Evaluación de riesgos de cumplimiento normativo: guía práctica 2026
Cómo identificar, evaluar y mitigar riesgos regulatorios con el marco CNMV y SEPBLAC. Guía completa de compliance risk management para empresas españolas.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa evaluación de riesgos de cumplimiento normativo —o compliance risk assessment— es el proceso estructurado mediante el cual una organización identifica las obligaciones legales y regulatorias que le son aplicables, cuantifica la probabilidad e impacto de incumplirlas y define controles para reducir esa exposición a niveles aceptables. En España, este proceso es obligatorio para todas las entidades sujetas a la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y, desde la publicación del paquete AML de la UE el 19 de junio de 2024, también para cualquier entidad obligada bajo el nuevo marco europeo. Ignorar este proceso no es solo un riesgo regulatorio: a 1 de marzo de 2026, el SEPBLAC exige un enfoque basado en el riesgo (EBR) documentado y actualizado para todas las entidades inspeccionadas.
Este artículo tiene únicamente finalidad informativa y no constituye asesoramiento jurídico, financiero ni regulatorio. Para cuestiones específicas relativas a su situación, consulte a un profesional cualificado.
¿Qué es la gestión de riesgos de cumplimiento normativo?
La gestión de riesgos de cumplimiento normativo (compliance risk management) es la disciplina que combina la identificación sistemática de obligaciones regulatorias con la implementación de controles proporcionales al nivel de riesgo de cada área de negocio. No se limita a verificar que se cumplen las normas: busca anticipar los cambios regulatorios, asignar recursos donde el impacto potencial es mayor y demostrar ante el supervisor que la organización actúa con diligencia.
El concepto clave que sustenta todo este marco en España es el enfoque basado en el riesgo (EBR), introducido por la Ley 10/2010 (art. 7) y reforzado por la Directiva (UE) 2024/1640 (AMLD6). Bajo el EBR, las medidas de control no son uniformes: deben ser proporcionales a la naturaleza, magnitud y complejidad de los riesgos específicos de cada entidad. Un banco de inversión y una asesoría fiscal tienen perfiles de riesgo radicalmente distintos, aunque ambos sean sujetos obligados.
La Circular CNMV 1/2014, de 26 de febrero, sobre los requisitos de organización interna y las funciones de control de las entidades que prestan servicios de inversión, obliga a las empresas de servicios de inversión (ESI) a contar con funciones separadas e independientes de cumplimiento normativo, gestión de riesgos y auditoría interna (CNMV, Circular 1/2014). Esta estructura no es opcional: su ausencia es en sí misma una deficiencia de cumplimiento sancionable.
Para comprender el contexto más amplio en el que se inserta el compliance risk management, véase nuestra guía de gobernanza, riesgos y cumplimiento (GRC), donde se detallan los tres pilares interrelacionados de todo programa de cumplimiento robusto.
Los cinco pasos de una evaluación de riesgos de cumplimiento
Una evaluación de riesgos de cumplimiento bien diseñada sigue cinco pasos secuenciales: inventario de obligaciones, identificación de riesgos, valoración cualitativa y cuantitativa, tratamiento mediante controles y revisión periódica. A continuación se desglosa cada uno con indicaciones prácticas para el contexto regulatorio español.
Paso 1: Inventario de obligaciones normativas
El punto de partida es un mapa completo de todas las normas aplicables a la entidad: leyes nacionales, reglamentos europeos de aplicación directa, circulares del supervisor y guías interpretativas. Para una entidad financiera española, este inventario incluye, como mínimo, la Ley 10/2010, el Reglamento (UE) 2024/1624 (AMLR, directamente aplicable), la Circular CNMV 1/2014 y las instrucciones del Banco de España.
Paso 2: Identificación de riesgos
Cada obligación del inventario se cruza con los procesos de negocio para detectar dónde existe exposición real. Las técnicas más utilizadas son: talleres con responsables de área, revisión de incidentes pasados, análisis de auditorías previas y benchmarking sectorial. El resultado es una lista de riesgos específicos, no genéricos.
