Ir al contenido
W K
GoBD: n/a Conforme §203 StGB

Agente de Detección de Fraude

El Compliance Officer y el director financiero afrontan cinco frentes sancionadores a la vez: la estafa del Código Penal (art. 248-251), la multa de hasta 9 millones de euros a la persona jurídica de la LO 5/2010, las sanciones del SEPBLAC en prevención del blanqueo (de 150.000 a 10 millones de euros), el modelo 232 de la AEAT y la sanción de la AEPD del 4% de la facturación.

Detecta facturas duplicadas, proveedores fantasma y blanqueo de capitales conforme al Código Penal y a la Ley 10/2010 de PBC/FT, listo para el SEPBLAC.

Analizar su proceso

Una selección de más de 5.000 proyectos en 25 años de desarrollo de software

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

El Código Penal, la LO 5/2010, el SEPBLAC, la AEAT y la AEPD imponen cinco frentes que exigen un antifraude certificable desde el diseño

El agente detecta el fraude según el Código Penal (estafa del art. 248-251, apropiación indebida del 252 y falsedad documental del 290), la responsabilidad penal de la persona jurídica de la LO 5/2010 y la Ley 10/2010 de prevención del blanqueo. Valida de forma determinista las facturas duplicadas y los proveedores fantasma contra el censo de la AEAT, el Registro Mercantil y el titular real, detecta los deepfakes de IA generativa mediante un análisis multimodal (metadatos, estructura del PDF y reconocimiento de patrones por OCR), cruza los datos con Verifactu (RD 1007/2023) y el servicio web del SII en el plazo de 4 días de la AEAT y comunica las operaciones sospechosas al SEPBLAC en los formatos F19 y F22, todo ello de forma 100% determinista, sin IA generativa en las decisiones materiales sobre la comunicación penal.

Resultado: Una cobertura completa (por encima del 5% del volumen, según el benchmark de la ACFE) reduce la exposición sancionadora en los cinco frentes. El cruce con Verifactu y el SII elimina el riesgo de la LGT (art. 191-203, del 50 al 150% del importe omitido), un programa conforme a la UNE 19601 y la ISO 37001 atenúa la responsabilidad penal de la LO 5/2010 hasta la exoneración del art. 31 bis 4 del Código Penal y el auditor externo de las Big Four reduce los honorarios entre un 15 y un 25% gracias a la evidencia continua de la NIA-ES 240.

47% Motor de reglas
33% Agente IA
20% Humano

Quince puntos decisivos deterministas, con tres escalados humanos - la comunicación al SEPBLAC, la escalación al Compliance Officer bajo la LO 5/2010 y el reporte a la Comisión de Auditoría y la CNMV - , construyen un rastro de auditoría para el SEPBLAC, la AEAT, el ICAC, la CNMV y las pruebas sustantivas de las Big Four bajo la NIA-ES 240:

Cinco frentes que el Compliance Officer y el director financiero gestionan según la NIA-ES 240 y la UNE 19601: la estafa del Código Penal (art. 248-251), la multa de hasta 9 millones de euros de la LO 5/2010, las sanciones del SEPBLAC en blanqueo (de 150.000 a 10 millones), el plan antifraude de la AEAT y la sanción de la AEPD del 4% de la facturación

El fraude empresarial en España se encuadra en un marco regulatorio de cinco áreas convergentes: el Código Penal, que tipifica la estafa (art. 248-251), la apropiación indebida (252), la insolvencia punible (253), la falsedad documental societaria (290) y los delitos fiscal y contra la Seguridad Social (305-308); la LO 5/2010, con la responsabilidad penal de la persona jurídica de hasta 9 millones de euros de multa; la Ley 10/2010 de prevención del blanqueo, con el SEPBLAC como supervisor y sanciones de 150.000 a 10.000.000 de euros; el Plan Anual de Inspección antifraude de la AEAT, con cruces de Verifactu, el SII, el CRS, la DAC6 y el Pilar Dos; el ICAC, con la responsabilidad antifraude del auditor de la NIA-ES 240 y sanciones al auditor de 12.000 a 720.000 euros; y la AEPD, con la sanción de hasta el 4% de la facturación por las decisiones automatizadas del art. 22 de la LOPDGDD. Una empresa mediana (1.500 empleados, 250 millones de euros de facturación) tiene una exposición sancionadora potencial de entre 35 y 65 millones de euros anuales sin un antifraude integrado certificable desde el diseño, según los datos consolidados del informe Report to the Nations 2024 de la ACFE, la memoria del SEPBLAC y el Plan de la AEAT de 2025.

El Código Penal, la LO 5/2010, el SEPBLAC, la AEAT y la AEPD: cinco frentes sancionadores que exigen un antifraude certificable desde el diseño

El Código Penal tipifica en sus artículos 248-251 la estafa (hasta 6 años de prisión), con agravantes especiales en el art. 250 (importe superior a 50.000 euros, abuso de confianza, vivienda u organización criminal). El art. 252 castiga la apropiación indebida (hasta 6 años) y el art. 253, la insolvencia punible. El art. 290 tipifica la falsedad documental societaria (hasta 3 años de prisión y multa de 6 a 12 meses), un delito típico asociado a la manipulación contable o a las facturas falsas. El art. 305 castiga el delito fiscal por cuota defraudada superior a 120.000 euros (hasta 6 años de prisión y multa de hasta 6 veces la cuota) y el art. 308, el delito contra la Seguridad Social por cuota superior a 50.000 euros. El art. 282 sanciona la información engañosa a los mercados en las sociedades cotizadas, con hasta 6 años de prisión.

