- El examen es anual y el informe debe describir medidas, valorar eficacia operativa y proponer mejoras.
- Plazos prácticos: define fecha de referencia + organiza evidencias para que el informe salga a tiempo.
- Si hay deficiencias: prepara plan de remedio con calendario y pruebas de cierre.
- Qué es el informe y qué busca (sin jerga)
- Quién suele estar obligado y “zonas grises”
- Qué revisa un experto externo de verdad
- Plan en 6 semanas (calendario realista)
- Carpeta de evidencias (checklist)
- Cómo preparar el muestreo sin sufrir
- Cómo elegir experto externo (y evitar incompatibilidades)
- Plan de remedio: cerrar hallazgos “con prueba”
- Errores comunes y señales de alarma
- Plantillas (listas para copiar)
- FAQ
Qué es el informe y qué busca (sin jerga)
El Informe de Experto Externo no es un documento “de cumplimiento por cumplir”. Es una revisión independiente que busca una sola cosa: coherencia entre lo que dices que haces (manual, políticas, procedimientos) y lo que haces realmente (muestras, registros, decisiones y controles).
Si tu operativa cambia (canales, países, tipologías, agentes, onboarding digital, cripto, etc.), el informe debe “oler” a tu realidad. Un informe genérico es el típico que luego duele.
El experto no “te aprueba”. Te deja un informe que debe ser defendible si alguien revisa tu sistema: inspección, auditoría, compliance interno o incluso banca en procesos de onboarding.
Quién suele estar obligado y “zonas grises”
La obligación nace del marco PBC/FT y su aplicación práctica puede variar por tipo de sujeto obligado, tamaño, estructura (grupo), existencia de auditoría interna, etc.
Empresas pequeñas dentro de ciertos apartados pueden tener excepciones reglamentarias en medidas de control interno (y, por tanto, impacto en el examen externo). Si estás cerca de umbrales o cambiaste de tamaño este año, revisa tu caso.
Qué revisa un experto externo de verdad
No hay dos revisiones idénticas, pero la lógica es bastante estable: diseño + eficacia operativa. Es decir, el “papel” y el “uso”.
Bloques que suelen aparecer (y dónde se cae la gente)
- Gobierno: órgano de control interno/representante, reporting y decisiones (actas).
- Manual y políticas: control de versiones, enfoque basado en riesgo y actualización.
- KYC / Diligencia debida: coherencia entre riesgo y documentación, reforzada cuando toca.
- Monitorización: alertas, análisis, escalado y cierre con trazabilidad.
- Formación: plan, evidencias, adecuación por roles.
- Conservación documental: qué guardas, dónde, durante cuánto y quién accede.
Las muestras: expedientes reales, registros de alertas, evidencias de controles, actas y trazabilidad. Si no hay muestra, no hay prueba.
Plan en 6 semanas (calendario realista)
Si lo tratas como proyecto, baja el estrés y sube la calidad. Aquí va un calendario que funciona en la mayoría de casos:
- Semana 1: kickoff interno + lista de cambios del año + definir fecha de referencia + responsable único.
- Semana 2: carpeta de evidencias (versión 1) + preselección de muestra (10–20 expedientes representativos).
- Semana 3: entrevistas y walkthrough de procesos (onboarding, alertas, escalado, cierres).
- Semana 4: verificación operativa + completar evidencias faltantes (sin “maquillar”: corrigiendo de verdad).
- Semana 5: borrador de hallazgos + plan de acción preliminar (responsables, fechas, evidencia esperada).
- Semana 6: informe final + aprobación/puesta en conocimiento del órgano competente + despliegue del plan de remedio.
Carpeta de evidencias (checklist)
Si quieres ahorrar horas (y evitar idas y vueltas), monta una carpeta estructurada. Te dejo una “que no falla”.
01_Gobierno / 02_Manual_y_Politicas / 03_Riesgo / 04_KYC_Muestras / 05_Alertas_y_Escalado / 06_Formacion / 07_Conservacion / 08_Hallazgos_y_Plan_Remedio
Checklist mínimo por bloque
- Gobierno: nombramientos, organigrama, actas/decisiones, reporting, responsables.
- Manual: versión vigente + control de cambios + comunicación interna de actualizaciones.
- Riesgo: metodología/segmentación + revisiones + evidencias de actualización por cambios del año.
- KYC: muestra por tipologías/riesgo + checklist aplicada + evidencias de verificación.
- Alertas: registro (fecha → análisis → decisión → cierre) + escalado/OCI si procede.
- Formación: plan anual + evidencias de impartición/participación + contenidos.
- Conservación: política + ubicación repositorios + controles de acceso + trazabilidad.
Cómo preparar el muestreo sin sufrir
La clave es que el muestreo sea representativo y defendible. No se trata de “elegir los expedientes más bonitos”, sino de cubrir riesgos reales.
| Tipología | Qué incluir | Qué suele fallar | Evidencia “buena” |
|---|---|---|---|
| Bajo/medio riesgo | Onboarding estándar + actualización periódica | Expediente incompleto / sin trazabilidad | Checklist + verificación + fecha + responsable |
| Alto riesgo | Diligencia reforzada + justificación | Reforzada “en papel” sin pruebas | Razón + documentos + aprobación/escala |
| Operativa inusual | Casos con alertas y análisis | Alertas sin cierre documentado | Registro completo (análisis/decisión/cierre) |
| Canales/países nuevos | Muestras post-cambio | Riesgo no actualizado | “Antes/después” + actualización + evidencias |
Cómo elegir experto externo (y evitar incompatibilidades)
Elegir bien reduce riesgo. Dos ideas prácticas:
- Idoneidad: experiencia real en PBC/FT y en tu sector (no solo “haber leído la norma”).
