Agente de Detección de Fraude
El Compliance Officer y el director financiero afrontan cinco frentes sancionadores a la vez: la estafa del Código Penal (art. 248-251), la multa de hasta 9 millones de euros a la persona jurídica de la LO 5/2010, las sanciones del SEPBLAC en prevención del blanqueo (de 150.000 a 10 millones de euros), el modelo 232 de la AEAT y la sanción de la AEPD del 4% de la facturación.
Detecta facturas duplicadas, proveedores fantasma y blanqueo de capitales conforme al Código Penal y a la Ley 10/2010 de PBC/FT, listo para el SEPBLAC.
Analizar su procesoUna selección de más de 5.000 proyectos en 25 años de desarrollo de software
El Código Penal, la LO 5/2010, el SEPBLAC, la AEAT y la AEPD imponen cinco frentes que exigen un antifraude certificable desde el diseño
El agente detecta el fraude según el Código Penal (estafa del art. 248-251, apropiación indebida del 252 y falsedad documental del 290), la responsabilidad penal de la persona jurídica de la LO 5/2010 y la Ley 10/2010 de prevención del blanqueo. Valida de forma determinista las facturas duplicadas y los proveedores fantasma contra el censo de la AEAT, el Registro Mercantil y el titular real, detecta los deepfakes de IA generativa mediante un análisis multimodal (metadatos, estructura del PDF y reconocimiento de patrones por OCR), cruza los datos con Verifactu (RD 1007/2023) y el servicio web del SII en el plazo de 4 días de la AEAT y comunica las operaciones sospechosas al SEPBLAC en los formatos F19 y F22, todo ello de forma 100% determinista, sin IA generativa en las decisiones materiales sobre la comunicación penal.
Resultado: Una cobertura completa (por encima del 5% del volumen, según el benchmark de la ACFE) reduce la exposición sancionadora en los cinco frentes. El cruce con Verifactu y el SII elimina el riesgo de la LGT (art. 191-203, del 50 al 150% del importe omitido), un programa conforme a la UNE 19601 y la ISO 37001 atenúa la responsabilidad penal de la LO 5/2010 hasta la exoneración del art. 31 bis 4 del Código Penal y el auditor externo de las Big Four reduce los honorarios entre un 15 y un 25% gracias a la evidencia continua de la NIA-ES 240.
Quince puntos decisivos deterministas, con tres escalados humanos - la comunicación al SEPBLAC, la escalación al Compliance Officer bajo la LO 5/2010 y el reporte a la Comisión de Auditoría y la CNMV - , construyen un rastro de auditoría para el SEPBLAC, la AEAT, el ICAC, la CNMV y las pruebas sustantivas de las Big Four bajo la NIA-ES 240:
Cinco frentes que el Compliance Officer y el director financiero gestionan según la NIA-ES 240 y la UNE 19601: la estafa del Código Penal (art. 248-251), la multa de hasta 9 millones de euros de la LO 5/2010, las sanciones del SEPBLAC en blanqueo (de 150.000 a 10 millones), el plan antifraude de la AEAT y la sanción de la AEPD del 4% de la facturación
El fraude empresarial en España se encuadra en un marco regulatorio de cinco áreas convergentes: el Código Penal, que tipifica la estafa (art. 248-251), la apropiación indebida (252), la insolvencia punible (253), la falsedad documental societaria (290) y los delitos fiscal y contra la Seguridad Social (305-308); la LO 5/2010, con la responsabilidad penal de la persona jurídica de hasta 9 millones de euros de multa; la Ley 10/2010 de prevención del blanqueo, con el SEPBLAC como supervisor y sanciones de 150.000 a 10.000.000 de euros; el Plan Anual de Inspección antifraude de la AEAT, con cruces de Verifactu, el SII, el CRS, la DAC6 y el Pilar Dos; el ICAC, con la responsabilidad antifraude del auditor de la NIA-ES 240 y sanciones al auditor de 12.000 a 720.000 euros; y la AEPD, con la sanción de hasta el 4% de la facturación por las decisiones automatizadas del art. 22 de la LOPDGDD. Una empresa mediana (1.500 empleados, 250 millones de euros de facturación) tiene una exposición sancionadora potencial de entre 35 y 65 millones de euros anuales sin un antifraude integrado certificable desde el diseño, según los datos consolidados del informe Report to the Nations 2024 de la ACFE, la memoria del SEPBLAC y el Plan de la AEAT de 2025.
El Código Penal, la LO 5/2010, el SEPBLAC, la AEAT y la AEPD: cinco frentes sancionadores que exigen un antifraude certificable desde el diseño
El Código Penal tipifica en sus artículos 248-251 la estafa (hasta 6 años de prisión), con agravantes especiales en el art. 250 (importe superior a 50.000 euros, abuso de confianza, vivienda u organización criminal). El art. 252 castiga la apropiación indebida (hasta 6 años) y el art. 253, la insolvencia punible. El art. 290 tipifica la falsedad documental societaria (hasta 3 años de prisión y multa de 6 a 12 meses), un delito típico asociado a la manipulación contable o a las facturas falsas. El art. 305 castiga el delito fiscal por cuota defraudada superior a 120.000 euros (hasta 6 años de prisión y multa de hasta 6 veces la cuota) y el art. 308, el delito contra la Seguridad Social por cuota superior a 50.000 euros. El art. 282 sanciona la información engañosa a los mercados en las sociedades cotizadas, con hasta 6 años de prisión.