La LO 5/2010 introdujo la responsabilidad penal de la persona jurídica (CP art. 31 bis a 31 quinquies), con multas de hasta 9 millones de euros, suspensión de actividad hasta 5 años, clausura de locales, prohibición de contratar con el Sector Público hasta 15 años e intervención judicial. La atenuación del art. 31 bis 2 procede cuando el órgano de administración implanta un modelo de compliance conforme a la UNE 19601 y la ISO 37001 ANTES del delito; la exoneración total del art. 31 bis 4 se da cuando el modelo cumple los cuatro requisitos completos. Las sentencias del Tribunal Supremo de 2024 (STS 154/2024 y 234/2024) confirmaron la exoneración de las empresas con el SCIIF y el compliance penal integrados.

El SEPBLAC supervisa la Ley 10/2010 de prevención del blanqueo, con sanciones de 150.000 a 10.000.000 de euros y suspensión de actividad. El Plan Anual de Inspección de la AEAT de 2025 prioriza los cruces automatizados de Verifactu, el SII, el CRS, la DAC6 y el Pilar Dos, con sanciones de la LGT (art. 191-203) del 50 al 150% del importe omitido. La AEPD sanciona con hasta el 4% de la facturación las decisiones automatizadas del art. 22 de la LOPDGDD. La exposición total de una sociedad cotizada del Mercado Continuo (1.500 empleados, 250 millones de euros de facturación) puede acumular entre 35 y 65 millones de euros anuales sin un antifraude certificable desde el diseño.

Quince puntos decisivos deterministas con tres escalados humanos

El agente procesa la detección de fraude mediante una secuencia de 15 puntos decisivos: ocho automatizaciones reglamentadas, cuatro clasificaciones por aprendizaje automático y tres escalados humanos (la comunicación al SEPBLAC en F19 o F22, la escalación al Compliance Officer bajo la LO 5/2010 y el reporte a la Comisión de Auditoría y la CNMV). La clasificación de la entidad obligada por la Ley 10/2010 determina el marco aplicable. Los demás puntos siguen la responsabilidad antifraude de la NIA-ES 240 (testing de asientos en los párrafos 24-27, elusión de controles por la dirección en el 32 y estimaciones en el 41), la matriz de incompatibilidades de la segregación de funciones de la UNE 19601 (art. 5.4), la diligencia debida de proveedores de la ISO 37001 y la transparencia de los sistemas de IA antifraude del art. 50 del Reglamento de IA de la UE.

Un ejemplo concreto: una empresa industrial cotizada del Mercado Continuo (1.200 empleados, 220 millones de euros de facturación) integra Sage 200, a3compliance y AuditBoard. El agente la clasifica como sujeto obligado por la Ley 10/2010, entidad de interés público por la Ley 22/2015 y cotizada ante la CNMV. La detección de duplicados identifica 14 facturas con variaciones de importe inferiores al 5% (mismo proveedor, fechas desplazadas). La detección de anomalías por aprendizaje automático señala 23 asientos del cierre trimestral con un z-score superior a 3 (contabilizados en la madrugada del sábado). El cruce con Verifactu identifica 8 facturas sin registro en la AEAT (discrepancia del 1,8% del volumen, por debajo del umbral significativo del 2% pero con alerta). La detección de deepfakes marca 3 facturas con metadatos inconsistentes (PDF generado fuera del horario de la empresa proveedora). El análisis de round-tripping detecta un patrón circular A-B-C-A de 180.000 euros a través del paraíso fiscal de Curazao. Todo ello desencadena la comunicación al SEPBLAC en F19, la escalación al Compliance Officer, el reporte a la Comisión de Auditoría y el Hecho Relevante a la CNMV en 24 horas.

Cross-check Verifactu y SII fasciado 2025-2026 elimina riesgo LGT 191-203

Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas y se extiende de forma escalonada a todas las empresas hasta el 1 de enero de 2026. Cada factura debe llevar un número Verifactu único, un esquema XAdES certificado por la AEAT y una firma electrónica FNMT-RCM ICP-España. El cruce entre las facturas emitidas, el registro Verifactu y la declaración del SII en el plazo de 4 días de la AEAT es obligatorio. Las discrepancias superiores al 2% del volumen suponen sanción de la LGT (art. 191-203, del 50 al 150% del importe omitido) y un posible delito fiscal (CP art. 305) si la cuota defraudada supera los 120.000 euros. El Plan Anual de Inspección de la AEAT de 2025 prioriza los cruces automatizados de Verifactu y el SII para detectar el fraude estructural, y las empresas con un sistema certificable desde el diseño reducen el riesgo de selección para inspección en un 40% según los datos de la AEAT de 2024.

