Definition

La mitad de los auditores que firman encargos sobre filiales holandesas resuelven la WWFT con una nota de dos líneas en PT-300 y siguen adelante. Por lo que conozco, esa es la práctica habitual. Y por lo que conozco, también es la razón por la que las inspecciones del ICAC sobre revisiones de calidad acaban encontrando que los papeles están flojos cuando el cliente arrastra una historia de cumplimiento WWFT dudosa.

El malentendido habitual

La pregunta que más se oye en supervisiones es siempre la misma: "¿Tengo que auditar el cumplimiento WWFT del cliente?" La respuesta corta es no. La respuesta útil es más larga.

El auditor de cuentas no realiza una auditoría de cumplimiento WWFT salvo que el encargo sea separadamente uno de aseguramiento de conformidad. Lo que sí debe hacer es entender si el cliente es sujeto obligado, evaluar cómo eso conforma su ambiente de control, y considerar las implicaciones del cumplimiento (o incumplimiento) para la valoración del riesgo de fraude. Esto último es lo que se olvida con más frecuencia. He visto papeles donde la única referencia a WWFT es la frase "el cliente cumple con WWFT" sin evidencia, sin descripción del control, sin indagación documentada y sin conexión con la valoración de riesgo. Eso, en una inspección, son papeles flojos.

Lo que dice la NIA-ES 315.21 es que el auditor debe entender los elementos del ambiente de control relevantes para la auditoría. Lo que realmente ocurre es que, cuando el cliente es sujeto obligado WWFT, el auditor copia y pega la descripción del manual de compliance del cliente sin testarla. La diferencia entre "tienen un procedimiento KYC documentado" y "el procedimiento KYC funciona como dicen que funciona" se gestiona en cinco minutos de indagación con el responsable de compliance.

Sujeto obligado: cómo identificarlo sin asumir

No todos los clientes saben que son sujetos obligados. Y de los que lo saben, no todos lo dicen al auditor sin que se les pregunte. La indagación inicial es directa: ¿está la entidad registrada ante la FIU-NL? Si la respuesta es sí, lo siguiente es pedir copia del registro. Si la respuesta es no, hay que comprobar si debería estarlo. Los criterios están en la propia WWFT y, para los sectores frontera (intermediarios de seguros vinculados a inversiones, gestoras de patrimonios, casas de cambio menores, despachos de notarios o abogados con cartera transaccional), el ejercicio no es trivial.

En la práctica, esto significa que el auditor que firma una filial holandesa de un grupo español debe asumir que la matriz no le va a clarificar el estatus WWFT. La indagación tiene que hacerla él. Y debe documentarla, porque la pregunta del revisor de calidad va a ser: "¿Cómo determinaste si era sujeto obligado?"

Ejemplo práctico: Iñigo Financiera Holandesa B.V.

Cliente: intermediario de seguros con sede en Ámsterdam, ingresos de 3,2 millones de euros, operativo desde 2018, distribuye seguros de vida vinculados a inversiones para una clientela predominantemente expatriada.

Paso 1. Identificación del estatus de sujeto obligado. El intermediario distribuye seguros vida-inversión, lo que lo coloca dentro del perímetro WWFT. La compañía me confirma que está registrada ante la FIU-NL y aporta copia del registro. Documentación: copia del registro en archivo de ambiente de control; nota en PT-300 indicando categoría de sujeto obligado y referencia normativa.

Paso 2. Evaluación del ambiente de control. Indagación con la responsable de compliance: ¿quién hace KYC, con qué frecuencia, con qué herramientas, y quién revisa? La compañía tiene una compliance officer a tiempo parcial compartida con otra firma del grupo. KYC se documenta en una hoja de cálculo. El monitoreo de transacciones es manual y depende de las alertas que la analista identifica al revisar las pólizas mensuales. La compañía reportó una transacción sospechosa a la FIU-NL en octubre de 2024. Documentación: PT-310 con descripción del control y nota: "monitoreo manual, sin sistema automatizado; concentración de funciones en la compliance officer".

Paso 3. La complicación. A mitad del trabajo de campo, la compliance officer renuncia. La sustituta entra en marzo y el equipo de auditoría detecta que tres de las pólizas firmadas en febrero no tienen documentación KYC actualizada. La dirección dice que están en proceso de regularizarlas. Aquí es donde el ejemplo deja de ser teórico. ¿Es esto un fallo de control aislado, o evidencia de que la dirección está dispuesta a operar fuera de los procedimientos cuando hay presión comercial? La respuesta no se resuelve por fórmula.

