo. Reporte completado dentro de plazo regulatorio. No se informó al cliente conforme a la prohibición de revelación. La auditoría continúa conforme a la NIA-ES 240 y la NIA-ES 250 en paralelo."

Conclusión: Este ejemplo muestra cómo las obligaciones AML crean procedimientos paralelos a los de auditoría. La NIA-ES 240 aborda el riesgo de fraude en los estados financieros. Las obligaciones AML abordan el riesgo de blanqueo en las operaciones del cliente. Ambos marcos se aplican simultáneamente.

Lista de verificación para cada encargo

  • Realizar debida diligencia del cliente antes de la aceptación: identificar y verificar la identidad del cliente, identificar al titular real, y clasificar el riesgo AML del encargo
  • Aplicar debida diligencia ampliada cuando corresponda: evaluar si concurren desencadenantes obligatorios (PEP, jurisdicciones de alto riesgo, riesgo elevado identificado en la evaluación)
  • Documentar el seguimiento continuo de transacciones como parte del expediente, separado pero complementario de los procedimientos de la NIA-ES 240
  • Establecer umbrales de reporte basados en los indicadores de la autoridad supervisora nacional para determinar cuándo reportar operaciones sospechosas a la UIF
  • Crear procedimientos de escalamiento para situaciones donde las obligaciones AML puedan interactuar con la prohibición de revelación y las obligaciones de comunicación de la NIA-ES 250
  • Mantener registros AML separados con un calendario de conservación de cinco años tras la finalización de la relación comercial, independientemente del calendario de retención de los papeles de trabajo de auditoría

Errores frecuentes

  • Confundir obligaciones AML con procedimientos de fraude: Las obligaciones AML son independientes de la NIA-ES 240 y requieren procedimientos específicos adicionales. Detectar un riesgo de fraude no equivale a cumplir la obligación de debida diligencia. Ambos marcos se aplican en paralelo con fundamentos legales diferentes.
  • Retrasar el reporte por consideraciones de secreto profesional: La obligación de reporte AML prevalece sobre el secreto profesional según las directivas de la UE. Retrasar un reporte mientras se "investiga internamente" puede constituir incumplimiento de la obligación de reportar sin demora.
  • Documentación insuficiente de procedimientos de debida diligencia: Los supervisores esperan evidencia específica de verificación de identidad y evaluación de riesgo que vaya más allá de los papeles de trabajo estándar de auditoría. Un formulario de aceptación de clientes genérico no satisface los requisitos AML.
  • No actualizar la evaluación de riesgo AML durante el encargo: La evaluación inicial no es suficiente. Si durante la auditoría se obtiene información nueva que afecta al perfil de riesgo del cliente, la evaluación debe revisarse y documentarse.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.