La comunicación al SEPBLAC en F19 y F22 y la atenuación de la UNE 19601 bajo el art. 31 bis del Código Penal

Los sujetos obligados (Ley 10/2010, art. 2) deben comunicar las operaciones sospechosas al SEPBLAC en los formatos F19 (intención de la operación) y F22 (operación ejecutada), en un plazo máximo de 30 días desde su conocimiento. La falta de comunicación se sanciona con entre 150.000 y 10.000.000 de euros (art. 57) y puede constituir blanqueo de capitales (CP art. 301, hasta 6 años de prisión). La comunicación de buena fe al SEPBLAC exonera de responsabilidad penal y administrativa (art. 24). La Circular 4/2014 del Banco de España amplía los requisitos de las entidades de crédito: un modelo de riesgo por geografía, cliente, producto y canal de distribución, con revisión anual del auditor interno y del externo. Un programa conforme a la UNE 19601 y la ISO 37001 atenúa la responsabilidad (CP art. 31 bis 2) hasta la exoneración total (art. 31 bis 4) cuando el modelo cumple los cuatro requisitos. El agente automatiza el monitoreo, las alertas, la comunicación en F19 y F22 y el rastro de auditoría penal.

Integración con el ecosistema español: Sage GRC, A3, SAP GRC, AuditBoard y las API de la AEAT, el SEPBLAC y la CNMV

El agente se integra con los sistemas GRC y ERP españoles vía API: Sage 200 y Sage Despachos Connected con los módulos Sage GRC y Sage Compliance, A3 Software (a3con, a3asesor y a3ERP de Wolters Kluwer Spain) con el módulo antifraude a3compliance, SAP S/4HANA Spain Localization con SAP GRC, Process Control, Access Control y Risk Management (multinacionales del IBEX-35), Oracle Fusion Cloud ERP Spain con Oracle Risk Management Cloud y Oracle Financial Services AML, Microsoft Dynamics 365 Business Central Spain con Microsoft Purview Compliance y Microsoft Sentinel SIEM, Cegid Quadra Spain con el módulo Cegid GRC y Holded Cloud con Factorial. Entre las plataformas GRC dedicadas figuran AuditBoard, Workiva, MetricStream y ServiceNow GRC. La integración con las administraciones cubre la AEAT (API de Verifactu, servicio web del SII, censo de la AEAT, modelo 232 y certificado FNMT-RCM ICP-España), el SEPBLAC (formatos F19 y F22 y Memoria anual de prevención del blanqueo), la CNMV (Hechos Relevantes y sección F del IAGC sobre el SCIIF), el Banco de España (Circular 4/2014 de las entidades de crédito) y la AEPD (registro de actividades de tratamiento y evaluaciones de impacto del art. 22 de la LOPDGDD). Las pruebas sustantivas de las Big Four bajo la NIA-ES 240 se soportan mediante exportación directa a Deloitte ASM, PwC Halo, EY Helix y KPMG Clara, con metadatos de rastro de auditoría de las NIA-ES, la PCAOB AS 1215 y el ROAC del ICAC. Entre las herramientas CAAT profesionales soportadas para el testing automatizado de asientos figuran ACL Robotics, IDEA y Galvanize HighBond.

Tabla de microdecisiones

¿Quién decide en este agente?

15 pasos de decisión, separados por decisor

47%(7/15)
Motor de reglas
determinístico
33%(5/15)
Agente IA
basado en modelo con confianza
20%(3/15)
Humano
asignación explícita
Humano
Motor de reglas
Agente IA
Cada fila es una decisión. Expanda para ver el registro de decisión y si se puede impugnar.
Clasificación de la entidad como sujeto obligado en prevención del blanqueo ¿Es la empresa sujeto obligado según el art. 2 de la Ley 10/2010? Lo son las entidades de crédito, aseguradoras y gestoras, los casinos, los joyeros con efectivo superior a 15.000 euros, las inmobiliarias y los abogados, auditores y asesores fiscales. Motor de reglas Auditor

Los sujetos obligados deben implantar un Manual de prevención del blanqueo, designar un Órgano de Control Interno y comunicar las operaciones sospechosas al SEPBLAC; el incumplimiento se sanciona con entre 150.000 y 10.000.000 de euros (Ley 10/2010, art. 56-58) y el criterio de la AEPD limita el perfilado a los sujetos obligados o autorizados conforme a la ISO 37001

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Detección de facturas duplicadas, exactas y en variantes ¿Existe una factura duplicada exacta, con el mismo número, NIF e importe, o una variante con el importe ligeramente modificado, la fecha desplazada o la descripción alterada? Motor de reglas Proveedor

Un duplicado exacto puede constituir estafa (CP art. 248) o falsedad documental (art. 290); el cruce con Verifactu (RD 1007/2023) y el servicio web del SII es obligatorio, y las Big Four consideran la detección de duplicados un control antifraude primario bajo la NIA-ES 240

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Proveedor

Detección de proveedores fantasma (sociedades pantalla) ¿Existe un proveedor sin actividad real, con el NIF inactivo en el censo de la AEAT, sin domicilio fiscal verificable, con el titular real oculto o de alta reciente sin operaciones previas? Agente IA Proveedor

Un proveedor fantasma supone riesgo de delito fiscal (CP art. 305), blanqueo (Ley 10/2010) o insolvencia punible mediante testaferro (CP art. 253); el agente cruza el censo de la AEAT, el Registro Mercantil, la Lista Robinson y el titular real (Ley 10/2010, art. 4)

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Proveedor

Anomalías contables por horarios atípicos y fraccionamiento de umbrales (ML) ¿Hay asientos contabilizados fuera del horario laboral (después de las 22h, en fines de semana o festivos) o un fraccionamiento de umbrales con varias facturas justo por debajo del límite de aprobación? Agente IA

Una contabilización atípica es un indicador de elusión de controles por la dirección bajo la NIA-ES 240 y un posible delito de falsedad documental societaria (CP art. 290); el aprendizaje automático detecta z-score superior a 3, primer dígito de Benford y agrupación temporal, y el auditor externo testea los asientos según el párrafo A41

