Por dónde se cae el cumplimiento Wwft en la práctica

Antes de explicar qué exige la ley, conviene mirar dónde fallan los despachos. En mi caso, los tres patrones que veo repetirse son siempre los mismos.

Primero, la diligencia inicial se hace bien y luego el expediente se queda congelado. El cliente cambia de modelo de negocio, abre una filial en una jurisdicción nueva, sustituye al director financiero, y el archivo Wwft sigue describiendo la empresa de hace tres años. Lo que realmente ocurre es que nadie ha vuelto a abrir esa carpeta desde la aceptación. En la práctica, eso significa que el AFM o el BFT, cuando llegan, ven una foto fija que ya no se parece al cliente.

Segundo, el reporte de transacciones inusuales al FIU-Nederland se trata como una decisión técnica, cuando en realidad es una decisión de juicio profesional con coste reputacional asimétrico. El auditor sabe que algo huele raro pero no tiene ni idea de cómo redactar el reporte sin acabar pareciendo paranoico o cómplice. El resultado: o se reporta todo (lo que diluye la señal hasta volverla inútil) o no se reporta casi nada (y luego el inspector pregunta por qué).

Tercero, la diligencia reforzada (EDD) se activa formalmente, pero la documentación se pide con la boca pequeña. El cliente cae en una categoría que obliga a pedir documentación que sabes que no te van a dar. Al final el archivo recoge "documentación solicitada y no recibida en plazo razonable", el equipo sigue adelante, y el papel queda. Falta chicha en el expediente, y eso es lo primero que detecta el AFM.

La Wwft impone obligaciones que van más allá del conocimiento del cliente al estilo ISA 220. Estas obligaciones se activan cuando la firma presta servicios de auditoría legal a entidades que manejan transacciones financieras significativas o que operan en sectores designados de riesgo elevado.

Servicios cubiertos por la Wwft

No todos los servicios de auditoría activan las obligaciones Wwft. La ley cubre, en concreto:

- Auditorías legales de bancos, aseguradoras y empresas de inversión. - Servicios de auditoría a casinos y operadores de juegos de azar. - Auditorías de organizaciones sin ánimo de lucro que reciben donaciones internacionales superiores a 15.000 euros. - Servicios de consultoría fiscal cuando se combinan con auditoría legal. - Revisiones de estados financieros para empresas con operaciones en jurisdicciones de alto riesgo según la lista del FATF.

La confusión nace porque muchos despachos asumen que toda auditoría activa la Wwft. El artículo 1.1 limita la cobertura a servicios concretos donde existe un riesgo real de blanqueo de capitales. Lo que realmente ocurre es que la mayoría de despachos pequeños hacen el ejercicio una vez, lo aplican como plantilla, y nunca lo revisan por cliente.

Umbral de aplicación y exenciones

Las firmas con menos de 15 clientes auditados al año que califiquen bajo la Wwft pueden acogerse al régimen simplificado del artículo 3.5a. Esa exención decae si alguno de esos clientes opera en sectores de alto riesgo designados por el Ministerio de Finanzas. Desde mi punto de vista, el régimen simplificado es una trampa cómoda para despachos pequeños porque tiende a fijar mentalmente al socio en la idea de que "la Wwft no me afecta de verdad", y luego entra un cliente con una pata en Curazao y nadie reactiva los procedimientos completos.

Identificación del cliente: lo que el papel pide y lo que el cliente entrega

El cumplimiento Wwft empieza con la diligencia debida del cliente (CDD), y aquí es donde se ve el primer abismo entre la letra de la ley y la silla del auditor.

Identificación reforzada

Para clientes que activan las obligaciones Wwft, hay que verificar:

Estructura de propiedad completa. Identificar todos los beneficiarios finales que posean directa o indirectamente más del 25% de las acciones o los derechos de voto. Para estructuras complejas con múltiples capas societarias, hay que rastrear la cadena de propiedad hasta personas naturales identificables. En la práctica, esto choca con clientes que dan tres apellidos y un certificado del Registro y consideran que ya está hecho. Sabes que hay una capa intermedia en Luxemburgo. El cliente sabe que tú lo sabes. Y nadie quiere abrir esa conversación dos semanas antes de firmar.

Fuentes de financiación. Documentar el origen de los fondos que el cliente usa para sus operaciones principales. Para empresas de creación reciente, esto incluye el capital inicial y cualquier préstamo o inversión significativa de los dos últimos años.

Propósito comercial legítimo. Verificar que las actividades comerciales declaradas coinciden con las transacciones reales y el perfil de riesgo. Una empresa de importación que reporta 2 millones de euros en ventas pero mantiene cuentas bancarias en ocho países distintos pide investigación adicional. Lo que realmente ocurre es que el director financiero te explica que "es por temas operativos" y tú anotas la respuesta sin saber muy bien qué hacer con ella.

Documentación obligatoria

El AFM y el BFT esperan ver documentación específica en cada expediente Wwft:

- Copia certificada del documento de identidad de todos los beneficiarios finales. - Extractos bancarios de los seis últimos meses para las cuentas principales del cliente. - Contratos o acuerdos que expliquen relaciones comerciales no estándar con terceros. - Declaraciones escritas del cliente sobre el origen de fondos para transacciones superiores a 10.000 euros.

