Tabla de contenidos

1. Lo que pasa en la práctica antes de hablar de normativa 2. El marco normativo y el hueco que deja 3. Las listas que importan y la que se olvida 4. Cribado inicial sin marcar la casilla 5. El cribado periódico (donde casi todas las firmas fallan) 6. Caso práctico: Fernández & Asociados y la coincidencia que costó dos noches 7. Lista de verificación honesta para compliance 8. Errores que ya he visto en firmas reales 9. Contenido relacionado

Lo que pasa en la práctica antes de hablar de normativa

Vaya por delante que esto es lo que veo en las firmas medianas con las que he colaborado, no lo que dice la directiva. Una firma típica de doce a veinte profesionales acepta el cliente, alguien hace la consulta inicial (a veces el socio, a veces un senior con prisa), y el resultado se queda en el archivo. Nadie lo vuelve a tocar.

¿Por qué? Porque el cribado periódico no se factura al encargo. La hora de un senior que entra cada trimestre a la web del Tesoro a comprobar si Construcciones Mediterráneas sigue limpia no la paga el cliente. Esa hora se la come la firma. Y cuando llega campaña, la primera tarea que se cae del calendario es la que no tiene un partner detrás presionando para que se haga.

El socio necesita el cliente. La oficina de calidad pide cribado trimestral. El senior tiene veinte horas de revisión de existencias atrasadas. Adivine qué se pospone.

El marco normativo y el hueco que deja

Antes de citar la directiva, quiero dejar claro lo que esto significa para una firma de quince personas: la normativa antiblanqueo te trata como sujeto obligado, y la inspección no te pregunta si cribaste, te pregunta si puedes demostrarlo.

La normativa europea de prevención del blanqueo establece que los auditores tienen que aplicar medidas de debida diligencia sobre sus clientes, y eso incluye verificar que no figuran en listas oficiales de personas y entidades sancionadas. En España, la Ley 10/2010 mete explícitamente a los auditores en el saco de los sujetos obligados, y el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales) puede pedirte el expediente de cualquier cliente con apenas días de aviso.

Las Normas Internacionales de Control de Calidad (NICC) requieren que las firmas tengan políticas para la aceptación y continuidad de clientes. Las NICC no dicen literalmente "criba sanciones cada trimestre", pero el ICAC (Instituto de Contabilidad y Auditoría de Cuentas) y el SEPBLAC interpretan que el cribado entra dentro de esos procedimientos. Por lo que conozco de los expedientes que se han hecho públicos, el supervisor no penaliza tanto que falte un cribado puntual como que falte el sistema entero.

Lo que cambia según el país

En España manda la Ley 10/2010 más las circulares del SEPBLAC. En el resto de Europa, la transposición de la Cuarta y Quinta Directiva Antiblanqueo da requisitos parecidos, pero los plazos de revisión y la documentación exigida varían. Si la firma audita filiales de grupos europeos, conviene mirar los requisitos del país de la matriz, no solo los del país de la filial.

El riesgo no se queda en el cliente directo. El supervisor espera que la firma identifique a los beneficiarios finales de las entidades que audita, sobre todo cuando hay participaciones complejas o estructuras offshore. Un beneficiario final sancionado en una matriz luxemburguesa compromete a toda la consolidación, y la firma puede tener que salirse del encargo a media campaña. Esas son las bombas de relojería: no las ves hasta que estallan, y cuando estallan, te quedas sin honorarios y con el SEPBLAC haciendo preguntas.

Las listas que importan y la que se olvida

Antes del inventario teórico, una observación práctica: la mayoría de firmas medianas consulta la lista de la UE y la lista nacional, y se olvidan de OFAC. Y OFAC es la que muerde cuando el cliente tiene un solo cobro denominado en dólares.

Listas obligatorias

Lista consolidada de la UE: Recoge todas las medidas restrictivas adoptadas por el Consejo Europeo. Se actualiza semanalmente y es vinculante para todas las entidades europeas. Si alguien aparece en esta lista, se prohíbe la relación comercial salvo autorización específica del Tesoro.