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Verificación de la autenticidad documental (deepfake de IA) ¿Es la factura un deepfake generado por IA generativa? Lo delatan los metadatos inconsistentes, una estructura de PDF atípica, un reconocimiento de patrones por OCR anómalo o una validación del NIF-IVA fallida. Agente IA Proveedor

Los deepfakes de IA sortean la validación visual humana; el agente combina el análisis de autenticidad por LLM, la verificación XSD de Verifactu, el cruce con el censo de la AEAT y la validación del NIF-IVA contra la API de la AEAT, siguiendo el criterio de SAP Concur (2024) de no fiarse de lo que ven los ojos

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Proveedor

Cruce con Verifactu y el SII de la AEAT ¿Coincide la factura procesada con el registro de Verifactu, por número y esquema certificado, y con la declaración del SII presentada en el plazo de 4 días de la AEAT? Motor de reglas Auditor

Verifactu es obligatorio de forma escalonada entre el 1/7/2025 y el 1/1/2026, y el SII lo es para empresas de más de 6 millones de euros; una discrepancia superior al 2% del volumen supone sanción de la LGT (art. 191-203, del 50 al 150% del importe omitido) y un posible delito fiscal (CP art. 305) si la cuota defraudada supera los 120.000 euros; las Big Four consideran este cruce un control sustancial bajo la NIA-ES 330

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Detección de fraude en gastos de viaje (T&E) ¿Existe una doble presentación del gasto, con el mismo recibo en dos viajes, un importe inflado, un gasto personal disfrazado de empresa, un kilometraje irreal o un per diem duplicado? Motor de reglas Empleado

El fraude en gastos de viaje puede constituir apropiación indebida (CP art. 252) o falsedad documental (art. 290); afecta a los modelos 145 y 232 de la AEAT, conlleva sanciones de la LGT del 50 al 150% y responsabilidad personal del empleado (CP art. 252), y el canal de denuncia de la Ley 2/2023 es obligatorio para las empresas de más de 50 empleados

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Empleado

Detección de round-tripping y blanqueo (PBC/FT) ¿Hay flujos circulares de dinero (A-B-C-A), pagos sin causa económica, transacciones fragmentadas por debajo del umbral del SEPBLAC, paraísos fiscales o titulares reales opacos? Agente IA Auditor

El round-tripping es un indicador de blanqueo (Ley 10/2010 y CP art. 301) y obliga a comunicarlo al SEPBLAC en los formatos F19 y F22; la Circular 4/2014 del Banco de España exige un modelo de riesgo por geografía, cliente y producto, y la falta de comunicación se sanciona con entre 150.000 y 10 millones de euros (Ley 10/2010, art. 57)

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Auditor

Verificación de la segregación de funciones (SoD) entre módulos ¿Hay un usuario que combine roles incompatibles - el alta del proveedor, la aprobación de la factura, la autorización del pago y la conciliación bancaria - cruzando los módulos del ERP? Motor de reglas Auditor

Un conflicto de segregación de funciones es un control antifraude primario bajo la NIA-ES 240 (párrafos 24-27); la UNE 19601 (art. 5.4) exige una matriz de incompatibilidades, la LO 5/2010 atenúa la responsabilidad penal (CP art. 31 bis 2) cuando un modelo de segregación efectivo previene el delito y el ICAC sanciona al auditor con entre 12.000 y 72.000 euros si no detecta la deficiencia

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Validación de la firma digital y el certificado FNMT-RCM ¿Es válida la firma electrónica del documento conforme al Reglamento eIDAS (UE 910/2014), la Ley 6/2020 de servicios de confianza y la cadena de certificados FNMT-RCM ICP-España? Motor de reglas Proveedor

Una firma inválida puede constituir estafa informática (CP art. 248.2) o falsedad de documento público (art. 392); la FNMT-RCM emite certificados ICP-España con una validez máxima de 5 años, Verifactu exige firma electrónica con esquema XAdES y la comprobación del estado de revocación por OCSP y CRL es obligatoria

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Proveedor

Cálculo del score de riesgo de fraude consolidado (ML) ¿Cuál es el score consolidado de riesgo de fraude para esta transacción - probabilidad por impacto por indicadores combinados - según la ISO 31000 y la UNE 19601? Agente IA Proveedor

El score consolidado integra todos los módulos de detección junto con los factores de industria, país (paraísos fiscales), cliente e importe; el art. 22 de la LOPDGDD exige transparencia algorítmica y derecho a explicación, y el art. 50 del Reglamento de IA de la UE impone transparencia a los sistemas de IA antifraude de riesgo limitado

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Proveedor

Comunicación de operación sospechosa al SEPBLAC (formatos F19 y F22) ¿Supera el caso el umbral de comunicación obligatoria al SEPBLAC, con sospecha fundada de blanqueo o financiación del terrorismo según el art. 18 de la Ley 10/2010? Humano Auditor

La comunicación al SEPBLAC requiere el juicio profesional del Órgano de Control Interno, dentro de un plazo máximo de 30 días desde su conocimiento; comunicarla exonera de responsabilidad penal y administrativa (Ley 10/2010, art. 24) y omitirla se sanciona con entre 150.000 y 10 millones de euros (art. 57); es un escalado obligatorio al Compliance Officer y al director jurídico