La LO 5/2010 introdujo la responsabilidad penal de la persona jurídica (CP art. 31 bis a 31 quinquies), con multas de hasta 9 millones de euros, suspensión de actividad hasta 5 años, clausura de locales, prohibición de contratar con el Sector Público hasta 15 años e intervención judicial. La atenuación del art. 31 bis 2 procede cuando el órgano de administración implanta un modelo de compliance conforme a la UNE 19601 y la ISO 37001 ANTES del delito; la exoneración total del art. 31 bis 4 se da cuando el modelo cumple los cuatro requisitos completos. Las sentencias del Tribunal Supremo de 2024 (STS 154/2024 y 234/2024) confirmaron la exoneración de las empresas con el SCIIF y el compliance penal integrados.
El SEPBLAC supervisa la Ley 10/2010 de prevención del blanqueo, con sanciones de 150.000 a 10.000.000 de euros y suspensión de actividad. El Plan Anual de Inspección de la AEAT de 2025 prioriza los cruces automatizados de Verifactu, el SII, el CRS, la DAC6 y el Pilar Dos, con sanciones de la LGT (art. 191-203) del 50 al 150% del importe omitido. La AEPD sanciona con hasta el 4% de la facturación las decisiones automatizadas del art. 22 de la LOPDGDD. La exposición total de una sociedad cotizada del Mercado Continuo (1.500 empleados, 250 millones de euros de facturación) puede acumular entre 35 y 65 millones de euros anuales sin un antifraude certificable desde el diseño.
Quince puntos decisivos deterministas con tres escalados humanos
El agente procesa la detección de fraude mediante una secuencia de 15 puntos decisivos: ocho automatizaciones reglamentadas, cuatro clasificaciones por aprendizaje automático y tres escalados humanos (la comunicación al SEPBLAC en F19 o F22, la escalación al Compliance Officer bajo la LO 5/2010 y el reporte a la Comisión de Auditoría y la CNMV). La clasificación de la entidad obligada por la Ley 10/2010 determina el marco aplicable. Los demás puntos siguen la responsabilidad antifraude de la NIA-ES 240 (testing de asientos en los párrafos 24-27, elusión de controles por la dirección en el 32 y estimaciones en el 41), la matriz de incompatibilidades de la segregación de funciones de la UNE 19601 (art. 5.4), la diligencia debida de proveedores de la ISO 37001 y la transparencia de los sistemas de IA antifraude del art. 50 del Reglamento de IA de la UE.
Un ejemplo concreto: una empresa industrial cotizada del Mercado Continuo (1.200 empleados, 220 millones de euros de facturación) integra Sage 200, a3compliance y AuditBoard. El agente la clasifica como sujeto obligado por la Ley 10/2010, entidad de interés público por la Ley 22/2015 y cotizada ante la CNMV. La detección de duplicados identifica 14 facturas con variaciones de importe inferiores al 5% (mismo proveedor, fechas desplazadas). La detección de anomalías por aprendizaje automático señala 23 asientos del cierre trimestral con un z-score superior a 3 (contabilizados en la madrugada del sábado). El cruce con Verifactu identifica 8 facturas sin registro en la AEAT (discrepancia del 1,8% del volumen, por debajo del umbral significativo del 2% pero con alerta). La detección de deepfakes marca 3 facturas con metadatos inconsistentes (PDF generado fuera del horario de la empresa proveedora). El análisis de round-tripping detecta un patrón circular A-B-C-A de 180.000 euros a través del paraíso fiscal de Curazao. Todo ello desencadena la comunicación al SEPBLAC en F19, la escalación al Compliance Officer, el reporte a la Comisión de Auditoría y el Hecho Relevante a la CNMV en 24 horas.
Cross-check Verifactu y SII fasciado 2025-2026 elimina riesgo LGT 191-203
Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas y se extiende de forma escalonada a todas las empresas hasta el 1 de enero de 2026. Cada factura debe llevar un número Verifactu único, un esquema XAdES certificado por la AEAT y una firma electrónica FNMT-RCM ICP-España. El cruce entre las facturas emitidas, el registro Verifactu y la declaración del SII en el plazo de 4 días de la AEAT es obligatorio. Las discrepancias superiores al 2% del volumen suponen sanción de la LGT (art. 191-203, del 50 al 150% del importe omitido) y un posible delito fiscal (CP art. 305) si la cuota defraudada supera los 120.000 euros. El Plan Anual de Inspección de la AEAT de 2025 prioriza los cruces automatizados de Verifactu y el SII para detectar el fraude estructural, y las empresas con un sistema certificable desde el diseño reducen el riesgo de selección para inspección en un 40% según los datos de la AEAT de 2024.
