El cribado de sanciones no es únicamente una buena práctica: forma parte de las obligaciones de prevención del blanqueo de capitales que aplican a las firmas de auditoría como sujetos obligados.

Tabla de contenidos

Marco normativo del cribado de sanciones

El cribado de sanciones no es únicamente una buena práctica: forma parte de las obligaciones de prevención del blanqueo de capitales que aplican a las firmas de auditoría como sujetos obligados. La normativa europea de prevención del blanqueo establece que los auditores deben aplicar medidas de debida diligencia sobre sus clientes, lo que incluye verificar que no figuran en listas oficiales de personas y entidades sancionadas.
Las Normas Internacionales de Control de Calidad requieren que las firmas establezcan políticas para la aceptación y continuidad de clientes. Aunque las NICC no especifican el cribado de sanciones explícitamente, los reguladores interpretan esta obligación como parte de los procedimientos de aceptación responsable. Una firma que acepta un cliente sancionado sin saberlo puede enfrentar tanto sanciones regulatorias como la terminación forzosa del encargo.

Obligaciones específicas por jurisdicción


La aplicación práctica varía según el país, pero el principio básico es uniforme: las firmas deben "conocer a su cliente" antes de establecer la relación profesional. En España, la Ley 10/2010 de prevención del blanqueo de capitales incluye a los auditores como sujetos obligados. En otros países europeos, la transposición de la Cuarta y Quinta Directiva Antiblanqueo establece requisitos similares.
El riesgo no se limita al cliente directo. Los reguladores esperan que las firmas identifiquen a los beneficiarios finales de las entidades que auditan, especialmente cuando existen participaciones complejas o estructuras offshore. Un directivo sancionado en una subsidiaria puede comprometer todo el grupo consolidado.

Listas de sanciones relevantes para firmas de auditoría

No todas las listas de sanciones tienen el mismo peso legal ni requieren la misma respuesta. Las firmas deben priorizar las listas oficiales gubernamentales sobre las bases de datos comerciales, aunque estas últimas pueden servir como control adicional.

Listas primarias obligatorias


Lista consolidada de la UE: Incluye todas las medidas restrictivas adoptadas por el Consejo Europeo. Se actualiza semanalmente y es vinculante para todas las entidades europeas. La aparición en esta lista prohíbe establecer relaciones comerciales salvo autorización específica.
Listas nacionales: Cada país mantiene su propia lista de personas y entidades sancionadas. En España, la gestiona la Secretaría de Estado de Comercio. Estas listas pueden incluir sanciones adicionales a las europeas y suelen ser más restrictivas en sectores específicos.
Lista OFAC (Estados Unidos): Aunque no sea vinculante fuera de EE.UU., las firmas que auditan clientes con operaciones estadounidenses o que usan el sistema financiero americano deben considerarla. La aparición en la lista OFAC puede bloquear transacciones internacionales incluso para entidades europeas.

Listas de apoyo y contexto


Lista de la ONU: Base de las sanciones europeas, pero no siempre coincide exactamente. Útil para entender el contexto de las sanciones pero no sustituye a las listas regionales.
Listas PEP (Personas Expuestas Políticamente): No son listas de sanciones propiamente, pero las firmas deben aplicar procedimientos reforzados cuando auditan entidades controladas por PEPs. La línea entre PEP y persona sancionada puede ser difusa en ciertos regímenes.

Proceso de cribado inicial en la aceptación del cliente

El cribado efectivo requiere un proceso estructurado que no dependa de la memoria del socio encargado. Las firmas medianas y pequeñas pueden implementar controles proporcionales sin sistemas tecnológicos complejos, pero necesitan documentación sistemática.

Fase 1: Recopilación de datos básicos


Antes de cualquier consulta, la firma necesita identificar correctamente a todas las personas y entidades que debe cribar. Esto incluye:
Un error común es limitarse al cliente directo. Si Construcciones Mediterráneas S.L. es filial al 100% de Inversiones Holding B.V. (Países Bajos), la firma debe cribar ambas entidades y sus respectivos administradores. La estructura puede parecer transparente, pero los beneficiarios finales pueden estar en jurisdicciones con mayor riesgo de sanciones.