Listas nacionales: Cada país mantiene su propia lista. En España la gestiona la Secretaría de Estado de Comercio y se publica en la web del Tesoro. Suelen ser más restrictivas que la europea en sectores específicos (defensa, doble uso, ciertos minerales).

Lista OFAC (Estados Unidos): No es vinculante fuera de EE.UU. en sentido estricto, pero si el cliente cobra en dólares, factura a una empresa estadounidense, o usa correspondencia bancaria americana, OFAC le afecta. Y si OFAC bloquea una transferencia, el banco español la congela igual. En mi caso, la primera vez que vi esto fue un cliente exportador de aceite con un comprador en Florida: el comprador pasó a una lista de OFAC, el cliente español no estaba sancionado, pero el cobro se quedó atascado dos meses. La firma tuvo que documentar el asunto en cuanto al impacto sobre la continuidad.

Listas de contexto

Lista de la ONU: Es la base de las sanciones europeas, pero no siempre coincide. Útil para entender el contexto, pero la consulta operativa es la europea.

Listas PEP (Personas Expuestas Políticamente): No son listas de sanciones, son listas de personas a las que aplica diligencia reforzada por su posición. La línea entre PEP y persona sancionada es difusa en regímenes con sanciones políticas activas, así que conviene tratar la coincidencia PEP como una bandera amarilla, no verde.

Cribado inicial sin marcar la casilla

El cribado inicial efectivo necesita un proceso reproducible. No vale con que el socio recuerde haber mirado algo. Y aquí está el riesgo de las firmas pequeñas: si no hay protocolo escrito, el cribado se convierte en un brindis al sol. Existe sobre el papel, pero no detecta nada.

Datos básicos antes de tocar la lista

Antes de cualquier consulta, la firma necesita identificar correctamente a quién va a cribar. Esto incluye:

- Denominación social completa de la entidad cliente - Números de identificación fiscal y registros mercantiles - Domicilio social y operativo principal - Nombres completos y fechas de nacimiento (cuando estén disponibles) de todos los administradores y directivos - Estructura de propiedad hasta identificar beneficiarios finales con participación superior al 25% - Entidades del grupo consolidado si el encargo abarca más de una sociedad

El error que veo más a menudo es limitarse al cliente directo. Si Construcciones Mediterráneas S.L. es filial al 100% de Inversiones Holding B.V. (Países Bajos), la firma tiene que cribar las dos entidades y sus administradores respectivos. La estructura puede parecer transparente, pero los beneficiarios finales pueden estar en jurisdicciones con riesgo de sanciones que ni siquiera están en el radar del equipo de campo.

Consulta sistemática de listas

El proceso de consulta tiene que ser reproducible y auditable. Las firmas pequeñas pueden usar búsquedas manuales en portales oficiales, pero entonces tienen que documentar fecha, hora y resultado de cada consulta. Si llega el SEPBLAC y te pregunta cómo cribaste a los administradores de la matriz holandesa, el "busqué en Google" no es respuesta.

Búsqueda por denominación exacta: Introducir la razón social completa tal como aparece en el registro mercantil. Los sistemas de sanciones no siempre reconocen variaciones menores de denominación.

Búsqueda por variaciones de nombre: Probar abreviaciones comunes, traducciones al inglés, versiones sin forma jurídica, transliteraciones cuando hay nombres en cirílico o en árabe. "Construcciones Mediterráneas S.L." se busca también como "Construcciones Mediterráneas", "Mediterranean Construction" y variantes parecidas.

Búsqueda por personas físicas: Nombre, apellidos y fecha de nacimiento cuando esté disponible. Los nombres comunes (Juan García, Mohammed Ali, Yuri Petrov) requieren filtrado adicional por contexto geográfico, profesional o familiar.

Evaluación de coincidencias

No todas las coincidencias son relevantes. Los sistemas oficiales generan falsos positivos por similitud de nombres, sobre todo con personas físicas. La firma tiene que aplicar criterio profesional para evaluar si la coincidencia es material.

