Blanqueo de capitales, Blog, Compliance, Consejos, Sin categoría

Guía práctica para mantener un sistema eficaz de gestión de sanciones internacionales en las empresas españolas 

Bonatti-Sanciones Internacionales

En los últimos años, el cumplimiento en materia de sanciones internacionales ha dejado de ser un ejercicio meramente documental —limitado a “pasar lista” contra determinados listados— para convertirse en un sistema de control transversal, con implicaciones directas en la continuidad operativa, la cadena de suministro, la tesorería, la contratación internacional y, cada vez con mayor intensidad, en la esfera penal. Por ello, la pregunta relevante ya no es si la empresa “tiene un sistema”, sino si el sistema es eficaz, entendido este término en su acepción más exigente: capacidad real de detectar, bloquear, documentar y reportar, de forma coordinada y trazable, operaciones prohibidas o de riesgo, evitando tanto el incumplimiento directo como los supuestos de elusión. 

Esta guía está dirigida a profesionales de Compliance en empresas españolas que ya han implantado algún modelo de control sancionador y desean someterlo a una revisión de eficacia, a la manera en que se revisa un sistema de gestión: verificando diseño, operatividad, evidencias y mejora continua. En consecuencia, se priorizan los elementos que suelen fallar en la práctica —coordinación interna, propiedad y control, control contractual y de cadena, logística y pagos, reporting y prueba documental— por encima de la explicación general del régimen, que el lector especializado normalmente ya conoce. 

PARTE I: Por qué hoy la “eficacia” es el único estándar razonable 

  1. El triángulo sancionador: riesgo administrativo, penal y extraterritorial

La exposición derivada de un fallo sancionador se manifiesta, como mínimo, en tres planos que se retroalimentan. 

  1. Plano administrativo, con sanciones, medidas accesorias y efectos colaterales (contratación, licencias, reputación y relación bancaria). 
  1. Plano penal, en un contexto de convergencia europea que tiende a criminalizar no sólo la vulneración dolosa, sino también determinadas formas de elusión y la negligencia grave, de modo que el estándar de diligencia exigible se vuelve objetivamente más alto. 
  1. Plano extraterritorial, especialmente en operaciones donde la estructura de pagos, la corresponsalía bancaria, la logística internacional, la energía o la tecnología crítica pueden activar consecuencias bajo marcos de terceros países, aunque la empresa opere primariamente desde España. 

De lo anterior se deriva una conclusión práctica: la empresa no puede permitirse un sistema sancionador fragmentado, donde cada función mira una parte del problema (Legal mira el texto, Finanzas mira el pago, Logística mira la ruta, IT mira el dato) y nadie reconstruye la operación completa “end-to-end”. 

  1. La elusión como fenómeno organizativo

La elusión rara vez se materializa como una infracción “burda” (contrato directo con un designado). En la práctica, el riesgo aparece mediante: 

  • intermediarios en terceros países, 
  • estructuras de propiedad opacas, 
  • desvío de mercancía o reexportación, 
  • rutas logísticas complejas, 
  • pagos que atraviesan bancos y mensajería financiera en múltiples jurisdicciones, 
  • y, cada vez más, mediante la combinación de servicios (aseguramiento, transporte, financiación, tecnología) que individualmente parecen neutros, pero que en su conjunto habilitan una operación prohibida. 

Por ello, un sistema eficaz no es el que “tiene controles”, sino el que cierra zonas grises, identifica señales de alarma y sabe parar la operación sin destruir el negocio, lo cual exige diseño de gobernanza, SLAs, criterios de escalado y capacidad probatoria. 

PARTE II: Qué debe entenderse por un “sistema eficaz” de gestión de sanciones 

  1. Las seis obligaciones nucleares como sistema integrado

En términos operativos, el control sancionador funciona como un conjunto de seis obligaciones nucleares que forman un sistema: si una falla, compromete a las demás. 

  1. Screening eficaz (no formal) 
  1. Análisis de propiedad y control (owned/controlled) 
  1. Bloqueo y/o inmovilización (“asset freeze”) y stop-the-line 
  1. Anticircunvención contractual y de cadena 
  1. Reporting a autoridad competente 
  1. Documentación probatoria y trazabilidad end-to-end 

A continuación se desarrollan como “módulos” de verificación de eficacia, destacando puntos de fallo típicos y criterios de evidencia. 

