Checklist de auditoría de cumplimiento: cómo prepararse y superar un control regulatorio
Checklist completa para preparar una auditoría de cumplimiento KYC/AML. Pasos, documentos necesarios y buenas prácticas para superar los controles del Sepblac y la CNMV.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokUna auditoría de cumplimiento no es un examen sorpresa: es un proceso previsible con criterios conocidos, plazos establecidos y documentación tasada. Las entidades sujetas a la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo saben desde el momento de su inscripción en el registro del Sepblac qué van a buscar los inspectores. El problema no es la norma; el problema es la preparación.
Las sanciones por incumplimiento de la Ley 10/2010 pueden alcanzar el 10 % del volumen de negocio anual del ejercicio anterior, según el artículo 57 de dicha ley, y las infracciones muy graves pueden suponer la revocación de la autorización de actividad. Ante este escenario, disponer de una checklist estructurada y actualizada no es una opción de gestión: es una obligación funcional.
Este artículo ofrece una guía práctica y detallada para preparar, documentar y superar un control regulatorio en España, con especial atención a los requisitos del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (Sepblac) y de la Comisión Nacional del Mercado de Valores (CNMV). Encontrará la estructura documental exigida, los puntos críticos de verificación y las medidas organizativas que marcan la diferencia entre una auditoría superada y una resolución sancionadora.
¿Qué es una auditoría de cumplimiento?
Una auditoría de cumplimiento es un examen sistemático y documentado mediante el cual la autoridad competente —o un auditor interno designado— verifica que la entidad aplica de forma efectiva los procedimientos y controles exigidos por la normativa vigente. En España, las auditorías de cumplimiento KYC/AML son supervisadas principalmente por el Sepblac para el sector financiero y no financiero designado, y por la CNMV para empresas de servicios de inversión.
El marco normativo de referencia es la Ley 10/2010, de 28 de abril, transpuesta a partir de la Cuarta y Quinta Directiva de la UE contra el blanqueo de capitales. La norma establece obligaciones concretas de diligencia debida, identificación del titular real, conservación documental y reporte de operaciones sospechosas. Una auditoría verifica que estas obligaciones se cumplen no solo en papel, sino en la práctica diaria de la entidad.
Existen dos tipologías fundamentales: la auditoría interna, realizada por el órgano de control interno o por auditores externos contratados por la propia entidad; y la inspección supervisora, llevada a cabo directamente por el Sepblac o la CNMV con capacidad sancionadora. Ambas siguen una lógica similar: revisión documental, entrevistas con responsables y verificación de expedientes de clientes. La diferencia está en las consecuencias.
Las fases de un control Sepblac
Una inspección del Sepblac sigue cuatro fases secuenciales: notificación, requerimiento previo de información, visita inspectora y emisión de informe con conclusiones.
Fase 1 — Notificación y alcance. El Sepblac comunica formalmente a la entidad el inicio del procedimiento inspector. En este momento se indica el alcance temático (por ejemplo, diligencia debida reforzada, titular real, reporte de operaciones sospechosas) y el período auditado, que habitualmente abarca los últimos dos o tres ejercicios.
Fase 2 — Requerimiento de documentación previa. Antes de la visita, los inspectores solicitan un conjunto estandarizado de documentos: el manual de procedimientos de prevención del blanqueo (exigido por el artículo 26 de la Ley 10/2010), los informes de auditoría interna más recientes, las actas del órgano de control interno, la relación de operaciones con indicios comunicadas al Sepblac en el período auditado y los expedientes de una muestra de clientes de alto riesgo.
Fase 3 — Visita inspectora y entrevistas. Los inspectores acuden a las instalaciones o solicitan acceso a los sistemas de información. Comprueban la coherencia entre los procedimientos documentados y la práctica real, entrevistan al responsable de cumplimiento normativo (compliance officer) y pueden requerir al personal operativo que explique cómo aplican los controles en el día a día.
Fase 4 — Informe y seguimiento. Una vez concluida la visita, el Sepblac emite un borrador de informe con las deficiencias detectadas. La entidad dispone de un plazo para formular alegaciones antes de que el informe sea definitivo. Si se detectan infracciones graves o muy graves, se inicia un procedimiento sancionador separado.
Checklist completa: documentos para preparar antes de una auditoría
La preparación documental es el factor con mayor capacidad de influencia sobre el resultado de una auditoría: una entidad que presenta su documentación ordenada, completa y actualizada reduce significativamente el riesgo de que los inspectores amplíen el alcance de la revisión.