Paso 3: Valoración del riesgo
Cada riesgo identificado se evalúa en dos dimensiones: probabilidad de materialización e impacto si se produce. La combinación de ambas determina el nivel de riesgo inherente. La siguiente tabla ilustra una escala de valoración estándar aplicable al contexto español:
| Nivel de riesgo | Probabilidad | Impacto potencial | Acción requerida |
|---|---|---|---|
| Crítico | Alta (>50%) | Sanción superior a 1M€ / suspensión actividad | Plan de mitigación inmediato; escalado al consejo |
| Alto | Moderada-alta (25-50%) | Sanción entre 100K€ y 1M€ / requerimiento supervisor | Controles reforzados; revisión trimestral |
| Medio | Moderada (10-25%) | Apercibimiento / sanción inferior a 100K€ | Mejora de procedimientos; revisión semestral |
| Bajo | Baja (<10%) | Observación interna / recomendación auditoría | Monitorización; revisión anual |
Paso 4: Tratamiento y controles
Para cada riesgo de nivel alto o crítico, el plan de tratamiento debe especificar el control asignado, el responsable, el plazo de implementación y el indicador de eficacia. Los controles pueden ser preventivos (formación, checklists de verificación documental), detectivos (monitorización de transacciones, revisiones periódicas) o correctivos (planes de remediación, comunicaciones al supervisor).
Paso 5: Revisión y actualización continua
La evaluación de riesgos no es un documento estático. Debe actualizarse ante cualquier cambio normativo significativo, modificación del modelo de negocio o incidente de cumplimiento. A 1 de marzo de 2026, con la AMLD6 pendiente de transposición antes de julio de 2027, las entidades obligadas deben incorporar ya en sus evaluaciones los nuevos requisitos del paquete AML publicado el 19 de junio de 2024.
Las organizaciones que revisan su evaluación de riesgos de cumplimiento al menos dos veces al año detectan un 34% más de brechas de control antes de una inspección supervisora que las que realizan revisiones anuales, según el análisis de prácticas publicado por el Comité de Supervisión Bancaria de Basilea (BCBS).
Para profundizar en la documentación de cumplimiento que sustenta cada paso, la guía de conformidad documental ofrece un marco detallado de obligaciones y plazos de conservación.
Marco normativo español: CNMV, SEPBLAC y la Ley 10/2010
El marco regulatorio español de gestión de riesgos de cumplimiento se articula en torno a tres ejes: la Ley 10/2010 como norma sustantiva de referencia, el SEPBLAC como supervisor especializado en materia de blanqueo y financiación del terrorismo, y la CNMV como regulador sectorial para las entidades que prestan servicios de inversión.
La Ley 10/2010, de 28 de abril, exige a todos los sujetos obligados la aprobación por escrito de una política expresa de admisión de clientes, la realización de una evaluación del riesgo de blanqueo de capitales y la designación de un representante ante el SEPBLAC con funciones de cumplimiento (art. 26 bis, introducido por RD-L 11/2018).
El papel del SEPBLAC: inspecciones y enfoque basado en el riesgo
El SEPBLAC lleva a cabo inspecciones periódicas con un enfoque basado en el riesgo. En 2024, el informe de actividad del SEPBLAC registró que 26 entidades comunicaron más de 30.000 cuentas y activos objeto de comunicación, lo que refleja una actividad supervisora intensa y creciente. Las inspecciones evalúan específicamente: la existencia de una evaluación documentada del riesgo, la proporcionalidad de los controles aplicados y la trazabilidad de las decisiones adoptadas.
A 1 de marzo de 2026, el SEPBLAC exige que la evaluación del riesgo de blanqueo sea aprobada por el órgano de administración de la entidad —no solo por el responsable de cumplimiento—, conforme al artículo 32 de la Ley 10/2010 y las guías interpretativas del GAFI (FATF).
La Circular CNMV 1/2014 y las empresas de servicios de inversión
Para las empresas de servicios de inversión (ESI), la Circular CNMV 1/2014 establece requisitos adicionales específicos: la función de cumplimiento normativo debe ser independiente, estar dotada de recursos suficientes, tener acceso a toda la información relevante y contar con un responsable con autoridad suficiente para dirigirse directamente al órgano de administración. La función de gestión de riesgos debe elaborar y actualizar un perfil de riesgo global de la entidad que incluya los riesgos de cumplimiento.
El paquete AML de la UE: nuevos requisitos desde junio de 2024
El paquete AML publicado el 19 de junio de 2024 —compuesto por el Reglamento (UE) 2024/1624, la Directiva (UE) 2024/1640 y el Reglamento AMLA (UE) 2024/1620— introduce un estándar mínimo armonizado de evaluación de riesgos para todos los sujetos obligados de la UE. El Reglamento (UE) 2024/1624 es de aplicación directa; la AMLD6 debe transponerse antes de julio de 2027. Las entidades españolas deben revisar sus evaluaciones de riesgo para incorporar los factores de riesgo armonizados previstos en los anexos del Reglamento.
Para un análisis detallado de las obligaciones específicas que introduce la AMLD6, véase nuestra guía AMLD6: qué cambia para los sujetos obligados.
