#Comité Técnico

Nuevas obligaciones y recomendaciones para auditores de cuentas ante la reforma europea de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT) y la implantación de un sistema interno de información (SII)

Juan Luis Casanova

Socio de Audria Auditoria Consultoria, S.L.P.
Miembro del Comité Técnico del CCJCC

La reforma legislativa de la Unión Europea en materia de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT), adoptada en mayo de 2024, impone obligaciones reforzadas a todas las entidades obligadas, incluyendo a los auditores de cuentas, expertos contables y asesores fiscales.  Estas medidas, que entrarán en vigor en 2027, tendrán un impacto significativo en la operativa diaria y en las responsabilidades de cumplimiento normativo de los profesionales del sector.

MARCO NORMATIVO Y OBJETIVOS DE LA REFORMA

El paquete normativo PBC/FT de 2024 se compone de tres actos clave:

  • Reglamento PBC (UE 2024/1624): Prevención de la utilización del sistema financiero para el blanqueo de capitales y la financiación del terrorismo.
  • 6ª Directiva PBC (UE 2024/1640): Mecanismos de prevención y obligaciones para los estados miembro.
  • Reglamento ALBC (UE 2024/1620): Creación de la Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo.

Este paquete de normas tiene un doble objetivo, por una parte unificar la normativa creando un único conjunto de reglas para todos los Estados miembros y, por otra, reforzar las medidas de prevención del blanqueo de capitales y la financiación del terrorismo para  evitar que el sistema financiero de la UE se utilice para estos fines.

Al ser, en su mayoría, reglamentos, los nuevos requerimientos se aplican directamente sin necesidad de leyes nacionales de transposición, sin perjuicio de las medidas complementarias que puedan introducir los estados miembros.

PRINCIPALES NOVEDADES

Las entidades sujetas, tanto financieras como no financieras, quedan obligadas a implementar políticas, controles y procedimientos para valorar y mitigar los riesgos de BC/FT; y para hacerlo, resulta esencial considerar los factores de riesgo asociados a clientes, productos, servicios, transacciones y áreas geográficas.

Respecto de la regulación anterior, el nuevo paquete de normas recoge como principales novedades:

  • Ampliación de los sujetos obligados: Se incluye a los proveedores de servicios de criptoactivos (CASPs), a las plataformas de crowdfunding, los clubes y agentes de fútbol, y a los comerciantes de bienes de lujo (joyería, arte).
  • Diligencia debida (KYC): Refuerzo de los requisitos para conocer al cliente, identificar al titular real y gestionar riesgos.
  • Mayores restricciones al uso del efectivo: Establece nuevos límites y controles sobre las transacciones en efectivo para aumentar la trazabilidad.
  • Reglas más precisas sobre el tratamiento de las Personas Políticamente Expuestas (PEP).
  • Supervisión reforzada: Mejora de la coordinación entre las Unidades de Inteligencia Financiera (UIF) y la Fiscalía Europea.

Y para implementar estas novedades propone las siguientes medidas:

  • Refuerzo de la diligencia debida de clientes (DDC).
  • Transparencia del beneficiario efectivo: El umbral de participación en la propiedad que determina la titularidad real se reduce a “un 25% o más” y puede bajar al 15% en empresas de alto riesgo.
  • Obligaciones de conservación de registros y notificación de actividades sospechosas.

RECOMENDACIONES TÉCNICAS PARA LOS AUDITORES

La entrada en vigor del nuevo paquete normativo PBC/FT exige una revisión profunda de los sistemas de cumplimiento y gobernanza en las firmas de auditoría. La anticipación, la formación continua y la colaboración sectorial serán determinantes para garantizar la adaptación eficaz y el cumplimiento de las nuevas obligaciones.

 En concreto, la implementación de los nuevos requerimientos PBC/FT va a suponer para los auditores la necesidad de:

  • Realizar un diagnóstico de potenciales brechas de cumplimiento: Identificar y documentar las brechas respecto a la nueva normativa, alineando políticas y procedimientos internos con los nuevos estándares. Es fundamental que estos procesos sean revisados periódicamente y estén sujetos a auditoría independiente.
  • Adaptar el modelo de gobierno a los nuevos requerimientos: La alta dirección debe asumir nuevas responsabilidades, incluyendo la designación de un director de cumplimiento normativo y la creación de funciones específicas para el control y auditoría del cumplimiento.
  • Implementar medidas para potenciar la cultura de cumplimiento: Invertir en sistemas robustos de cumplimiento y fomentar una cultura basada en el juicio profesional y la identificación proactiva de riesgos. Las firmas de menor dimensión  necesitarán implementar nuevos procesos y soluciones tecnológicas adaptadas a sus necesidades.
  • Robustecer los procesos de diligencia debida: Reforzar la identificación y clasificación del beneficiario efectivo, ajustando la base de clientes a los nuevos umbrales y definiciones. La Comisión Europea podrá reducir el umbral de participación en la propiedad que determina la titularidad real al 15% en empresas de alto riesgo.
  • Reforzar la seguridad de los datos: Implementar medidas de protección de datos rigurosas, especialmente al utilizar proveedores externos. Garantizar la fiabilidad, verificación y actualización de la información, así como los permisos para compartir datos entre redes de firmas.
  • Invertir en formación y en políticas de comunicación: Formar e informar a los clientes sobre las nuevas obligaciones y cambios normativos. Mantenerlos actualizados es clave para asegurar el cumplimiento y la calidad del servicio.
  • Mayor colaboración con organismos profesionales: Aprovechar los recursos y orientaciones técnicas proporcionados por los organismos profesionales, especialmente para las firmas de menor dimensión. La colaboración y el acceso a materiales formativos serán esenciales para afrontar los retos del nuevo marco normativo.