Para facilitar la preparación, la siguiente tabla recoge los bloques documentales exigidos, el fundamento normativo correspondiente y el nivel de prioridad según la experiencia en inspecciones del Sepblac.
| Bloque documental | Documentos clave | Base normativa | Prioridad |
|---|---|---|---|
| Gobierno y políticas | Manual PBC/FT, política de aceptación de clientes, política de titular real | Ley 10/2010, art. 26 | Alta |
| Evaluación de riesgos | Informe de evaluación de riesgos institucional, mapa de riesgos por segmento | Ley 10/2010, art. 32; RD 304/2014 | Alta |
| KYC y diligencia debida | Expedientes completos de clientes (DD estándar y reforzada), documentos de identidad verificados, titulares reales | Ley 10/2010, arts. 3-12 | Alta |
| Control interno | Informes de auditoría interna (últimos 3 años), actas del órgano de control, informes del representante ante el Sepblac | Ley 10/2010, art. 26.4 | Alta |
| Formación | Registros de formación del personal, contenidos impartidos, asistencia y evaluaciones | Ley 10/2010, art. 29 | Media |
| Reporte de operaciones | Registro de operaciones sospechosas comunicadas (ROS), justificación de decisiones de no comunicación documentadas | Ley 10/2010, art. 18 | Alta |
| Conservación documental | Política de retención (mínimo 10 años), evidencia de archivo seguro | Ley 10/2010, art. 25 | Media |
| Sanciones y PEPs | Resultados de cribado en listas de sanciones (ONU, UE, OFAC), registro de PEPs identificados y medidas aplicadas | Reglamento UE 2015/847; Ley 10/2010, art. 14 | Alta |
| Productos y servicios | Análisis de riesgo de nuevos productos, diligencia debida en corresponsales | Ley 10/2010, arts. 20-21 | Media |
| Tecnología y sistemas | Descripción de herramientas de monitorización de transacciones, validación de algoritmos de alerta | RD 304/2014, art. 68 | Media |
Consulte también nuestra guía de debida diligencia por sector para adaptar estos bloques a las particularidades de su actividad.
Verificación documental: el eslabón más débil
La verificación documental es el punto de mayor vulnerabilidad en los procesos de cumplimiento: es donde se concentra la mayor proporción de deficiencias detectadas en las inspecciones.
El análisis interno de CheckFile.ai sobre 2.400 expedientes revela que el 34 % de los fallos de cumplimiento se producen en la fase de verificación documental — documentos caducados (18 %), copias no certificadas (9 %) y documentación ausente (7 %).
Estos datos tienen una implicación directa: una entidad puede tener políticas impecables y un manual de procedimientos ejemplar, pero si los expedientes individuales de clientes contienen documentos caducados o copias sin certificar, el inspector detectará la brecha entre la política y la práctica. Esta discrepancia es, en la experiencia del Sepblac, uno de los motivos más frecuentes de apertura de expedientes sancionadores por infracciones graves.
Los tres problemas más comunes tienen solución concreta:
Documentos caducados (18 % de los fallos). La causa habitual es la ausencia de un sistema de alertas automáticas que notifique la proximidad de la fecha de vencimiento de documentos de identidad, licencias o certificados. La solución es implementar un control de vencimientos en el sistema de gestión documental o en la plataforma KYC, con alertas a 90, 60 y 30 días del vencimiento.
Copias no certificadas (9 % de los fallos). En operaciones con clientes no presenciales o con documentos obtenidos por canales digitales, la entidad debe acreditar que ha verificado la autenticidad del documento. El uso de soluciones de verificación automatizada de documentos — como las que ofrece CheckFile.ai — permite generar un registro de verificación trazable que sustituye, con garantías legales, a la compulsa presencial.
Documentación ausente (7 % de los fallos). Se produce cuando el expediente de un cliente está incompleto porque algún documento no fue solicitado en el momento del alta o porque el cliente no llegó a aportarlo. La solución es establecer un proceso de alta que bloquee la activación del cliente hasta que el expediente esté completo.
Para profundizar en la construcción de un sistema robusto de verificación, consulte la guía de verificación de documentos, que desarrolla los criterios técnicos y jurídicos aplicables en España.
Cómo preparar a los equipos para las entrevistas con los inspectores
Las entrevistas con los inspectores del Sepblac o de la CNMV no son interrogatorios: son verificaciones de coherencia entre la política documentada y el conocimiento práctico del personal.