El error más frecuente es confiar en declaraciones verbales sin respaldo documental. El BFT lo considera fallo grave de CDD. Y aquí entra una de las disonancias más conocidas del régimen: el legislador escribió la Wwft pensando en un auditor con capacidad investigadora; en la realidad, el auditor pide documentación al cliente y el cliente decide qué entrega. No hay subpoena. No hay registro civil al que pedir verificación cruzada en jurisdicciones opacas. Hay un correo electrónico y una promesa.

Evaluación y clasificación de riesgos

Cada cliente sujeto a la Wwft debe recibir una calificación de riesgo que determine la intensidad del monitoreo continuo. Aquí es donde aparece el primer punto de desacuerdo legítimo entre profesionales: si la evaluación de riesgo bajo el artículo 2b de la Wwft debe hacerse a nivel de despacho (politicas globales) o a nivel de encargo (cliente a cliente). Por lo que conozco, la inspección del BFT pide cada vez con más insistencia evaluaciones por encargo, pero hay despachos serios que sostienen lo contrario, porque la evaluación firm-level es la única que captura riesgos transversales (concentración sectorial, exposición geográfica del despacho).

Factores de riesgo estándar

La metodología debe contemplar:

Ubicación geográfica. Clientes con operaciones en países incluidos en las listas del FATF reciben automáticamente calificación de riesgo elevado. Hoy entran ahí Afganistán, Myanmar, Corea del Norte e Irán.

Sector industrial. Algunos sectores tienen riesgo inherente elevado por el artículo 2.2: comercio de metales preciosos, servicios de transferencia de dinero, comercio de arte y antigüedades.

Perfil de transacciones. Patrones inusuales: transferencias internacionales frecuentes sin justificación comercial clara, uso intensivo de efectivo, discrepancias entre el volumen de transacciones reportado y los ingresos declarados.

Complejidad estructural. Estructuras societarias en capas, vehículos en jurisdicciones de secreto bancario, cambios frecuentes de propiedad sin razón comercial aparente.

Matriz de calificación

Implante un sistema de puntuación numérica donde cada factor aporta puntos:

- Jurisdicciones de alto riesgo: +15 puntos - Sectores de riesgo elevado: +10 puntos - Transacciones inusuales documentadas: +5 puntos por incidente - Estructura societaria compleja: +8 puntos - Cliente que es persona políticamente expuesta: +12 puntos

Clientes con puntuación total de 0-10: riesgo bajo (revisión anual). 11-25: riesgo medio (revisión semestral). 26+: riesgo alto (revisión trimestral).

Una observación que no aparece en la Wwft

La ley pide al auditor algo que se parece bastante a trabajo policial sin formación policial ni autoridad investigadora. Ese desajuste produce un equilibrio racional perverso: en el umbral de "transacción inusual" (UTR) sale a cuenta sobrereportar, porque el reporte es barato, anónimo y te cubre. En el umbral de diligencia reforzada (EDD), donde el coste es romper la relación con el cliente o pedirle documentos que sabes que no quiere dar, el incentivo empuja a infrareportar. Esto es exactamente lo contrario de lo que el legislador quería incentivar. Lo más cerca que está el sistema de funcionar como se diseñó es cuando el socio asume parte del coste reputacional de pedir EDD en serio. Y eso no lo arregla ninguna circular.

Ejemplo práctico: aplicación completa del sistema Wwft

Constructora Internacional Mediterránea S.L., con sede en Valencia, facturación anual de 45 millones de euros, solicita servicios de auditoría legal a través de la oficina holandesa de la firma. La empresa opera en construcción de infraestructura portuaria con contratos en España, Marruecos y Túnez.

Evaluación inicial de aplicabilidad Wwft

Paso 1. Determinar si los servicios activan obligaciones Wwft. La auditoría legal de una constructora no figura automáticamente en la lista del artículo 1.1, pero la empresa maneja contratos gubernamentales internacionales superiores a 100.000 euros y mantiene cuentas bancarias en varias jurisdicciones.

Documentación: carta de encargo que especifique que la auditoría incluye revisión de contratos internacionales y cumplimiento de normativa de financiación pública.

Paso 2. Clasificación de riesgo preliminar: - Jurisdicciones de operación: España (0 puntos), Marruecos (+8 puntos), Túnez (+8 puntos) - Sector: construcción con contratos gubernamentales (+10 puntos) - Estructura societaria: sociedad limitada estándar (0 puntos) - Volumen de transacciones internacionales: 15 millones de euros anuales (+5 puntos)

Puntuación total: 31 puntos = riesgo alto.

Paso 3. Diligencia reforzada (EDD). Solicitar estados financieros auditados de los tres últimos años, contratos principales con entidades gubernamentales y documentación bancaria de todas las cuentas operativas.

Paso 4. Verificación de beneficiarios finales. La empresa pertenece al 60% a la familia Rodríguez (residentes en España), 30% al fondo de inversión Mediterráneo Capital (con sede en Madrid) y 10% a trabajadores vía plan de participación.