Una coincidencia se trata como positiva cuando hay información suficiente para vincular razonablemente la búsqueda con la entrada de la lista: - Denominación idéntica o muy similar - Misma jurisdicción de constitución o residencia - Actividad comercial coherente con la descripción de la entrada - Vínculos familiares o profesionales con personas ya identificadas

Cuando las cuatro cosas coinciden, no hay debate. Cuando coinciden dos o tres, ahí empieza el trabajo de verdad: documentar la duda, escalar al socio, decidir si se sigue, si se rechaza, o si se comunica a SEPBLAC.

El cribado periódico (donde casi todas las firmas fallan)

El cribado inicial es la parte fácil. La parte que casi nadie hace bien es el seguimiento. Las listas se actualizan constantemente y nuevas medidas pueden afectar a clientes ya aprobados. Y cuando llega la inspección, lo que el SEPBLAC pide no es una foto inicial: es una sucesión de fotos a lo largo del tiempo.

Por lo que conozco, el supervisor no exige cribado perfecto. Exige evidencia escrita de que alguien con nombre y apellido revisó la cartera el último trimestre. Sin esa evidencia, el cribado nunca ocurrió, aunque tú sepas que sí.

Esa es la frase. Léala otra vez.

Frecuencia por nivel de riesgo

Clientes de bajo riesgo: Actualización anual coincidiendo con la renovación del encargo. Vale para entidades domésticas sin exposición internacional significativa, sin operaciones en divisas y con consejos de administración estables.

Clientes de riesgo elevado: Actualización trimestral o semestral para entidades con operaciones en jurisdicciones de alto riesgo, exposición significativa a divisas, o cambios frecuentes en la estructura de propiedad.

Eventos específicos: Actualización inmediata cuando se produzcan cambios en el consejo de administración, modificaciones de capital, fusiones, escisiones o noticias relevantes sobre el cliente en medios especializados.

El debate interno: ¿trimestral para todos o proporcional al riesgo?

Aquí hay una discusión legítima entre socios que he visto repetirse en varias firmas, y conviene exponerla honestamente.

El Socio A defiende cribado trimestral para todos los clientes, sin excepción. Su argumento: el coste de tiempo es bajo (una hora de senior por cliente y trimestre, automatizable parcialmente) y el riesgo regulatorio es asimétrico. Si el SEPBLAC abre expediente, el coste de defensa supera con creces el coste de proceso. Más vale teatro consistente que vacío selectivo.

El Socio B argumenta que el cribado proporcional al riesgo es lo que pide la Directiva: clientes domésticos sin exposición internacional, anual; clientes con exposición o estructura compleja, trimestral. Cribar 45 clientes domésticos cada trimestre es brindis al sol, consume horas que podrían dedicarse a diligencia real sobre los clientes que de verdad lo necesitan, y diluye la atención del equipo de calidad.

Los dos defenderían su postura ante el ICAC. La diferencia depende de cuánto pesas el coste fijo de proceso frente al coste variable de defensa ante una inspección. Desde mi punto de vista, el cribado proporcional es defendible si está documentado el criterio de clasificación, pero el trimestral universal es lo que duerme tranquilo al socio responsable de calidad. Cada firma elige.

Monitorización de noticias

Los medios pueden alertar sobre desarrollos que aún no se reflejan en listas oficiales. Un alta directivo detenido por blanqueo en agosto puede tardar meses en aparecer en una lista, pero la noticia sale en Cinco Días al día siguiente.

Para carteras pequeñas, alertas de Google con el nombre del cliente y de los administradores principales bastan. Para carteras más grandes, los servicios de monitorización comerciales (LexisNexis, World-Check, Dow Jones Risk Center) incluyen fuentes especializadas en sanciones y cumplimiento. La elección depende del presupuesto y del volumen de clientes con perfil de riesgo medio o alto.

Caso práctico: Fernández & Asociados y la coincidencia que costó dos noches

Auditores Fernández & Asociados S.L. es una firma con doce profesionales que audita 45 clientes anuales. Sus encargos incluyen sociedades familiares, cooperativas agrícolas y algunas filiales españolas de grupos europeos. La firma decide poner en marcha un proceso de cribado tras detectar que uno de sus clientes exporta maquinaria a países con restricciones comerciales.