El compliance officer y los responsables de las áreas operativas más expuestas (banca de particulares, grandes cuentas, productos de inversión) deben ser capaces de explicar, con sus propias palabras y sin consultar documentos, cómo identifican a un titular real, qué hacen cuando un cliente aparece en una lista de sanciones y cómo documentan una decisión de no comunicar una operación con indicios.
Las medidas de preparación más eficaces incluyen:
Simulacros de inspección. Al menos tres meses antes de la fecha prevista de la auditoría, el compliance officer debe realizar una revisión interna con el mismo enfoque y los mismos criterios que aplicará el inspector. Esta revisión debe documentarse formalmente y sus conclusiones deben trasladarse a un plan de acción con responsables y plazos.
Briefings al personal operativo. El personal de primera línea —analistas, gestores de clientes, back-office— debe recibir una sesión de actualización sobre los procedimientos vigentes, con especial atención a los pasos que se deben seguir en situaciones de riesgo elevado. Esta sesión debe quedar registrada en el expediente de formación.
Designación de un interlocutor único. Durante la inspección, toda la comunicación con los inspectores debe canalizarse a través del compliance officer o del responsable designado. El personal que no sea convocado expresamente por los inspectores no debe proporcionar información por iniciativa propia.
Revisión de expedientes de muestra. Los inspectores suelen trabajar con una muestra de entre 20 y 50 expedientes de clientes, seleccionados con criterios de riesgo. Antes de la auditoría, el equipo de cumplimiento debe revisar los expedientes de los clientes de mayor riesgo para asegurarse de que están completos, coherentes y actualizados.
La guía de evaluación de riesgos de cumplimiento normativo proporciona un marco metodológico para priorizar esta revisión previa en función del perfil de riesgo de cada cliente.
Novedades regulatorias 2025-2026: AMLD6, DORA e IA Act
El entorno regulatorio europeo está experimentando su transformación más profunda en una década, y las entidades españolas deben integrar tres grandes marcos normativos en sus sistemas de cumplimiento antes de que finalice 2026.
AMLD6 y el nuevo paquete AML de la UE. La Sexta Directiva contra el Blanqueo de Capitales, junto con el Reglamento (UE) 2024/1624 —de aplicación directa en todos los Estados miembros— introduce cambios sustanciales: ampliación del listado de sujetos obligados, nuevas reglas de titular real armonizadas a escala europea, creación de la Autoridad Europea de Lucha contra el Blanqueo (AMLA) con sede en Frankfurt, y requisitos reforzados para criptoactivos y fintech. La página oficial de EUR-Lex sobre el paquete AML recoge el texto completo del reglamento.
DORA (Reglamento de Resiliencia Operativa Digital). De aplicación desde enero de 2025, el Reglamento (UE) 2022/2554 exige a las entidades financieras —incluidas las supervisadas por la CNMV— disponer de marcos robustos de gestión del riesgo TIC, realizar pruebas de penetración periódicas y gestionar el riesgo de terceros proveedores de servicios digitales. Las auditorías de cumplimiento 2025-2026 incluirán, por primera vez, verificaciones específicas sobre DORA. Más información en el portal de la CNMV sobre DORA.
IA Act. El Reglamento (UE) 2024/1689 sobre inteligencia artificial clasifica como sistemas de alto riesgo los modelos utilizados en la evaluación de solvencia, la detección de fraude y la identificación de clientes. Las entidades que utilicen soluciones de IA para KYC o monitorización de transacciones deberán documentar el sistema de gestión de riesgos asociado y mantener registros de los logs de decisiones automatizadas.
| Marco normativo | Fecha de aplicación | Impacto en auditorías KYC/AML | Autoridad de supervisión en España |
|---|---|---|---|
| Reglamento (UE) 2024/1624 (AML) | Julio 2027 (transición hasta 2027) | Nuevas obligaciones de titular real, ampliación de sujetos obligados | Sepblac / AMLA (desde 2026) |
| DORA — Reglamento (UE) 2022/2554 | Enero 2025 (en vigor) | Gestión riesgo TIC, auditorías de terceros, pruebas de resiliencia | CNMV, Banco de España, DGSFP |
| IA Act — Reglamento (UE) 2024/1689 | Agosto 2026 (sistemas alto riesgo) | Documentación de sistemas IA en KYC, logs de decisiones automatizadas | AESIA (Agencia Española de Supervisión de la IA) |
| Ley 10/2010 (revisión nacional pendiente) | En curso (transposición AMLD6) | Actualización de umbrales de diligencia reforzada y sanciones | Sepblac, Tesoro |
Las entidades pueden consultar las directrices técnicas del Sepblac para conocer las prioridades supervisoras de cada ejercicio.