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Escalación al Compliance Officer y al Comité Ético (LO 5/2010) ¿Apunta el caso a un posible delito de los tipificados en el art. 31 bis del Código Penal, como el cohecho, el blanqueo, el fraude fiscal, el abuso de mercado o la falsedad documental? Humano Auditor

El Compliance Officer y el director jurídico evalúan el riesgo penal de la persona jurídica; un programa conforme a la UNE 19601 y la ISO 37001 atenúa la responsabilidad (CP art. 31 bis 2) hasta la exoneración total (art. 31 bis 4); el canal de denuncia de la Ley 2/2023 y la protección del informante son obligatorios, y la comunicación a la Comisión de Auditoría se rige por el art. 529 quaterdecies de la LSC

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Generación del Decision Record y el rastro de auditoría FNMT-RCM ¿Está el Decision Record completo, con marca temporal, firma electrónica FNMT-RCM y la retención legal que exige cada marco: 6 años por la contabilidad (LSC art. 30), 10 años en prevención del blanqueo (Ley 10/2010) y 4 años por la prescripción de la LGT (art. 70)? Motor de reglas Auditor

El rastro de auditoría es evidencia digital admisible como prueba documental (Ley 6/2020 de servicios de confianza y LEC art. 384); la conservación exigida es de 4 años para la AEAT, 10 años en prevención del blanqueo (Ley 10/2010) y 6 años para la contabilidad (LSC art. 30), y el ICAC verifica ese rastro al supervisar a los auditores

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Reporte a la Comisión de Auditoría y Hechos Relevantes de la CNMV ¿Requiere el caso un reporte a la Comisión de Auditoría (LSC art. 529 quaterdecies) o la publicación de un Hecho Relevante ante la CNMV (art. 226 de la LMV) en las sociedades cotizadas? Humano Auditor

Decisión estratégica que pondera la materialidad financiera, el impacto reputacional y el riesgo de información engañosa (CP art. 282); las sociedades cotizadas están obligadas a publicar un Hecho Relevante en 24 horas desde su conocimiento; la Comisión de Auditoría reporta trimestralmente y de forma inmediata los casos materiales, y la CNMV impone sanción administrativa de hasta 600.000 euros, con posible sanción penal

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Registro de decisión y derecho a impugnar

Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Las partes afectadas (empleados, proveedores, auditores) pueden revisar, comprender e impugnar cada decisión individual.

¿Qué regla en qué versión se aplicó?
¿En qué datos se basó la decisión?
¿Quién (humano, motor de reglas o IA) decidió - y por qué?
¿Cómo puede la persona afectada presentar una objeción?
Cómo el Decision Layer lo implementa arquitectónicamente →

¿Este agente encaja en su proceso?

Analizamos su proceso financiero concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.

Analizar su proceso

Notas de governance

GoBD: n/a Conforme §203 StGB

Código Penal (art. 248-308) y responsabilidad penal de la persona jurídica de la LO 5/2010: el Código Penal tipifica la estafa (art. 248-251, hasta 6 años de prisión), la apropiación indebida (art. 252), la insolvencia punible (art. 253), la falsedad documental societaria (art. 290), el delito fiscal por cuota defraudada superior a 120.000 euros (art. 305, hasta 6 años de prisión) y el delito contra la Seguridad Social superior a 50.000 euros (art. 308). La LO 5/2010 introdujo la responsabilidad penal de la persona jurídica (CP art. 31 bis a 31 quinquies), con multas de hasta 9 millones de euros, suspensión de actividad y prohibición de contratar con el Sector Público.

Ley 10/2010 de prevención del blanqueo y SEPBLAC: los sujetos obligados (art. 2) deben implantar un Manual de prevención del blanqueo, designar un Órgano de Control Interno y comunicar las operaciones sospechosas en los formatos F19 y F22 dentro de un plazo máximo de 30 días; el incumplimiento se sanciona con entre 150.000 y 10.000.000 de euros (art. 56-58) y la comunicación exonera de responsabilidad penal y administrativa (art. 24). La Circular 4/2014 del Banco de España exige un modelo de riesgo por geografía, cliente, producto y canal de distribución.

UNE 19601, ISO 37001 y Ley 2/2023 de protección del informante: el compliance penal de la UNE 19601:2017 y el sistema antisoborno de la ISO 37001:2016 atenúan (CP art. 31 bis 2) o excluyen (art. 31 bis 4) la responsabilidad penal. Se requiere que el órgano de administración implante el modelo ANTES del delito, que un órgano autónomo (el Compliance Officer) lo supervise y que exista un canal de denuncia obligatorio para las empresas de más de 50 empleados con protección del informante. Las sentencias del Tribunal Supremo de 2024 confirman la exoneración de las empresas con el compliance integrado.

RGPD, LOPDGDD y Reglamento de IA de la UE sobre decisiones automatizadas: el art. 22 de la LOPDGDD exige transparencia algorítmica, derecho a explicación y revisión humana de las decisiones significativas; el registro de actividades de tratamiento es obligatorio para la detección de fraude, y se requiere una evaluación de impacto (EIPD) cuando hay tratamiento sistemático de evaluación personal (art. 35 del RGPD); la AEPD sanciona con hasta el 4% de la facturación. El art. 50 del Reglamento de IA de la UE impone transparencia a los sistemas de IA y los clasifica como de riesgo limitado en la detección de fraude.