  1. Screening: del filtro básico al control técnicamente robusto

2.1. Cobertura real y lógica multifuente 

Un error habitual consiste en afirmar que “se hace screening” cuando en realidad se filtra únicamente a la contraparte contractual directa, en el momento del onboarding, contra una única lista, sin re-screening por eventos, y sin incluir bancos, beneficiarios efectivos, buques o mercancía. 

Un sistema eficaz, por el contrario, define la cobertura por capas: cliente/proveedorUBOintermediariosentidad financierabuque/rutamercancía/código, y lo hace con lógica basada en riesgo y multijurisdicción, incorporando al menos listas UE y ONU y, cuando exista exposición, listas relevantes de terceros países por riesgo extraterritorial. 

2.2. Calidad técnica del filtrado: evitar falsos negativos 

Si el objetivo operativo del screening es evitar que una operación prohibida “pase”, el indicador crítico no es la tasa de falsos positivos (aunque impacte en eficiencia), sino la minimización de falsos negativos, que son los que generan exposición directa. 

En la práctica, la eficacia exige: 

  • fuzzy matching, revisión de alias y transliteraciones, 
  • tratamiento de homónimos, 
  • gestión de entidades vinculadas, 
  • trazabilidad de la alerta (qué saltó, por qué, quién resolvió), 
  • y reglas de decisión consistentes, de modo que la organización no dependa de la intuición individual del analista. 

Esta lógica, además, debe conectarse con un sistema de SLAs: el control debe ser suficientemente rápido para no paralizar el negocio, pero suficientemente exigente para no abrir una brecha sancionadora. 

2.3. Re-screening basado en eventos: el punto ciego más frecuente 

El escenario más común no es el onboarding, sino la designación sobrevenida. Un cliente o banco entra en listas con contratos, mercancía o pagos en marcha. En estos casos, el sistema eficaz funciona como un “cortafuegos”: detecta el evento, activa el stop-the-line y reconstruye el expediente de forma inmediata. 

  1. Propiedad y control: el núcleo de la diligencia debida sancionadora

En la práctica, la mayor parte de incumplimientos graves no se producen porque la organización ignore una lista, sino porque no identifica estructuras owned/controlled o no motiva adecuadamente su conclusión. 

Un sistema eficaz debe: 

  • definir fuentes mínimas para análisis corporativo, 
  • fijar umbrales y criterios (incluyendo control de facto), 
  • activar escalado cuando existan señales de elusión, 
  • y documentar la motivación de la decisión: qué se verificó, cuándo, con qué fuentes, por quién y por qué se concluyó en un sentido u otro. 

 

Además, debe admitir una idea sencilla que a veces se olvida: cuando existen dudas razonables, el estándar prudente no es “seguir adelante y ver qué pasa”, sino suspender preventivamente, escalar y, si procede, consultar a la autoridad competente, dejando constancia de todo ello. 

  1. Stop-the-line, inmovilización y operaciones “inflight”

4.1. La reacción correcta ante una designación sobrevenida 

Cuando una contraparte entra en listas durante la ejecución de un contrato, la respuesta eficaz comienza con un principio operativo claro: stop-the-line. Esto implica congelar pagos, entregas, prestación de servicios y cualquier movimiento económico hasta completar verificación de identidad, propiedad y control. 

A partir de ahí, el sistema debe obligar a evaluar de forma estructurada: 

  1. facturas emitidas, 
  1. mercancía en tránsito, 
  1. servicios parcialmente prestados, 
  1. pagos “in flight”, 
  1. y saldos o devengos vinculados. 

En fondos inmovilizados, debe definirse el tratamiento de intereses/devengos conforme al marco aplicable y a las instrucciones de la autoridad competente, evitando automatismos no analizados. La decisión final (suspender, resolver, solicitar licencia o wind-down, o reanudar si no existe match) debe quedar motivada y documentada. 

4.2. Exenciones, licencias y wind-down: control de condiciones verificables 

En la práctica, las exenciones típicas (humanitarias, necesidades básicas, gastos legales, mantenimiento de activos, pagos estrictamente necesarios, etc.) no son “vías de escape” genéricas, sino supuestos condicionados. Por ello, un sistema eficaz clasifica las exenciones y asocia a cada una: 

  • condiciones verificables, 
  • límites de importe, 
  • destinatarios, 
  • cuentas y plazos, 
  • documentación soporte, 
  • y requisitos de reporting. 