Inventario de cartera

La firma elabora una base de datos con información básica de sus 45 clientes: denominación social, CIF, administradores actuales, sector de actividad y fecha del último encargo. Detecta que ocho clientes son filiales de grupos extranjeros y que doce tienen operaciones de exportación significativas.

Documentación: Hoja Excel con campos obligatorios para denominación, identificación fiscal, administradores (nombre completo y fecha de nacimiento cuando se tenga), país de constitución de la matriz si aplica, y clasificación de riesgo (bajo / medio / alto). El criterio de clasificación se documenta en una hoja aparte para que el revisor externo pueda reproducir las decisiones.

Cribado inicial de la cartera existente

Durante dos semanas, un senior de la firma consulta la lista consolidada de la UE, la lista del Tesoro español y OFAC para todos los clientes y administradores identificados. El proceso revela:

- 42 clientes: sin coincidencias - 2 clientes: falsos positivos por similitud de nombre, resueltos por contexto geográfico y de actividad - 1 cliente: coincidencia genuinamente ambigua, escalada al socio

Documentación: Para cada búsqueda, se registra fecha de consulta, término buscado, resultado ("sin coincidencias" / "coincidencia descartada" / "investigación adicional"), y nombre del profesional que hizo la búsqueda.

La coincidencia ambigua

El cliente "Exportaciones Andaluzas S.A." da coincidencia con "Andalusian Export Company" en una lista de OFAC vinculada a violaciones de sanciones contra Irán. El nombre traducido encaja, el sector encaja (exportación agroalimentaria), pero el país de constitución de la entidad sancionada es Emiratos Árabes Unidos, no España.

Hasta aquí, parece falso positivo. Pero al consultar el registro mercantil para confirmar los administradores de Exportaciones Andaluzas, aparece que uno de los consejeros (un primo segundo del fundador) comparte nombre y apellidos con un beneficiario final identificado en la entrada de OFAC. Misma fecha de nacimiento aproximada (mes y año coinciden, día no consta en la lista).

Aquí el equipo se dividió. La manager defendía cerrar el caso como falso positivo: el consejero tiene residencia fiscal en Sevilla, pasaporte español, y nunca ha aparecido en otras alertas. El socio responsable quería escalar al SEPBLAC mediante comunicación por indicio. El junior, sin voto pero con voz, propuso una vía intermedia: diligencia reforzada documentada, consulta directa al cliente sobre las relaciones comerciales del consejero con entidades de los Emiratos, y revisión externa por un abogado especializado en sanciones antes de decidir.

Se hizo lo que propuso el junior. Costó dos noches del socio leyendo el dictamen del abogado. La conclusión final fue que la coincidencia era genuinamente fortuita (nombres comunes en familias andaluzas con conexiones magrebíes históricas, sin vínculo comercial con la entidad de OFAC), pero el proceso quedó documentado con un memo de doce páginas, el dictamen del abogado, y la confirmación escrita del cliente sobre las relaciones del consejero.

¿Era necesario? Si el SEPBLAC inspecciona el expediente, sí. Si nunca inspecciona, han sido doce horas de socio que nadie facturó. La firma decidió que prefería las doce horas a la alternativa.

Documentación: Memo de investigación con la coincidencia inicial, los pasos de verificación realizados, la consulta al cliente, el dictamen externo, y la conclusión razonada. Firma del socio responsable y archivo permanente en el expediente del cliente.

Aplicación de controles periódicos

La firma establece recordatorios trimestrales para clientes de riesgo elevado (exportadores y filiales extranjeras) y anuales para el resto. Asigna la tarea a una persona concreta del departamento de calidad interno, no "a la firma": Marta, manager de calidad, con suplente nombrado para sus periodos de vacaciones. Crea un archivo específico para documentar todas las consultas y un recordatorio automático en el calendario que copia al socio responsable.

El detalle del nombre y del suplente importa. Si la tarea es "de la firma", la tarea es de nadie. Si la tarea es de Marta, Marta sabe que en su evaluación anual aparecerá si el cribado del segundo trimestre no se hizo.

Documentación: Procedimiento escrito que especifica frecuencia de actualización por tipo de cliente, responsable del proceso (nombre y apellidos), suplente, documentación requerida, y protocolo de escalamiento cuando se detecten coincidencias.