Fase 2: Consulta sistemática de listas


El proceso de consulta debe ser reproducible y auditable. Las firmas pequeñas pueden usar las búsquedas manuales en portales oficiales, pero deben documentar la fecha, hora y resultado de cada consulta.
Búsqueda por denominación exacta: Introducir la razón social completa tal como aparece en el registro mercantil. Los sistemas de sanciones no siempre reconocen variaciones menores de denominación.
Búsqueda por variaciones de nombre: Probar abreviaciones comunes, traducciones al inglés, y versiones sin forma jurídica. "Construcciones Mediterráneas S.L." debe buscarse también como "Construcciones Mediterráneas", "Mediterranean Construction" y variantes similares.
Búsqueda por personas físicas: Usar nombre, apellidos y fecha de nacimiento cuando esté disponible. Los nombres comunes requieren filtrado adicional por contexto geográfico o profesional.

Fase 3: Evaluación de coincidencias


No todas las coincidencias son relevantes. Los sistemas oficiales pueden devolver "falsos positivos" por similitud de nombres, especialmente con personas físicas. La firma debe aplicar criterio profesional para evaluar si la coincidencia es material.
Una coincidencia se considera positiva cuando existe suficiente información para vincular razonablemente la búsqueda con la entrada de la lista. Esto incluye:

  • Denominación social completa de la entidad cliente
  • Números de identificación fiscal y registros mercantiles
  • Domicilio social y operativo principal
  • Nombres completos de todos los administradores y directivos principal
  • Estructura de propiedad hasta identificar beneficiarios finales con participación superior al 25%
  • Entidades del grupo consolidado si el encargo abarca más de una sociedad
  • Denominación idéntica o similar
  • Misma jurisdicción de constitución o residencia
  • Actividad comercial coherente
  • Vínculos familiares o profesionales con personas ya identificadas

Controles de seguimiento durante el encargo

El cribado inicial es insuficiente para encargos plurianuales. Las listas de sanciones se actualizan constantemente y nuevas medidas pueden afectar a clientes previamente aprobados. Las firmas deben establecer controles periódicos proporcionales al riesgo del cliente.

Frecuencia de actualización


Clientes de bajo riesgo: Actualización anual coincidiendo con la renovación del encargo. Suficiente para entidades domésticas sin exposición internacional significativa.
Clientes de riesgo elevado: Actualización trimestral o semestral para entidades con operaciones en jurisdicciones de alto riesgo, exposición significativa a divisas, o cambios frecuentes en la estructura de propiedad.
Eventos específicos: Actualización inmediata cuando se produzcan cambios en el consejo de administración, modificaciones de capital, o noticias relevantes sobre el cliente en medios especializados.

Monitorización de noticias


Los medios de comunicación pueden alertar sobre desarrollos que aún no se reflejan en listas oficiales. Las firmas deben establecer alertas básicas para sus clientes principales, especialmente aquellos con perfil público o exposición mediática.
Las herramientas gratuitas como Google Alerts pueden proporcionar cobertura básica. Para carteras más grandes, las firmas pueden considerar servicios de monitorización comerciales que incluyen fuentes especializadas en sanciones y cumplimiento.

Ejemplo práctico: aplicación en firma mediana

Auditores Fernández & Asociados S.L. es una firma con 12 profesionales que audita 45 clientes anuales. Sus encargos incluyen sociedades familiares, cooperativas agrícolas y algunas filiales españolas de grupos europeos. La firma decide implementar un proceso sistemático de cribado tras detectar que uno de sus clientes exporta maquinaria a países con restricciones comerciales.

Paso 1: Inventario de clientes actuales


La firma elabora una base de datos con información básica de sus 45 clientes: denominación social, CIF, administradores actuales, sector de actividad y fecha de último encargo. Detecta que 8 clientes son filiales de grupos extranjeros y que 12 tienen operaciones de exportación significativas.
Documentación: Hoja Excel con campos obligatorios para denominación, identificación fiscal, administradores (nombre completo), país de constitución de la matriz si aplica, y clasificación de riesgo (bajo/medio/alto).

Paso 2: Cribado inicial de cartera existente


Durante dos semanas, un senior de la firma consulta la lista consolidada de la UE y la lista española para todos los clientes y administradores identificados. El proceso revela:
Documentación: Para cada búsqueda, se registra fecha de consulta, término buscado, resultado ("sin coincidencias"/"coincidencia descartada"/"investigación adicional"), y nombre del profesional que realizó la búsqueda.