Paso 4. Implicación para el riesgo de fraude (NIA-ES 240). El auditor evalúa si lo observado encaja en el factor de riesgo del párrafo 25(a): "la dirección ha anulado o ha estado dispuesta a anular controles". Mi lectura es que sí encaja, parcialmente. La regularización pendiente no es por sí sola fraude. Combinada con la concentración de funciones en una compliance officer recién sustituida y con la presión comercial sobre captación de pólizas, el factor está presente. Documento un riesgo significativo de sobrestimación de ingresos por comisiones y diseño procedimientos analíticos sobre comisiones superiores a 10.000 euros, con confirmación cruzada contra la documentación KYC actualizada. Documentación: PT-320 con la cadena de razonamiento explícita, no solo la conclusión.

Conclusión. No hubo hallazgo material. Hubo, sin embargo, un riesgo evaluado y respondido con cadena de razonamiento documentada. Eso es lo que el revisor de calidad pidió ver cuando la inspección llegó dos años después.

Donde dos socios razonables discrepan

He visto socios documentar la consideración WWFT en dos extremos. El socio A escribe una nota de tres frases en PT-300: "el cliente es sujeto obligado, cumple con la legislación, sin implicación adicional". El socio B integra la WWFT en la evaluación del ambiente de control con descripción del proceso, indagación documentada con la responsable de compliance y conclusión razonada de cómo el cumplimiento histórico afecta a la valoración de riesgo de fraude.

El socio A dice que no es función del auditor revisar cumplimiento WWFT y que más documentación es trabajo no facturable. El socio B dice que la NIA-ES 315 obliga a entender el ambiente de control y la NIA-ES 240 obliga a evaluar si la dirección anula controles, y que en sectores WWFT esos dos requisitos pasan por aquí. Los dos tienen argumentos defensibles. Mi opinión (por lo que conozco de inspecciones del ICAC y de revisiones de calidad sobre cuentas anuales en sectores regulados) es que el socio A es quien recibe los puntos en la revisión. La diferencia entre marcar la casilla y documentar el razonamiento se aprecia precisamente cuando alguien viene a mirar.

Por qué esto se trata como trámite

La razón estructural es transparente. La WWFT no es objetivo directo de la auditoría, los honorarios suelen estar ajustados, el equipo viene de varios encargos seguidos y el incentivo es despachar el ambiente de control en el menor número de horas posible. Cuando el socio necesita el cliente, sacarlo adelante con lo que hay incluye, en la práctica, no detenerse demasiado en consideraciones que no producen un hallazgo directo. El problema es que la inspección no mira el coste de oportunidad del equipo; mira si el archivo cuenta una historia coherente entre el riesgo evaluado y los procedimientos diseñados.

Lo que revisores y auditores entienden mal

- Confundir el alcance. La WWFT no es objetivo de la auditoría de cuentas. Pero el entendimiento del cliente como sujeto obligado, y la evaluación de los controles asociados, sí lo es. Olvidar esto se traduce en una nota de dos líneas que no resiste revisión.

- No identificar al sujeto obligado. Para los sectores frontera (intermediación de seguros vinculados a inversiones, profesionales inmobiliarios, casas de cambio, despachos jurídicos con cartera transaccional), la determinación no es automática. La indagación debe estar documentada. Una pregunta omitida aquí puede dejar fuera del análisis un componente relevante del ambiente de control.

- Tratar incumplimiento WWFT como fraude automático. El incumplimiento no es, por sí solo, una incorrección material en los estados financieros. Pero el incumplimiento deliberado sí activa el factor de riesgo de NIA-ES 240.25(a). La distinción es importante: no se trata del incumplimiento, sino de lo que el patrón de incumplimiento dice sobre la voluntad de la dirección de operar fuera de los controles.

Términos relacionados

- KYC (Know Your Customer): identificación y verificación del cliente exigida por WWFT; insumo del entendimiento del ambiente de control bajo NIA-ES 315 - AML (Anti-Money Laundering): marco regulatorio amplio del que la WWFT es la concreción holandesa; el equivalente español es la Ley 10/2010 - SEPBLAC: unidad de inteligencia financiera española; receptor de comunicaciones de operativa sospechosa en jurisdicción española - FIU-NL: unidad de inteligencia financiera holandesa; receptor de las comunicaciones bajo WWFT - NIA-ES 240.25(a): factor de riesgo "la dirección ha anulado o ha estado dispuesta a anular controles", al que el incumplimiento deliberado de WWFT puede contribuir - Ambiente de control (NIA-ES 315): elemento de la evaluación de riesgos donde se evalúan los procedimientos de cumplimiento WWFT del cliente

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.