Errores frecuentes que evitar
Las evaluaciones de riesgos de cumplimiento fracasan por razones predecibles y evitables. Los tres errores más comunes que detectan los supervisores españoles son: tratar el cumplimiento como una casilla que marcar, operar con silos departamentales que impiden una visión transversal del riesgo y no asignar recursos humanos y tecnológicos suficientes a la función de cumplimiento.
El consejo que trata el cumplimiento como un formulario
Cuando el órgano de administración delega la evaluación de riesgos en el departamento legal sin implicación real en la revisión de resultados y en la aprobación de planes de tratamiento, la evaluación se convierte en un documento formal sin impacto en la gestión. La Circular CNMV 1/2014 y la Ley 10/2010 son explícitas: la evaluación de riesgos debe ser aprobada por el órgano de administración, que asume responsabilidad directa por su contenido y actualización.
La solución no es añadir un punto al orden del día del consejo una vez al año. Requiere que los consejeros reciban información de cumplimiento en formato ejecutivo —indicadores clave de riesgo, evolución de incidentes, brechas detectadas— con periodicidad al menos semestral.
Los silos departamentales que ciegan la visión del riesgo
En organizaciones con funciones de cumplimiento, riesgos y auditoría que no comparten información ni metodologías, el mismo riesgo puede estar siendo gestionado por tres equipos distintos con criterios diferentes, o puede no estar siendo gestionado por ninguno porque cada uno asume que es responsabilidad del otro. Este fenómeno, conocido como gap de coordinación, es una de las principales causas de deficiencias detectadas en inspecciones.
Según el análisis de mejores prácticas de McKinsey sobre marcos GRC, el 66% de las funciones de gestión de riesgos operan con menos de 20 profesionales a tiempo completo, lo que hace imprescindible la coordinación estructurada entre funciones para evitar duplicidades y lagunas de control (McKinsey, Governance, Risk and Compliance).
La solución es un comité de riesgos y cumplimiento con representación de todas las líneas de defensa, reuniones periódicas con actas documentadas y una metodología compartida de evaluación de riesgos.
La restricción de recursos que convierte controles en papel mojado
Disponer de una evaluación de riesgos sin recursos para ejecutar los controles que de ella se derivan es equivalente a no tener evaluación. Los supervisores europeos han señalado repetidamente que la insuficiencia de recursos en la función de cumplimiento —tanto humanos como tecnológicos— es una deficiencia sistémica en entidades medianas y pequeñas.
La clave no es necesariamente aumentar la plantilla: la tecnología de verificación documental automatizada permite cubrir controles de diligencia debida a escala sin incremento proporcional de recursos humanos. Plataformas como CheckFile permiten automatizar la verificación de documentos de identidad, poderes notariales y registros mercantiles en el flujo de onboarding, reduciendo el tiempo de revisión manual sin comprometer la calidad del control.
Cómo la tecnología refuerza el cumplimiento normativo
La tecnología no sustituye a la función de cumplimiento, pero multiplica su capacidad operativa. Las tres áreas donde el impacto es más inmediato son: la automatización de controles documentales en el proceso de onboarding, la monitorización continua de señales de riesgo y la generación de evidencia auditable.
Verificación documental automatizada en el onboarding
El primer punto de control en cualquier relación de negocio es la verificación de la identidad del cliente y la autenticidad de los documentos aportados. En entidades que gestionan decenas o centenas de altas diarias, la revisión manual es un cuello de botella que genera tanto retrasos operativos como riesgos de error humano. Las soluciones de verificación documental basadas en inteligencia artificial —como las disponibles en CheckFile— analizan la autenticidad de documentos de identidad, detectan manipulaciones y validan la coherencia entre datos en segundos, con una tasa de detección de documentos alterados muy superior a la revisión visual humana.
Monitorización continua y alertas de riesgo
Una vez completado el onboarding, el riesgo no desaparece: clientes que inicialmente presentaban un perfil de riesgo bajo pueden adquirir características que eleven su nivel de riesgo (cambios de actividad, operaciones inusuales, exposición política). Los sistemas de monitorización continua permiten detectar estas variaciones y desencadenar revisiones periódicas de la diligencia debida sin necesidad de revisión manual sistemática de toda la cartera.
Trazabilidad y evidencia auditable
Ante una inspección del SEPBLAC o de la CNMV, la entidad debe poder demostrar no solo que tiene políticas y procedimientos, sino que los aplica de forma consistente. Los sistemas tecnológicos generan automáticamente registros de auditoría —quién verificó qué documento, cuándo, con qué resultado— que constituyen la evidencia que el inspector requiere. Esta trazabilidad es especialmente crítica para los controles de diligencia debida reforzada aplicados a clientes de alto riesgo.