De igual modo, los periodos de wind-down deben gestionarse con calendario, evidencias y trazabilidad end-to-end, asegurando que cualquier pago o entrega se ajusta estrictamente a lo autorizado. 

  1. Anticircunvencióncontractual: del “cumplimiento formal” al control de cadena 

La evolución del régimen sancionador ha trasladado parte de la eficacia al terreno contractual. El ejemplo paradigmático, por su impacto práctico, es la obligación de cláusula “No Russia” del artículo 12g del Reglamento (UE) 833/2014, obligatoria para determinadas ventas/transferencias de bienes sensibles a terceros países, con excepciones específicas. 

Ahora bien, insertar una cláusula no equivale a controlar la elusión. La eficacia requiere entender tres niveles: 

  1. Cláusula obligatoria (cuando aplique), con prohibición explícita de reexportación y remedios adecuados. 
  1. Flow-down: extensión de la prohibición a la cadena contractual posterior, de modo que la empresa europea no se limite a “advertir”, sino que asegure que la restricción se impone aguas abajo. 
  1. Verificabilidad: derechos de auditoría, solicitudes de documentación post-venta, y mecanismos de terminación inmediata cuando la contraparte sea sancionada o incumpla controles de exportación. 

Este “set” contractual —cláusula 12g, flow-down, declaraciones de cumplimiento, auditoría y terminación— no es un adorno jurídico, sino el escudo operativo que permite ejecutar remedios sin improvisación cuando el riesgo se materializa. 

  1. Reportinga la autoridad competente: diseño de circuito, no improvisación 

En España, el cumplimiento eficaz exige diferenciar con precisión competencias y circuitos. En sanciones financieras, la autoridad competente es la Secretaría General del Tesoro y Financiación Internacional (SGTFI). En sujetos obligados, el SEPBLAC supervisa sistemas de filtrado y coherencia con el marco PBC/FT, pero ello no sustituye el reporting específico de sanciones financieras a Tesoro. 

Un sistema eficaz define, antes de que ocurra el incidente: 

  • quién comunica, 
  • qué se comunica, 
  • en qué plazo, 
  • por qué canal, 
  • y cómo se documenta la comunicación y la respuesta recibida. 

Si el procedimiento de reporting no está diseñado y ensayado, la organización corre el riesgo de incurrir en retrasos, inconsistencias o falta de evidencia, que a la postre suelen ser el elemento que transforma un incidente gestionable en un problema estructural. 

  1. Documentación probatoria: “cumplir y poder demostrarlo”

En sanciones internacionales rige un principio operativo que, en realidad, es un principio probatorio: cumplir y poder demostrarlo. Esto implica que el expediente sancionador debe permitir reconstruir la operación completa con lógica end-to-end: 

Contraparte → UBO → bien/servicio → ruta → pago → decisión → evidencia 

En términos mínimos, debe integrar resultados de screening y owned/controlled, contratos y cláusulas (incluido 12g), documentación comercial y logística (COO, BL, rutas, seguros), licencias/exenciones, consultas a autoridad, reporting, y decisiones internas con identificación de responsables. 

PARTE III: El marco español y la gobernanza interna que evita fallos de coordinación 

  1. España: mapa funcional de autoridades y puntos de fricción típicos

Para un programa sancionador operativo, distinguir competencias no es un formalismo, sino una condición de eficacia: 

  • SGTFI: autoridad competente en sanciones financieras (congelaciones, comunicaciones, autorizaciones y exenciones). 
  • SEPBLAC: supervisión (en sujetos obligados) de filtros y procesos en el marco PBC/FT, complementario al reporting específico de sanciones. 
  • AEAT (Aduanas): control en frontera y trazabilidad documental en import/export. 
  • Secretaría de Estado de Comercio: licencias de exportación, doble uso, catch-all y circuito de autorizaciones comerciales. 

La falta de claridad en estos circuitos genera errores de canal, plazos y evidencias, que además pueden ser interpretados como un déficit organizativo más que como un incidente puntual. 

  1. Gobernanza: la figura responsable y el modelo de decisión

Un sistema sancionador eficaz necesita una función responsable (Sanctions Officer o equivalente) con autoridad para coordinar Legal, Finanzas/Tesorería, Logística/Trade, Compras/Ventas e IT/Data, porque los fallos graves suelen ser fallos de coordinación. 