- Independencia: cuidado con relaciones de servicios recurrentes que puedan crear incompatibilidades.
- ¿Conoce tu sector y tu operativa real (canales, países, productos)?
- ¿Incluye muestreo y revisión operativa (no solo “texto”)?
- ¿Te pide evidencias y define desde el inicio “qué prueba vale”?
- ¿Deja claro qué es “hallazgo” y cómo se cierra con evidencia?
Plan de remedio: cerrar hallazgos “con prueba”
El gran error es pensar que un hallazgo se cierra “actualizando un documento”. Si el hallazgo era operativo, el cierre también debe ser operativo: muestras posteriores, registros, controles y responsables.
- Documento actualizado (versión + fecha).
- Comunicación interna del cambio (mail/acta/circular/herramienta).
- Evidencia de aplicación real (muestras posteriores).
- Control periódico (cómo verificas y quién).
- Aprobación/decisión si aplica (acta/órgano).
Errores comunes y señales de alarma
Error 1 — Empezar tarde
Si arrancas cuando “ya toca”, terminas improvisando evidencias. Resultado: hallazgos evitables y más coste.
Error 2 — Confundir “manual” con “sistema”
El manual es necesario, pero lo que te protege es el sistema en acción: KYC consistente, alertas trazables, decisiones documentadas.
Error 3 — Muestras “seleccionadas” (no representativas)
Si solo enseñas casos perfectos, el informe pierde credibilidad. Mejor una muestra realista y corregir brechas.
- Informe sin muestreo, sin entrevistas, sin evidencias: solo narrativa.
- Conclusión “todo ok” sin trazabilidad ni registros operativos.
- Ninguna mención a cambios del año (cuando sí los hubo).
Plantillas (listas para copiar)
Plantilla 1 — Registro de evidencias (índice)
| Carpeta | Documento/Evidencia | Propietario | Fecha | Notas |
|---|---|---|---|---|
| 02_Manual_y_Politicas | Manual PBC/FT vX.X + control de versiones | Compliance | __/__/____ | Incluye cambios del año |
| 04_KYC_Muestras | Muestra expedientes (alto/medio/bajo) | Operaciones | __/__/____ | Lista + criterio de selección |
| 05_Alertas_y_Escalado | Registro de alertas y cierres | Compliance | __/__/____ | Análisis + decisión + cierre |
Plantilla 2 — Tracking de hallazgos / plan de remedio
| Hallazgo | Impacto | Acción correctora | Responsable | Fecha objetivo | Evidencia de cierre | Estado |
|---|---|---|---|---|---|---|
| Ej.: Alto riesgo sin prueba de reforzada | Alto | Actualizar checklist + revalidar muestra + control mensual | Compliance/Operaciones | __/__/____ | Muestras fechadas + registro de control + acta | En curso |
| Ej.: Formación sin evidencias | Medio | Plan anual + sesiones + registro asistencia | RRHH/Compliance | __/__/____ | Listado asistentes + materiales | Cerrado |
Si nos das tu lista de cambios del año + una muestra inicial de expedientes + registro de alertas, en una llamada podemos marcar alcance, calendario y evidencias necesarias para que el informe sea defendible.
FAQ
¿El informe de seguimiento puede sustituir al informe completo?
En la práctica, el seguimiento tiene sentido cuando el foco es demostrar con evidencias que has cerrado deficiencias anteriores. Si hubo cambios relevantes en negocio/procesos, suele ser mejor ampliar alcance o plantear un examen completo.
¿Qué es lo que más mira SEPBLAC en una revisión?
Coherencia entre manual y operativa: KYC consistente con riesgo, trazabilidad de alertas y decisiones, formación acreditable y control interno vivo.
¿Qué documentación mínima debería tener lista antes de empezar?
(1) Manual vigente + control de versiones, (2) lista de cambios del año, (3) 10–20 expedientes representativos, (4) registro de alertas/cierres, (5) formación (plan y evidencias).
¿Qué hace que un informe pierda credibilidad?
Informe genérico, sin muestras, sin trazabilidad y con conclusiones “todo ok” sin pruebas. Si no se sostiene por evidencias, no protege.
¿Podéis revisar mi carpeta de evidencias antes del experto?
Sí: hacemos un “pre-check” para detectar brechas típicas (KYC reforzado, alertas, gobierno y formación) y llegar al examen con todo ordenado.
Artículos relacionados
Referencias oficiales:
• Ley 10/2010 (BOE): boe.es
• RD 304/2014 (BOE): boe.es
• SEPBLAC (Expertos externos): sepblac.es
• Trámite SEPBLAC (Comunicación de actuación experto externo): sepblac.es
• Orden EHA/2444/2007 (modelo): boe.es