Contribución a la documentación de procesos

Cada detección documenta el caso evaluado, los módulos activados (duplicados, sociedad fantasma, deepfake, round-tripping, segregación de funciones y fraude en gastos), el score consolidado, los indicadores combinados, las transacciones afectadas y la materialidad del importe. En caso de escalado registra además su tipo (comunicación al SEPBLAC en F19 o F22, Compliance Officer, Comisión de Auditoría o Hecho Relevante de la CNMV), el Decision Record con marca temporal y firma electrónica FNMT-RCM ICP-España, el plan de investigación interna con sus plazos y la comunicación a las autoridades. El reporte es trimestral a la Comisión de Auditoría y anual mediante la Memoria de prevención del blanqueo al SEPBLAC. La documentación se archiva con certificado FNMT-RCM durante 6 años (LSC art. 30), 10 años en prevención del blanqueo (Ley 10/2010), 4 años por la prescripción de la LGT y 5 años por la Ley 22/2015 de auditoría.

Evaluación

Agent Readiness 72-79%
Governance Complexity 30-37%
Economic Impact 74-81%
Lighthouse Effect 40-47%
Implementation Complexity 44-51%
Volumen de transacciones Diario

Requisitos previos

  • ERP integrado con módulo antifraude (Sage GRC, a3compliance de A3, SAP GRC con Process Control, Oracle Risk Management, AuditBoard, Workiva o MetricStream)
  • Acceso a los datos transaccionales completos (asientos, pedidos, pagos y gastos de viaje) con una retención de 6 años (LSC art. 30) y 10 años en prevención del blanqueo (Ley 10/2010)
  • Integración por API con el censo de la AEAT, el Registro Mercantil, el titular real, las listas de sanciones de la UE y la OFAC y los paraísos fiscales de la OCDE
  • API de Verifactu con certificado FNMT-RCM ICP-España y servicio web del SII para operaciones de más de 6 millones de euros de facturación
  • Manual de prevención del blanqueo formalizado según la Ley 10/2010, el RD 304/2014 y la Circular 4/2014 del Banco de España, con un Órgano de Control Interno designado
  • Programa de compliance penal conforme a la UNE 19601 y la ISO 37001, con canal de denuncia de la Ley 2/2023 (empresas de más de 50 empleados) y Comité Ético operativo

Contribución a la infraestructura

El Agente de Detección de Fraude es el más intensivo en IA del catálogo de finanzas dentro del Governance Meta-Layer del Decision Layer: integra la detección de anomalías del Agente de Monitorización SCIIF, los datos transaccionales del Agente de Pago, los datos de proveedores del Agente de Solicitud de Compra, los datos de gastos del Agente de Representación y los datos de asientos del Agente de QA de Asientos. Consume los registros de auditoría completos del ERP, las transacciones para la detección de anomalías por aprendizaje automático (z-score, Benford, clustering), los datos de Verifactu y el SII para el cruce, los datos de titular real, las listas de sanciones de la UE y la OFAC y los paraísos fiscales de la OCDE. Entrega el score consolidado de riesgo de fraude, las alertas al SEPBLAC en los formatos F19 y F22, el reporte a la Comisión de Auditoría y el rastro de auditoría penal. Su arquitectura es certificable desde el diseño, con la responsabilidad antifraude del auditor de la NIA-ES 240 y el doble reporte al ICAC, las Big Four, la CNMV y el SEPBLAC.

Qué contiene esta evaluación: 9 diapositivas para su equipo directivo

Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.

  1. 1

    Portada - Nombre del proceso, puntos de decisión, potencial de automatización

  2. 2

    Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización

  3. 3

    Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento

  4. 4

    Arquitectura de solución - Humano - motor de reglas - agente IA

  5. 5

    Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría

  6. 6

    Análisis de riesgos - 5 riesgos con probabilidad e impacto

  7. 7

    Hoja de ruta - Plan de 3 fases con fechas concretas

  8. 8

    Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad

  9. 9

    Propuesta de discusión - Próximos pasos concretos

Incluye: comparación de 3 escenarios

No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.

Mostrar metodología de cálculo

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.

Agente de Detección de Fraude

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Agentes relacionados

Agente de Preparación de Cuentas Anuales

Preparar cuentas anuales - orquestar checklist, redactar anexo, responder consultas del auditor.

W K
Readiness: 42-49%
Economic: 68-75%
Governance: 51-58%
Microdecisiones: 15
Anual

Agente de Monitorización SCIIF

El auditor de cuentas y la Comisión de Auditoría afrontan cuatro frentes a la vez: deficiencias significativas del SCIIF, compliance penal de la LO 5/2010, sanciones de la AEPD de hasta el 4% de la facturación y sanciones del ICAC de entre 12.000 y 72.000 euros.

W K
Readiness: 68-75%
Economic: 70-77%
Governance: 34-41%
Microdecisiones: 15
Diario

Agente de Documentación de Procedimientos

Mantener documentación de procedimientos automáticamente actualizada - reconocer cambios, generar borradores, cerrar lagunas.

K D
Readiness: 61-68%
Economic: 58-65%
Governance: 28-35%
Microdecisiones: 8
Diario

Preguntas frecuentes

Como funciona la responsabilidad penal personas juridicas LO 5/2010 en casos fraude?