FAQ
¿Con qué frecuencia realiza inspecciones el Sepblac?
El Sepblac no publica un calendario fijo de inspecciones. En la práctica, la frecuencia depende del perfil de riesgo de la entidad, del sector al que pertenece y de los resultados de supervisiones anteriores. Las entidades con mayor volumen de operaciones transfronterizas o con clientes de alto riesgo son objeto de inspecciones más frecuentes. Con independencia de la inspección supervisora, la Ley 10/2010 exige que las entidades realicen una auditoría interna periódica de su sistema de prevención del blanqueo —al menos anual para las entidades de mayor tamaño.
¿Cuáles son las sanciones más habituales por incumplimiento en España?
La Ley 10/2010 clasifica las infracciones en leves, graves y muy graves. Las infracciones graves incluyen la ausencia de procedimientos de diligencia debida o de un órgano de control interno adecuado, y pueden sancionarse con multas de hasta 1,5 millones de euros o el 1 % del volumen de negocio. Las infracciones muy graves —como la ausencia total de un sistema de prevención o el incumplimiento reiterado de la obligación de comunicar operaciones sospechosas— pueden alcanzar el 10 % del volumen de negocio anual o 10 millones de euros, y en el caso de entidades de crédito, pueden implicar la revocación de la autorización. El registro público de sanciones del Sepblac está disponible en su portal.
¿Qué documentos de identidad acepta el Sepblac para la verificación de clientes?
Para personas físicas residentes en España, el documento de referencia es el Documento Nacional de Identidad (DNI) o el Número de Identificación de Extranjero (NIE) con pasaporte. Para clientes no residentes, se acepta el pasaporte vigente. En todos los casos, la entidad debe verificar la autenticidad del documento, su vigencia y la coherencia entre los datos del documento y los datos declarados por el cliente. La verificación mediante sistemas automatizados reconocidos —como los integrados en plataformas de onboarding digital— cumple este requisito cuando genera un registro trazable y conservable durante el plazo mínimo legal de diez años.
¿Qué diferencia existe entre la diligencia debida estándar y la reforzada?
La diligencia debida estándar aplica al grueso de clientes sin indicadores de riesgo elevado e incluye la identificación, la verificación de identidad y el conocimiento del propósito de la relación de negocios. La diligencia debida reforzada (DDR) es obligatoria cuando concurren factores de riesgo elevado: clientes con domicilio en jurisdicciones de alto riesgo, personas expuestas políticamente (PEPs), operaciones con importes inusualmente elevados o relaciones de corresponsalía bancaria transfronteriza. La DDR exige una aprobación de la alta dirección, una investigación más profunda del origen de los fondos y un seguimiento continuo de la relación comercial.
¿Cómo se documenta una decisión de no comunicar una operación con indicios?
La Ley 10/2010 no obliga a comunicar toda operación inusual, sino aquellas en las que el análisis interno concluya que existen indicios o certeza de relación con el blanqueo de capitales o la financiación del terrorismo. Cuando la entidad decide, tras el análisis, que no procede la comunicación, debe documentar esa decisión con el razonamiento que la sustenta, la fecha, el analista responsable y las fuentes de información consultadas. Esta documentación debe conservarse y estar disponible para el inspector si es requerida. La ausencia de esta trazabilidad es uno de los puntos que el Sepblac revisa con mayor atención.
Dé el siguiente paso con CheckFile.ai
Una auditoría superada no es el resultado de la improvisación: es la consecuencia de un sistema de cumplimiento que funciona de forma consistente todos los días. CheckFile.ai automatiza la verificación documental, genera registros de auditoría trazables y le alerta sobre documentos próximos a vencer, para que su equipo pueda centrarse en el análisis de riesgo que requiere criterio humano.
Explore nuestras soluciones para equipos de cumplimiento y consulte los planes disponibles para encontrar la opción que mejor se adapta al volumen y perfil de riesgo de su entidad. También puede complementar esta guía con nuestro artículo sobre cumplimiento AML para obtener una visión integral del marco normativo español.
Este artículo tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico, financiero ni regulatorio.