En la práctica, la gobernanza se materializa mediante tres herramientas: 

  1. RACI claro entre funciones, de modo que se sepa quién ejecuta, quién decide, a quién se consulta y a quién se informa. 
  1. Principio de “cuatro ojos” para decisiones sensibles (match confirmado, owned/controlled, solicitud de licencia, liberación o bloqueo), y comité de excepciones cuando el impacto sea alto, con acta breve. 
  1. SLAs por riesgo, evitando que la operativa se paralice por indefinición: tiempos máximos de triaje, escalado y resolución, con priorización para bienes CHPI, rutas de alto riesgo y estructuras de pago sensibles. 

PARTE IV: Controles por cadenas de valor: donde realmente se gana o se pierde la eficacia 

  1. Pagos ytradefinance: la operación no es el contrato, es la cadena de pago 

Las buenas prácticas recomiendan estructurar controles por flujos reales de negocio. En pagos, ello exige analizar bancos intermediarios, mensajería financiera y documentación de soporte, porque el riesgo extraterritorial y de elusión puede materializarse en la propia estructura del pago. 

Por ello, un sistema eficaz debe: 

  • filtrar no sólo al cliente, sino también bancos participantes, 
  • documentar la cadena de pago, 
  • establecer controles sobre conceptos de pago y documentos asociados, 
  • y prever escenarios de interrupción: cómo se congela, cómo se devuelve, qué se comunica y con qué evidencias. 
  1. Logística y marítimo: AIS, STS,KYCgy verificación del buque (no sólo del operador) 

En logística internacional, especialmente en energía y determinadas rutas, el riesgo se desplaza a prácticas que actúan como señales de alarma: manipulación del AIS (apagado o spoofing), transferencias ship-to-ship (STS) para mezclar cargas y ocultar origen, y flag hopping. 

Un control eficaz exige “Know Your Cargo” (KYCg) y verificación de coherencia documental: BL, COO, rutas, seguros (incluido P&I), número IMO del buque y consistencia con el tipo de operación. Además, cuando existan listados específicos de buques sancionados, el cribado debe hacerse por identificadores técnicos (p.ej., IMO), no por denominaciones comerciales, precisamente porque los cambios de bandera o propiedad se utilizan para dificultar la identificación. 

  1. Producto y tecnología: CN/HS, doble uso, catch-allyCHPIs 

En comercio exterior, la eficacia se juega en cuatro capas técnicas: 

  1. Clasificación arancelaria CN/HS, como punto de entrada del control sancionador. Un error de clasificación puede habilitar una exportación prohibida o crear un incumplimiento incluso en escenarios de buena fe. 
  1. Doble uso (Reglamento (UE) 2021/821), inseparable del control sancionador, porque muchos bienes prohibidos a Rusia se ubican en esa frontera técnica. 
  1. Catch-all, para cerrar zonas grises cuando existen indicios razonables de uso militar, desvío o elusión, habilitando suspensión preventiva y consulta a autoridad. 
  1. CHPIs (Common High Priority Items), identificados como foco de primer orden, que requieren Enhanced Due Diligence, verificación de usuario final y, cuando proceda, pruebas de entrega (post-shipment verification) para reducir el riesgo de desvío hacia Rusia. 

PARTE V: Gestión de incidentes, formación y auditoría interna: cómo “probar” que el sistema funciona 

  1. Gestión de incidentes: del caso individual al aprendizaje del sistema

Un incidente sancionador, bien gestionado, debe terminar en una mejora del sistema. Para ello, la organización necesita un procedimiento que: 

  • asegure el stop-the-line, 
  • establezca árbol de decisión (confirmación de match, owned/controlled, licencia/exención, resolución contractual), 
  • determine reporting y custodia documental, 
  • y cierre con análisis de causa raíz y acciones correctoras. 

Sin esta estructura, la empresa se limita a “apagar fuegos” y, en la repetición, el sistema se degrada. 