La LO 5/2010 introdujo la responsabilidad penal de las personas jurídicas en los artículos 31 bis a 31 quinquies del Código Penal, por delitos cometidos por administradores o empleados (estafa del art. 248, apropiación del 252, falsedad del 290, fraude fiscal del 305, blanqueo del 301 y cohecho del 286 bis). Las sanciones empresariales incluyen multa de hasta 9 millones de euros (art. 33.7), suspensión de actividad hasta 5 años, clausura de locales, prohibición de contratar con el Sector Público hasta 15 años e intervención judicial. La atenuación del art. 31 bis 2 exige que el órgano de administración implantara el modelo de organización y gestión ANTES de cometerse el delito, que su supervisión se confiara a un Compliance Officer como órgano autónomo y que los autores eludieran fraudulentamente el modelo. La exoneración total del art. 31 bis 4 se da cuando un modelo de compliance conforme a la UNE 19601 y la ISO 37001 cumple todos los requisitos. Las sentencias del Tribunal Supremo de 2024 (STS 154/2024 y 234/2024) confirmaron la exoneración de las empresas con el SCIIF y el compliance penal integrados. El agente aporta evidencia continua de la eficacia de los controles antifraude y reduce así el riesgo penal.

Que obligaciones SEPBLAC tiene una empresa segun Ley 10/2010 PBC/FT?

El art. 2 de la Ley 10/2010 define los sujetos obligados en prevención del blanqueo: entidades de crédito, aseguradoras, gestoras de fondos, casinos, joyeros con efectivo superior a 15.000 euros, inmobiliarias, abogados, auditores, asesores fiscales y marchantes de arte. Sus obligaciones son: un Manual de prevención del blanqueo con políticas de conocimiento del cliente, diligencia debida y monitoreo continuo; la designación de un Órgano de Control Interno y un Compliance Officer; la formación anual de la plantilla y un plan de inspecciones; la comunicación de las operaciones sospechosas al SEPBLAC en los formatos F19 (intención de la operación) y F22 (operación ejecutada), en un plazo máximo de 30 días desde su conocimiento; y la abstención de ejecutar la operación cuando haya sospecha fundada que obligue a su bloqueo. La Circular 4/2014 del Banco de España amplía los requisitos de las entidades de crédito: un modelo de riesgo por geografía, cliente, producto y canal de distribución, con revisión anual del auditor interno y del externo. El incumplimiento se sanciona (Ley 10/2010, art. 56-58) con entre 60.001 y 150.000 euros en las infracciones graves y entre 150.001 y 10.000.000 en las muy graves, además de suspensión de actividad y revocación de la autorización. La comunicación de buena fe al SEPBLAC exonera de responsabilidad penal y administrativa (art. 24). El agente automatiza el monitoreo, las alertas y la comunicación en F19 y F22.

Como afecta Verifactu RD 1007/2023 a la deteccion de fraude antifraude?

Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas (más de 6 millones de euros de facturación) y se extiende de forma escalonada a todas las empresas hasta el 1 de enero de 2026. Su impacto antifraude es claro: cada factura debe llevar un número Verifactu único, un esquema XAdES certificado por la AEAT y una firma electrónica FNMT-RCM ICP-España; el cruce entre las facturas emitidas, el registro Verifactu y la declaración del SII en el plazo de 4 días de la AEAT es obligatorio; las discrepancias superiores al 2% del volumen suponen sanción de la LGT (art. 191-203, del 50 al 150% del importe omitido) y un posible delito fiscal (CP art. 305) si la cuota defraudada supera los 120.000 euros; y los deepfakes de IA se detectan mediante la validación XSD de Verifactu, el cruce con el censo de la AEAT y la validación del NIF-IVA. El agente realiza un cruce mensual entre las facturas contabilizadas, Verifactu y el SII; las discrepancias activan una alerta antifraude y el rastro de auditoría ante la AEAT. El Plan Anual de Inspección de la AEAT de 2025 prioriza los cruces automatizados de Verifactu y el SII para detectar el fraude estructural, y las empresas con Verifactu certificable desde el diseño reducen el riesgo de selección para inspección en un 40% según los datos de la AEAT de 2024.

Como funciona el canal denuncia Ley 2/2023 whistleblower en deteccion fraude?

La Ley 2/2023 de protección de las personas informantes traspuso la Directiva UE 2019/1937 y obliga a las empresas de más de 50 empleados a implantar un canal de denuncia interno antes del 17 de diciembre de 2023. Sus características son: un canal anónimo con confirmación de recepción en 7 días y respuesta en un máximo de 3 meses; un responsable del canal independiente que garantice la confidencialidad del informante; protección frente al despido y las represalias laborales durante 2 años, con indemnización por daños; y un ámbito que abarca el blanqueo, el fraude fiscal, los datos personales, la competencia, la salud pública, la contratación pública y el mercado de capitales. En cuanto al compliance penal, el canal de denuncia es obligatorio para un programa conforme a la UNE 19601 y la ISO 37001 como atenuante (CP art. 31 bis 2), y su ausencia o las represalias actúan como agravante penal y conllevan sanción de la AAI de hasta 1 millón de euros (Ley 2/2023, art. 65). Los grupos de más de 249 empleados deben disponer de canal externo ante la Autoridad Independiente de Protección del Informante (AAI). El agente integra el canal de denuncia con la detección de fraude: las alertas internas se activan a través del canal, se escalan al Compliance Officer con la investigación interna documentada y se comunican a la AAI cuando la protección del informante requiere intervención. Las sentencias del Tribunal Supremo de 2024 confirman la protección de los informantes incluso con malicia parcial.

Que es modelo 232 AEAT y como se relaciona con deteccion fraude?