Las entidades que automatizan sus controles de verificación documental reducen el tiempo de respuesta ante requerimientos de información del supervisor en un 60% de media, según datos internos de plataformas de cumplimiento con implantación en el sector financiero español, al eliminar la búsqueda manual en archivos dispersos y consolidar toda la evidencia en un repositorio centralizado.
Para conocer las opciones de integración tecnológica disponibles y los planes adaptados a distintos volúmenes de operación, consulte la sección de precios de CheckFile o explore la plataforma completa. La solución CheckFile para KYC bancario está específicamente diseñada para cumplir con los requisitos de diligencia debida bajo la Ley 10/2010 y el paquete AML de la UE.
Preguntas frecuentes
¿Qué es exactamente una evaluación de riesgos de cumplimiento normativo?
Una evaluación de riesgos de cumplimiento normativo es el proceso mediante el cual una entidad identifica todas las obligaciones regulatorias que le son aplicables, determina dónde y cómo podría incumplirlas, cuantifica la probabilidad e impacto de cada incumplimiento y define controles proporcionales para reducir esa exposición. El resultado es un documento formal —aprobado por el órgano de administración— que sirve de base para el programa de cumplimiento de la organización. En España, este proceso es obligatorio para todos los sujetos obligados bajo la Ley 10/2010 y para las empresas de servicios de inversión bajo la Circular CNMV 1/2014.
¿Con qué frecuencia debe realizarse una evaluación de riesgos de cumplimiento?
La evaluación de riesgos de cumplimiento debe revisarse y actualizarse, como mínimo, anualmente y siempre que se produzcan cambios significativos: nuevas normas aplicables, modificaciones relevantes del modelo de negocio, incorporación de nuevos productos o servicios, expansión geográfica o incidentes de cumplimiento materiales. A 1 de marzo de 2026, con el paquete AML de la UE en vigor desde junio de 2024 y la AMLD6 pendiente de transposición antes de julio de 2027, todas las entidades obligadas deben revisar su evaluación para incorporar los nuevos factores de riesgo armonizados. El SEPBLAC, en sus inspecciones con enfoque basado en el riesgo, verifica expresamente la fecha de última actualización de la evaluación y las razones que la motivaron.
¿Qué ocurre si el SEPBLAC detecta deficiencias en la evaluación de riesgos?
Si el SEPBLAC detecta deficiencias en la evaluación de riesgos de cumplimiento durante una inspección, puede adoptar medidas que van desde un requerimiento de subsanación —con plazo para corregir las deficiencias— hasta la apertura de un expediente sancionador. Las sanciones por incumplimiento de las obligaciones de prevención del blanqueo de capitales previstas en la Ley 10/2010 se clasifican en muy graves, graves y leves. Las infracciones muy graves pueden dar lugar a multas de hasta el 10% de los recursos propios de la entidad o hasta 10 millones de euros. Bajo el nuevo marco AMLD6, el techo sancionador se eleva al 10% de la facturación anual o 10 millones de euros, lo que sea mayor. Adicionalmente, la entidad puede ser objeto de medidas administrativas como la inhabilitación temporal de administradores o la publicación de la sanción.
¿Qué diferencia hay entre gestión de riesgos y gestión de riesgos de cumplimiento?
La gestión de riesgos en sentido amplio abarca todos los tipos de riesgo a los que está expuesta una organización: riesgo de crédito, riesgo de mercado, riesgo operacional, riesgo reputacional, entre otros. La gestión de riesgos de cumplimiento (compliance risk management) es una subcategoría especializada que se centra específicamente en los riesgos derivados del incumplimiento de obligaciones legales, regulatorias, normativas internas y estándares éticos. Aunque son disciplinas complementarias que deben coordinarse —de ahí la importancia del marco GRC—, tienen metodologías, responsables y métricas distintos. La Circular CNMV 1/2014 exige expresamente que estas funciones sean independientes entre sí y del negocio, aunque coordinadas.
¿Las pymes y micropymes también están obligadas a realizar evaluaciones de riesgos de cumplimiento?
Depende del sector y del tipo de actividad. La Ley 10/2010 establece una lista exhaustiva de sujetos obligados —que incluye, entre otros, entidades de crédito, aseguradoras, gestores de fondos, notarios, abogados, auditores, agentes inmobiliarios y comerciantes de bienes de alto valor— con independencia de su tamaño. Una pyme que opere en cualquiera de estos sectores está obligada a cumplir con los mismos requisitos sustantivos que una gran entidad, aunque el principio de proporcionalidad permite adaptar la complejidad de los controles a la naturaleza y volumen de la actividad. El Reglamento (UE) 2024/1624 refuerza este principio de proporcionalidad al tiempo que establece estándares mínimos que ninguna entidad obligada puede eludir por razón de tamaño.