******

Adicionalmente a las nuevas obligaciones en materia de prevención de blanqueo de capitales y financiación de terrorismo, desde 2023, la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, obliga a determinados sujetos del sector privado, entre ellos a los auditores, a implementar un sistema interno de información (SII)  —comúnmente conocido como canal de denuncias—, que refuerce los mecanismos de integridad y compliance en el ámbito profesional.

EL SISTEMA INTERNO DE INFORMACIÓN (SII)

El SII no es un buzón de sugerencias, ni un simple requisito formal, es una infraestructura jurídica de protección institucional. La gestión de las comunicaciones internas no es un problema técnico ni un trámite administrativo, es una cuestión de gobernanza, de cultura ética y, en última instancia, de sostenibilidad jurídica de la organización.

Además, la Ley conlleva para los sujetos obligados los siguientes requerimientos:

  • Contar con medidas técnicas y organizativas adecuadas para preservar la identidad del informante y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero. También tiene que garantizar la presentación y tramitación de comunicaciones anónimas.
  • Informar de forma fácil y accesible sobre la existencia, el uso y el funcionamiento del canal interno de información, para que aquellas personas que estén considerando la posibilidad de realizar una comunicación, puedan tomar una decisión fundamentada sobre su conveniencia, y cómo y cuándo realizarla.
  • Regular el procedimiento de gestión del canal para la tramitación diligente de las informaciones o comunicaciones de conformidad con la Ley y definir una política o estrategia que tiene que ser dada a conocer dentro de la organización.
  • Designar un responsable del SII, que puede ser una persona física o un órgano colegiado.
  • Comunicar a la Autoridad competente la designación del responsable del Sistema Interno de Información (en Cataluña, la Oficina Antifrau de Catalunya).
  • Contar con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar.
  • Informar, de forma clara y accesible, a quién realice la comunicación a través del canal interno sobre la existencia del canal externo.

AUDITORES OBLIGADOS AL SII

La forma en cómo este requisito se traslada a los profesionales de la auditoría, depende de si éstos realizan la actividad a través de persona jurídica (sociedades de auditoría) o directamente como personas físicas (ejercientes individuales).

Aplicación a auditores personas jurídicas (sociedades de auditoría)

Las sociedades de auditoría están obligadas a contar con un SII por el artículo 10.1 b) de la Ley 2/2023, incluso si tienen menos de 50 trabajadores, debido a su actividad como sujetos obligados de la Ley 10/2010 de Prevención del blanqueo de capitales (LPBC).La excepción que recoge el artículo 31.1 del Reglamento de la LPBC (menos de 10 empleados y menos de 2 millones de euros) exime a los auditores de ciertas obligaciones procedimentales internas de la LPBC. Sin embargo, esta excepción no elimina su condición de «sujeto obligado» ni la saca del ámbito material de blanqueo de capitales al que remite la Ley 2/2023. Por lo tanto, la excepción no anula la obligación del SII para las sociedades de auditoría.

Aplicación a auditores personas físicas (ejercientes individuales)

Las sociedades de auditoría están obligadas a contar con un SII por el artículo 10.1 b) de la Ley 2/2023, incluso si tienen menos de 50 trabajadores, A diferencia de las personas jurídicas, el artículo 10.1 b) no aplica a las personas físicas. En consecuencia, un auditor de cuentas que opera como persona física (autónomo o empresario individual) no está obligado a implantar el SII, a menos que alcance el umbral de 50 o más trabajadores.No obstante, para los auditores que no están legalmente obligados a implementar el SII (caso del auditor individual con menos de 50 empleados), la adopción voluntaria del sistema resulta una práctica recomendable ya que proporciona las garantías de protección frente a represalias que la Ley 2/2023 ofrece al informante y constituye una herramienta esencial de mitigación de riesgos (compliance), permitiendo la detección y corrección temprana de irregularidades, lo cual es especialmente relevante en una actividad como la auditoría.

 

Continguts relacionats

#Equidad de Género

17 de diciembre de 2025

Programa Camin@ de mentoría

Tatiana Kulikova

Audit Manager Financial services, KPMG Auditores, S.L.

#Sector Público

14 de noviembre de 2025

Nou pla de comptabilitat pública de la Generalitat de Catalunya regulat en l’ordre ECF/119/2025

Joan Guerrero

Subdirector General de Contabilidad de la Intervención General de la Generalitat de Cataluña

#Reestructuración y Concursal

24 de octubre de 2025

El auditor en el ámbito de la reestructuración concursal

Luis Ojeda Arnal

Economista, Auditor de Cuentas ROAC.
Miembro de la Comisión de Reestructuración del Col·legi de Censors Jurats de Comptes de Catalunya.
Socio de Ojeda Economistes SLP

Més continguts