- La regla general es examen anual de las medidas y órganos de control interno.
- Ese examen queda reflejado en un informe escrito con descripción + valoración de eficacia + mejoras.
- Durante los dos años siguientes a un informe, puede hacerse un informe de seguimiento (solo para comprobar cierres de deficiencias).
- Hay requisitos de idoneidad e incompatibilidades del experto, y un deber de tener el informe disponible durante años.
- Qué es el “examen externo” del Artículo 28
- Quién está obligado y quién no
- Qué debe contener el informe (mínimos reales)
- Informe completo vs informe de seguimiento (2 años)
- Plazos que suelen olvidarse (y por qué importan)
- Incompatibilidades del experto (red flags)
- Checklist de evidencias para pasar el examen sin drama
- FAQ
Qué es el “examen externo” del Artículo 28
El “examen externo” es la revisión por un experto externo de tu sistema PBC/FT (medidas y órganos de control interno). No es un trámite “para tener un PDF”: es una verificación independiente de que tu sistema existe y funciona.
La lógica es simple: si un supervisor o un tercero te cuestiona (inspección, entidad financiera, auditoría), el informe solo vale si está apoyado en evidencias (muestras, registros, trazabilidad y decisiones).
El examen externo no se “aprueba” por tener políticas bonitas. Se sostiene por coherencia entre diseño (lo que dices que haces) y operativa (lo que haces realmente).
Quién está obligado y quién no
De forma general, el Art. 28 conecta el examen externo con las medidas de control interno (las que se exigen a determinados sujetos obligados). Además, la propia Ley introduce una excepción importante:
La obligación del Art. 28 no es exigible a los empresarios o profesionales individuales. Ojo: esto no significa “no tengo obligaciones PBC/FT”, significa que esta obligación concreta puede no aplicar si actúas como persona física.
Si operas a través de sociedad, tienes estructura con empleados/agentes o perteneces a sectores con medidas de control interno reforzadas, la probabilidad de exigibilidad sube. Si quieres evitar errores caros, la pregunta útil no es “¿me suena que sí/no?”, sino “¿qué medidas de control interno me aplican y cómo lo pruebo?”.
Qué debe contener el informe (mínimos reales)
En la práctica, el informe del experto externo tiene tres piezas que deben encajar:
| Pieza | Qué se espera | Qué evidencia lo soporta |
|---|---|---|
| Descripción | Qué medidas y órganos existen (políticas, roles, procedimientos) | Manual vigente, control de versiones, nombramientos, organigrama funcional |
| Eficacia operativa | Si se aplica “de verdad” en el día a día | Muestras KYC, registros de alertas, decisiones, actas, controles periódicos |
| Mejoras | Rectificaciones o mejoras si hay deficiencias | Plan de acción + evidencias de cierre (antes/después) |
El Reglamento (RD 304/2014) añade además un enfoque muy práctico: el informe se refiere a una fecha de referencia, y suele requerir trabajo de muestreo y verificación para poder valorar la implantación real.
Informe completo vs informe de seguimiento (2 años)
Este punto es el que más se confunde. El Art. 28 permite que, en los dos años sucesivos a la emisión de un informe, pueda sustituirse por un informe de seguimiento.
Completo = reviso todo el sistema.
Seguimiento = reviso si has corregido lo que el informe anterior marcó como deficiencia (y lo demuestras con evidencias).
Cómo decidir rápido
- Si hubo cambios relevantes (productos, países, canales, volumen, herramientas), suele tener sentido un enfoque más completo.
- Si el informe anterior tuvo hallazgos, el seguimiento solo funciona si puedes enseñar el “antes/después” (documento + aplicación real).
- Si no tienes evidencias claras, un seguimiento puede acabar saliendo caro (retrabajo y hallazgos reabiertos).
Plazos que suelen olvidarse (y por qué importan)
Hay dos plazos prácticos que mucha gente no gestiona bien:
- Emisión del informe: el Reglamento establece que el informe debe emitirse dentro de un plazo desde la fecha de referencia.
- Elevación a órgano de administración: el Art. 28 exige elevar el informe al órgano de administración/órgano directivo en un plazo máximo desde su emisión, y que se adopten medidas para solventar deficiencias.