Documentación: certificados del Registro Mercantil actualizados, documentos de identidad de los Rodríguez, información del fondo de inversión incluyendo sus propios beneficiarios finales.

Paso 5. Análisis de transacciones sospechosas. Durante la auditoría se identifican transferencias mensuales de 200.000 euros a una cuenta en Túnez sin documentación comercial clara. La dirección explica que son pagos anticipados a subcontratistas locales.

Documentación: contratos de subcontratación, facturas o comprobantes de servicios recibidos, confirmaciones bancarias de los destinatarios.

Complicación a mitad de encargo

Tres meses después de aceptar el cliente y emitir la calificación de riesgo, uno de los hijos Rodríguez (titular del 18% indirecto) regulariza una segunda nacionalidad. El segundo país aparece en una actualización de la lista de la UE de terceros países de alto riesgo durante el ejercicio. La estructura no ha cambiado. La propiedad no ha cambiado. El perfil del UBO sí, y la puntuación de riesgo del cliente pasa de 31 a 46 puntos a mitad de encargo.

¿Qué se hace? Por lo que conozco, los despachos se dividen aquí en dos. Un grupo trata el cambio como un simple recálculo de matriz, actualiza la calificación a "riesgo crítico" y sigue. Otro grupo lo trata como un evento que obliga a reabrir la diligencia reforzada completa, incluso si el cliente protesta porque "no ha cambiado nada en la empresa". El BFT, cuando ha tenido que pronunciarse, ha favorecido la segunda lectura. El cliente lo vive como hostilidad. Sacar adelante la auditoría con lo que hay, en este punto, deja de ser opción.

Monitoreo continuo y reporte

Revisión trimestral obligatoria. Cada tres meses, actualizar la evaluación revisando:

- Nuevos contratos o cambios notables en las operaciones. - Patrones de transacciones internacionales. - Cambios en estructura societaria o beneficiarios finales. - Noticias o información pública sobre la empresa o sus directivos.

Documentación: archivo de monitoreo separado con actualizaciones trimestrales fechadas y firmadas por el socio responsable.

Si durante el monitoreo se identifica actividad que no puede explicarse razonablemente con la actividad comercial legítima, la firma debe presentar una declaración de transacción inusual (UTR) al FIU-Nederland en un plazo de 14 días naturales. Aquí aparece el segundo desacuerdo legítimo: si reportar al FIU-NL la información de UBO que ha facilitado el propio cliente, cuando el auditor mantiene una duda independiente, cuenta como "cumplir con la obligación" o como "externalizar el escepticismo profesional". Hay argumentos serios en ambas direcciones.

Lista de verificación para cumplimiento Wwft

1. Evaluación de aplicabilidad. Revisar cada nuevo cliente contra la lista del artículo 1.1 para determinar si los servicios propuestos activan obligaciones Wwft.

2. Aplicación de CDD. Para clientes aplicables, completar la diligencia debida incluyendo verificación de beneficiarios finales, documentación de fuentes de financiación y confirmación del propósito comercial legítimo.

3. Calificación de riesgo. Asignar puntuación con factores geográficos, sectoriales, transaccionales y estructurales, y fijar la frecuencia de revisión (anual, semestral o trimestral).

4. Sistema de monitoreo. Establecer procedimientos para revisar periódicamente la información del cliente y detectar patrones de transacciones inusuales que pidan investigación adicional.

5. Formación del personal. Asegurar que todo el personal involucrado en servicios Wwft entiende los indicadores de transacciones sospechosas y los procedimientos internos de reporte.

6. Documentación y archivo. Mantener registros completos de todas las evaluaciones CDD, calificaciones de riesgo y decisiones de monitoreo durante al menos cinco años después del fin de la relación, según el artículo 3.4 de la Wwft.

Errores frecuentes en el cumplimiento Wwft

- Aplicación incorrecta del umbral. Despachos que asumen que solo los clientes grandes piden procedimientos Wwft, cuando la obligación se activa por tipo de servicio y sector, no por tamaño.

- Documentación incompleta de beneficiarios finales. Aceptar declaraciones del cliente sobre estructura de propiedad sin contrastarlas con el Registro Mercantil o con documentos corporativos oficiales. Es donde más papeles flojos he visto, sobre todo cuando hay entidades extranjeras en la cadena.

- Falta de monitoreo continuo. Completar la CDD inicial pero no establecer procedimientos para actualizar la información y detectar cambios en el perfil de riesgo durante la relación. Es la diferencia entre un sistema vivo y un brindis al sol archivado.

Contenido relacionado

- Calculadora de Materialidad: herramienta para fijar umbrales de materialidad en auditorías que involucran riesgos de blanqueo, donde las transacciones inusuales pueden requerir investigación adicional.

- Glosario: Diligencia Debida del Cliente: definición completa de los procedimientos CDD bajo la legislación europea AML, incluyendo identificación de beneficiarios finales y evaluación de riesgos.

- Guía de Evaluación de Riesgos en Auditoría: metodología para integrar los factores de riesgo Wwft con la evaluación general de riesgos de auditoría, de modo que ambos marcos se complementen.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.