Resultado

Tras seis meses de aplicación, la firma ha documentado 180 consultas de actualización sin detectar nuevas coincidencias positivas. El proceso consume aproximadamente dos horas mensuales de tiempo de senior. La inversión se considera razonable frente al riesgo regulatorio y reputacional. Y, sobre todo, el expediente está en condiciones de soportar una visita del SEPBLAC sin sustos.

Lista de verificación honesta para compliance

Esta lista se aplica antes de aceptar cualquier cliente nuevo y periódicamente durante encargos existentes:

1. Identificación completa del cliente: Denominación social exacta, CIF / número de identificación, domicilio registrado, y actividad principal documentada mediante certificación registral actualizada.

2. Identificación de administradores y directivos: Nombres completos, fechas de nacimiento cuando estén disponibles, y nacionalidad de todos los miembros del consejo de administración y dirección ejecutiva.

3. Estructura de propiedad hasta beneficiarios finales: Cadena completa de participaciones hasta identificar personas físicas con control directo o indirecto superior al 25%, incluyendo entidades interpuestas en otras jurisdicciones.

4. Consulta en listas oficiales: Verificación en lista consolidada UE, lista del Tesoro español, OFAC si existe cualquier exposición a EE.UU. (incluido cobro en dólares), documentando fecha y resultado de cada búsqueda.

5. Evaluación de coincidencias: Análisis específico de cualquier resultado positivo con documentación del proceso de verificación y conclusión razonada sobre la relevancia de la coincidencia. Si hay duda genuina, escalación al socio y, en su caso, comunicación por indicio al SEPBLAC.

6. Documentación del proceso: Archivo específico con todas las consultas realizadas, profesional responsable (nombre y apellidos), fechas de ejecución, y decisión final sobre la aceptación o continuidad del cliente con aprobación firmada del socio responsable.

7. Asignación nominal del cribado periódico: Persona concreta del equipo de calidad, suplente para periodos de ausencia, recordatorio en calendario corporativo, y revisión semestral del propio sistema por el socio responsable.

Errores que ya he visto en firmas reales

Quedarse en el cliente directo sin investigar la estructura de grupo: Muchas firmas criban únicamente la entidad que contrata los servicios, e ignoran que el riesgo real puede estar en la matriz o en otras filiales del grupo. Una estructura aparentemente local puede estar controlada por entidades sancionadas a través de intermediarios. La trampa: cuando aparece en una alerta dos meses después, el socio está cerrando otro encargo y tiene que salir del primero a la carrera, sin honorarios, con un cliente furioso y un expediente abierto.

Usar solo búsquedas automáticas sin verificación manual: Los sistemas automatizados generan falsos positivos y falsos negativos. Las búsquedas por variaciones de nombre, transliteraciones y verificación cruzada de información contextual siguen siendo necesarias. El sistema automatizado es un buen primer filtro, no es el cribado.

No actualizar el cribado durante encargos plurianuales: Las listas se modifican mensualmente y las medidas pueden afectar a relaciones comerciales existentes. Un cliente aprobado inicialmente puede quedar sancionado durante la vigencia del encargo. Y si los papeles están flojos cuando llega el SEPBLAC, no vale alegar que se hizo el cribado inicial: lo que se inspecciona es la cadena de evidencia.

Marcar la casilla sin sustancia: El error más sutil. La firma tiene un procedimiento escrito, una hoja Excel, una persona asignada. Pero la persona asignada hace la consulta de carrerilla cada trimestre, sin variantes de nombre, sin OFAC, sin cribar a los nuevos consejeros que entraron en abril. El sistema existe. El cribado, no. El supervisor lo detecta en la primera media hora de la inspección.

Contenido relacionado

- Procedimientos de aceptación de clientes según NICC 1 - Marco normativo completo para la evaluación inicial de clientes de auditoría - Herramienta de evaluación de riesgo del cliente - Plantilla estructurada para documentar la debida diligencia en la aceptación de encargos - Control de calidad en firmas pequeñas y medianas - Aplicación práctica de sistemas de calidad proporcionales al tamaño de la firma

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.