Paso 3: Investigación de coincidencia positiva


El cliente "Exportaciones Andaluzas S.A." arroja coincidencia con "Andalusian Export Company" en una lista de entidades vinculadas a violaciones de sanciones contra Irán (información de contexto, no sanción directa). La investigación adicional confirma que son entidades diferentes: la coincidencia se debe a la traducción genérica del nombre.
Documentación: Memo de investigación que detalla la coincidencia inicial, los pasos de verificación realizados (consulta del registro mercantil, confirmación de actividad comercial, verificación de administradores), y la conclusión de que se trata de entidades diferentes con fundamento específico.

Paso 4: aplicación de controles periódicos


La firma establece recordatorios trimestrales para clientes de riesgo elevado (exportadores y filiales extranjeras) y anuales para el resto. Asigna la tarea al departamento de calidad interno y crea un archivo específico para documentar todas las consultas.
Documentación: Procedimiento escrito que especifica frecuencia de actualización por tipo de cliente, responsable del proceso, documentación requerida, y protocolo de escalamiento cuando se detecten coincidencias.

Resultado


Tras seis meses de aplicación, la firma ha documentado 180 consultas de actualización sin detectar nuevas coincidencias positivas. El proceso consume aproximadamente 2 horas mensuales de tiempo de senior, pero proporciona seguridad documental ante posibles inspecciones. La inversión en tiempo se considera razonable frente al riesgo regulatorio y reputacional.

  • 42 clientes: sin coincidencias
  • 2 clientes: falsos positivos por similitud de nombre (resueltos por contexto geográfico)
  • 1 cliente: coincidencia pendiente de investigación adicional
  • Tiempo medio por consulta: 15 minutos (incluye búsqueda en lista UE y lista nacional conforme al artículo 4 de la Ley 10/2010)

Lista de verificación para el compliance

Esta lista debe aplicarse antes de aceptar cualquier cliente nuevo y periódicamente durante encargos existentes:

  • Identificación completa del cliente: Denominación social exacta, CIF/número de identificación, domicilio registrado, y actividad principal documentada mediante certificación registral actualizada.
  • Identificación de administradores y directivos: Nombres completos, fechas de nacimiento cuando estén disponibles, y nacionalidad de todos los miembros del consejo de administración y dirección ejecutiva.
  • Estructura de propiedad hasta beneficiarios finales: Cadena completa de participaciones hasta identificar personas físicas con control directo o indirecto superior al 25%, incluyendo entidades interpuestas en otras jurisdicciones.
  • Consulta en listas oficiales: Verificación en lista consolidada UE, lista nacional aplicable, y OFAC si existe exposición estadounidense, documentando fecha y resultado de cada búsqueda.
  • Evaluación de coincidencias: Análisis específico de cualquier resultado positivo con documentación del proceso de verificación y conclusión fundamentada sobre la relevancia de la coincidencia.
  • Documentación del proceso: Archivo específico con todas las consultas realizadas, profesional responsable, fechas de ejecución, y decisión final sobre la aceptación o continuidad del cliente con aprobación del socio responsable.

Errores frecuentes en el cribado

Limitarse al cliente directo sin investigar la estructura de grupo: Muchas firmas cribar únicamente la entidad que contrata los servicios, ignorando que el riesgo real puede estar en la matriz o en otras filiales del grupo. Una estructura aparentemente local puede estar controlada por entidades sancionadas a través de intermediarios.
Usar únicamente búsquedas automáticas sin verificación manual: Los sistemas automatizados pueden generar falsos positivos o falsos negativos. Las búsquedas por variaciones de nombre y la verificación cruzada de información contextual siguen siendo necesarias para un cribado efectivo.
No actualizar el cribado durante encargos plurianuales: Las listas de sanciones se modifican mensualmente y las medidas pueden afectar retroactivamente a relaciones comerciales existentes. Un cliente aprobado inicialmente puede quedar sancionado durante la vigencia del encargo.
No documentar la evaluación de falsos positivos: Los inspectores esperan un memo que explique por qué se descartó cada coincidencia. Una anotación genérica del tipo "nombre similar, descartado" no cumple con los requisitos de documentación de la NICC 1.27.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.