  1. Formación segmentada: la eficacia depende del puesto, no del organigrama

El enfoque formativo eficaz no es genérico, sino segmentado por exposición: 

  • Compras/Ventas: señales de elusión, países/rutas, cláusulas contractuales, end-use/end-user. 
  • Logística/Trade: documentación, rutas, STS/AIS, KYCg, IMO, seguros. 
  • Finanzas/Tesorería: cadena de pagos, bancos intermediarios, stop-the-line, reporting. 
  • IT/Data: calidad de datos, integraciones, trazabilidad de screening. 
  • Alta dirección: apetito de riesgo, decisiones de continuidad operativa y excepciones. 
  1. Auditoríaend-to-endy pruebas de estrés 

La auditoría más útil es la que reconstruye expedientes completos y verifica la secuencia end-to-end. Además, el sistema debería someterse a pruebas de estrés: simulaciones de designación sobrevenida, escenarios de bienes CHPI, rutas marítimas con señales de shadow fleet, o pagos complejos con intermediarios. Este tipo de pruebas no sólo detecta fallos, sino que entrena a la organización en decisión y documentación. 

PARTE VI: Autoevaluación práctica: checklist, KPIs y modelo de madurez 

  1. Checklistoperativo: doce elementos críticos 

Un enfoque práctico de autoevaluación combina checklist de controles esenciales y KPIs que midan funcionamiento real. El checklist, articulado en elementos críticos, debe verificar, entre otros, la existencia de política aprobada, mapa de exposición, screening multilista con trazabilidad, análisis owned/controlled, re-screening por eventos, catálogo CN/HS + doble uso + CHPIs, cláusulas 12g + flow-down + auditoría + terminación, controles logísticos (AIS/STS/KYCg, IMO, BL, COO, seguros), controles de pagos y mensajería, gestión de incidentes con cuatro ojos, reporting a SGTFI (y, en su caso, coherencia con SEPBLAC), formación segmentada y auditoría end-to-end. 

  1. KPIs: pasar de “tener controles” a “demostrar que funcionan”

El cuadro mínimo de KPIs debería incluir: 

  • porcentaje de operaciones con screening completo (cliente, UBO, banco, buque, mercancía), 
  • tasa de falsos positivos y falsos negativos, 
  • tiempo medio de resolución de alertas (MTTR de Compliance), 
  • porcentaje de contratos sensibles con cláusula 12g y flow-down, 
  • porcentaje de expedientes logísticos con verificación AIS/STS/KYCg completa, 
  • porcentaje de operaciones CHPI con due diligence reforzada, 
  • número de incidentes reportados y tiempos de reporte, 
  • resultados de auditoría interna y cierre de acciones. 

Estos indicadores deben revisarse periódicamente por Compliance y, al menos de forma agregada, por el órgano de administración, porque conectan eficacia con gobierno corporativo. 

  1. Modelo de madurez (nivel 1 a 4): explicar dónde está la organización y hacia dónde debe evolucionar

Como cierre especialmente útil para empresas que ya operan con controles, puede emplearse un modelo evolutivo: 

  • Nivel 1 (reactivo): screening básico y cumplimiento formal de listas UE. 
  • Nivel 2 (controlado): propiedad y control, re-screening y reporting estructurado. 
  • Nivel 3 (robusto): integración de 12g y flow-down, KYCg, CHPI, auditoría end-to-end. 
  • Nivel 4 (predictivo): analítica avanzada de rutas y pagos, detección de patrones de elusión y pruebas de estrés sistemáticas. 

Este modelo permite convertir la revisión de eficacia en una conversación de mejora continua, evitando tanto la autocomplacencia (“ya lo tenemos”) como la parálisis (“es imposible controlarlo todo”). 

CONCLUSIÓN: coherencia del modelo y mejora continua como estándar 

El sistema sancionador no se sostiene por piezas sueltas, sino por la coherencia entre screening, propiedad y control, stop-the-line, anticircunvención contractual, reporting y documentación. Si una de estas obligaciones se debilita, el sistema entero pierde eficacia, porque la elusión y el incumplimiento tienden a materializarse exactamente en los puntos donde la organización está menos coordinada o menos preparada para demostrar lo que hizo. 

Por ello, mantener un sistema eficaz no equivale a aumentar indefinidamente controles, sino a asegurar cuatro condiciones que, en la práctica, son las que distinguen a los programas maduros:  

  1. Gobernanza clara con decisiones trazables,  
  1. Controles por cadenas de valor y no por silos,  
  1. Reporting y respuesta ensayados,  
  1. Expediente probatorio end-to-end. Cuando estas condiciones se cumplen, el sistema deja de ser un “conjunto de verificaciones” y se convierte, de forma real, en un instrumento de continuidad operativa y defensa administrativa y penal. 

 Autor : Francisco Bonatti Bonet 

Deja una respuesta