El modelo 232 de la AEAT es una declaración informativa de operaciones vinculadas y paraísos fiscales, obligatoria para las empresas con facturación del grupo superior a 2 millones de euros y operación vinculada superior a 250.000 euros, para cualquier operación con un paraíso fiscal de las listas negra o gris de la OCDE y para las operaciones superiores a 100.000 euros con personas o entidades vinculadas. El plazo es de 11 meses tras el cierre del ejercicio (noviembre de 2026 para el ejercicio 2025). El Plan Anual de Inspección de la AEAT de 2025 prioriza los cruces automatizados del modelo 232 con el país de la participación accionarial, el titular real, el régimen DAC6 de mecanismos transfronterizos reportables, el intercambio automático de información fiscal del CRS y el impuesto mínimo del 15% del Pilar Dos para las multinacionales de más de 750 millones de euros. La detección de fraude integra el modelo 232: en precios de transferencia (art. 16 de la LIS), las desviaciones superiores al 5% del benchmark suponen riesgo de ajuste, sanción del 50 al 150% y un posible delito fiscal (CP art. 305); el round-tripping con paraísos fiscales supone riesgo de blanqueo (Ley 10/2010) y activa una alerta al SEPBLAC. El agente automatiza la preparación del modelo 232, el cruce de las vinculadas, la alerta por desviación del benchmark y la escalación al Compliance Officer. Las empresas con el modelo 232 certificable desde el diseño reducen el riesgo de inspección de la AEAT en precios de transferencia en un 35%.

Como prepara el agente NIA-ES 240 Fraud Auditor Responsibility para Big-4?

La NIA-ES 240 (Norma Internacional de Auditoría de España 240) regula la responsabilidad del auditor sobre el fraude en los estados financieros: el párrafo 5 le obliga a obtener una seguridad razonable de que están libres de incorrecciones materiales por fraude; el párrafo 13 exige una actitud de escepticismo profesional; los párrafos 24-27, el testing de los asientos contables; el párrafo 32, la evaluación de la elusión de controles por la dirección; y el párrafo 41, el testing retrospectivo de las estimaciones contables. Las Big Four españolas (Deloitte, PwC, EY y KPMG) y las firmas medianas (BDO, Mazars, Grant Thornton, RSM y Auren) implementan la NIA-ES 240 mediante la analítica de datos en el testing de asientos (herramientas CAAT como ACL Robotics, IDEA y Galvanize HighBond), la detección de anomalías por aprendizaje automático para asientos atípicos, el cruce de los asientos con Verifactu y el SII, el análisis del primer dígito de Benford y la agrupación temporal de los asientos de cierre. El agente prepara automáticamente la matriz de riesgos materiales de fraude por proceso (NIA-ES 315), la documentación de los controles antifraude operativos (NIA-ES 330), el testing del 100% de los asientos frente al muestreo manual del 5-10%, la detección continua de anomalías frente al control puntual anual y el cruce con Verifactu y el SII frente a la conciliación manual. Las empresas con el SCIIF y el antifraude certificables desde el diseño reportan una reducción de los honorarios de auditoría del 15-25% y del alcance de las pruebas sustantivas del 30-40% según el benchmarking de AECA y el ICAC.

Como interactua deepfake IA generativa con LOPDGDD y EU AI Act en deteccion fraude?

Los deepfakes de IA generativa (facturas falsas, contratos firmados o documentos de identidad sintéticos) son una amenaza creciente: SAP Concur reportó en 2024 un aumento del 300% de las falsificaciones por IA generativa frente a 2022, y su responsable Chris Juneau advirtió de no fiarse de lo que ven los ojos. La detección antifraude con IA debe cumplir un doble marco. Por un lado, el art. 22 de la LOPDGDD (LO 3/2018) exige, para las decisiones automatizadas con efectos jurídicos significativos, transparencia algorítmica, derecho a explicación, revisión humana y una evaluación de impacto obligatoria (art. 35 del RGPD) cuando hay perfilado sistemático. Por otro, el Reglamento de IA de la UE (2024/1689) clasifica los sistemas de IA antifraude como de riesgo limitado y, en su art. 50, impone transparencia: el usuario debe saber que interactúa con una IA, los datos de entrenamiento deben estar documentados y el sesgo debe probarse. El agente cumple ambos: la detección de deepfakes combina el análisis de autenticidad documental por LLM, la verificación XSD de Verifactu, el análisis de metadatos, el reconocimiento de patrones por OCR y la validación del NIF-IVA; las decisiones algorítmicas tienen escalación humana obligatoria en las decisiones materiales (comunicación al SEPBLAC, escalación al Compliance Officer y reporte a la Comisión de Auditoría); y cada Decision Record documenta el modelo de IA empleado, las variables, el score, la confianza, el revisor humano y la fundamentación. El criterio 0/2024 de la AEPD sobre detección de fraude con IA confirma la legitimidad del interés legítimo (art. 6.1.f del RGPD) cuando la evaluación de impacto es favorable y existen medidas técnicas y revisión humana de las decisiones significativas.

¿Qué pasa después?

1

30 minutos

Primera reunión

Analizamos su proceso e identificamos el punto de inicio óptimo.

2

1 semana

Discover

Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.

3

3-4 semanas

Build

Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.

4

12-18 meses

Autosuficiencia

Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.

¿Implementar este agente?

Evaluamos su panorama de procesos financieros y mostramos cómo este agente encaja en su infraestructura.