Hacer el informe tarde y “correr” sin evidencias. Resultado: informe débil o hallazgos que podrían haberse cerrado con una preparación mínima.
Incompatibilidades del experto (red flags)
El Art. 28 no solo habla del informe: también regula idoneidad y una incompatibilidad crítica. Regla práctica: el experto tiene que poder actuar como tercero independiente.
- El “experto” es quien te presta (o te prestó) otros servicios retribuidos en la ventana temporal relevante (riesgo de incompatibilidad).
- No hay muestreo ni registros: el informe es solo narrativa.
- Conclusión “todo ok” sin evidencias, aunque tu sistema sea inmaduro o esté cambiando rápido.
Además, desde un punto de vista operativo, suele exigirse que quien pretenda actuar como experto externo cumpla ciertos deberes formales (p. ej., comunicaciones al SEPBLAC según el marco aplicable).
Checklist de evidencias para pasar el examen sin drama
Si quieres que el examen sea fluido (y no un intercambio infinito de correos), prepara la documentación en cuatro bloques.
Bloque A — Diseño (documentos base)
- Manual PBC/FT vigente + control de versiones
- Metodología/análisis de riesgos + revisiones
- Política de admisión y clasificación de clientes
- Procedimientos de diligencia debida (normal/reforzada)
- Procedimiento de monitorización y escalado interno
- Conservación documental: qué, dónde, quién accede
Bloque B — Operativa (lo que vuelve “defendible” el informe)
- Muestras KYC/KYB por tipología y riesgo (alto/bajo; normal/reforzada)
- Registros de alertas/incidencias y su resolución (análisis → decisión → cierre)
- Prueba de controles ejecutados (revisiones, approvals, checklist operativa)
- Formación: plan + asistencia + contenidos (y evaluación si aplica)
Bloque C — Gobierno y decisiones
- Nombramientos y responsables (quién hace qué)
- Actas/decisiones del órgano interno (si aplica) y seguimiento
- Calendario de revisiones internas y resultados
Bloque D — Hallazgos y cierre (antes/después)
- Registro de hallazgos (del informe anterior o auditorías internas)
- Plan de acción con responsables, fechas y evidencia esperada
- Muestras posteriores que prueben que el cambio se aplica
Monta una carpeta única con esta estructura: 01_Diseño / 02_Operacion / 03_Gobierno / 04_Hallazgos_y_Cierre. Es literalmente el “esqueleto” del informe y reduce tiempos.
FAQ
¿El “examen externo” es siempre anual?
La regla general del Art. 28 es anual. Además, en los dos años siguientes a la emisión de un informe puede emitirse un informe de seguimiento centrado en el cierre de deficiencias.
¿Seguimiento significa “más barato”?
No necesariamente. Si no tienes evidencias de cierre o los hallazgos eran relevantes, el seguimiento puede requerir mucho trabajo de verificación (y reabrir deficiencias).
¿Qué es lo que más “tumbaría” un informe?
Falta de evidencias operativas: sin muestras KYC, sin registros de alertas/decisiones, sin trazabilidad. Un informe narrativo sin pruebas es débil.
¿Puedo contratar como experto a quien ya me lleva otros servicios?
Hay incompatibilidades relevantes en el Art. 28 (por servicios retribuidos en un periodo temporal). Antes de firmar, revisa bien este punto para no “nacer” con el informe cuestionado.
¿El informe se entrega a SEPBLAC?
En general, el informe debe estar a disposición de las autoridades competentes durante el plazo aplicable. La dinámica habitual es: tenerlo disponible y elevarlo al órgano de administración, y ejecutar medidas correctoras si hay deficiencias.
¿Me ayudáis a preparar el examen y el informe?
Sí. Preparamos carpeta de evidencias, definimos muestras y trazabilidad, revisamos hallazgos previos y orientamos el enfoque (completo vs seguimiento) para que el resultado sea defendible.
Artículos relacionados
Referencias oficiales:
• Ley 10/2010 (BOE) – Art. 28: boe.es
• RD 304/2014 (BOE) – Examen externo (art. 38): boe.es
• SEPBLAC – Expertos externos: sepblac.es