La comunicación al SEPBLAC en F19 y F22 y la atenuación de la UNE 19601 bajo el art. 31 bis del Código Penal
Los sujetos obligados (Ley 10/2010, art. 2) deben comunicar las operaciones sospechosas al SEPBLAC en los formatos F19 (intención de la operación) y F22 (operación ejecutada), en un plazo máximo de 30 días desde su conocimiento. La falta de comunicación se sanciona con entre 150.000 y 10.000.000 de euros (art. 57) y puede constituir blanqueo de capitales (CP art. 301, hasta 6 años de prisión). La comunicación de buena fe al SEPBLAC exonera de responsabilidad penal y administrativa (art. 24). La Circular 4/2014 del Banco de España amplía los requisitos de las entidades de crédito: un modelo de riesgo por geografía, cliente, producto y canal de distribución, con revisión anual del auditor interno y del externo. Un programa conforme a la UNE 19601 y la ISO 37001 atenúa la responsabilidad (CP art. 31 bis 2) hasta la exoneración total (art. 31 bis 4) cuando el modelo cumple los cuatro requisitos. El agente automatiza el monitoreo, las alertas, la comunicación en F19 y F22 y el rastro de auditoría penal.
Integración con el ecosistema español: Sage GRC, A3, SAP GRC, AuditBoard y las API de la AEAT, el SEPBLAC y la CNMV
El agente se integra con los sistemas GRC y ERP españoles vía API: Sage 200 y Sage Despachos Connected con los módulos Sage GRC y Sage Compliance, A3 Software (a3con, a3asesor y a3ERP de Wolters Kluwer Spain) con el módulo antifraude a3compliance, SAP S/4HANA Spain Localization con SAP GRC, Process Control, Access Control y Risk Management (multinacionales del IBEX-35), Oracle Fusion Cloud ERP Spain con Oracle Risk Management Cloud y Oracle Financial Services AML, Microsoft Dynamics 365 Business Central Spain con Microsoft Purview Compliance y Microsoft Sentinel SIEM, Cegid Quadra Spain con el módulo Cegid GRC y Holded Cloud con Factorial. Entre las plataformas GRC dedicadas figuran AuditBoard, Workiva, MetricStream y ServiceNow GRC. La integración con las administraciones cubre la AEAT (API de Verifactu, servicio web del SII, censo de la AEAT, modelo 232 y certificado FNMT-RCM ICP-España), el SEPBLAC (formatos F19 y F22 y Memoria anual de prevención del blanqueo), la CNMV (Hechos Relevantes y sección F del IAGC sobre el SCIIF), el Banco de España (Circular 4/2014 de las entidades de crédito) y la AEPD (registro de actividades de tratamiento y evaluaciones de impacto del art. 22 de la LOPDGDD). Las pruebas sustantivas de las Big Four bajo la NIA-ES 240 se soportan mediante exportación directa a Deloitte ASM, PwC Halo, EY Helix y KPMG Clara, con metadatos de rastro de auditoría de las NIA-ES, la PCAOB AS 1215 y el ROAC del ICAC. Entre las herramientas CAAT profesionales soportadas para el testing automatizado de asientos figuran ACL Robotics, IDEA y Galvanize HighBond.
Tabla de microdecisiones
¿Quién decide en este agente?
15 pasos de decisión, separados por decisor
Clasificación de la entidad como sujeto obligado en prevención del blanqueo ¿Es la empresa sujeto obligado según el art. 2 de la Ley 10/2010? Lo son las entidades de crédito, aseguradoras y gestoras, los casinos, los joyeros con efectivo superior a 15.000 euros, las inmobiliarias y los abogados, auditores y asesores fiscales. Motor de reglas Auditor
Los sujetos obligados deben implantar un Manual de prevención del blanqueo, designar un Órgano de Control Interno y comunicar las operaciones sospechosas al SEPBLAC; el incumplimiento se sanciona con entre 150.000 y 10.000.000 de euros (Ley 10/2010, art. 56-58) y el criterio de la AEPD limita el perfilado a los sujetos obligados o autorizados conforme a la ISO 37001
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Detección de facturas duplicadas, exactas y en variantes ¿Existe una factura duplicada exacta, con el mismo número, NIF e importe, o una variante con el importe ligeramente modificado, la fecha desplazada o la descripción alterada? Motor de reglas Proveedor
Un duplicado exacto puede constituir estafa (CP art. 248) o falsedad documental (art. 290); el cruce con Verifactu (RD 1007/2023) y el servicio web del SII es obligatorio, y las Big Four consideran la detección de duplicados un control antifraude primario bajo la NIA-ES 240
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Proveedor
Detección de proveedores fantasma (sociedades pantalla) ¿Existe un proveedor sin actividad real, con el NIF inactivo en el censo de la AEAT, sin domicilio fiscal verificable, con el titular real oculto o de alta reciente sin operaciones previas? Agente IA Proveedor
Un proveedor fantasma supone riesgo de delito fiscal (CP art. 305), blanqueo (Ley 10/2010) o insolvencia punible mediante testaferro (CP art. 253); el agente cruza el censo de la AEAT, el Registro Mercantil, la Lista Robinson y el titular real (Ley 10/2010, art. 4)
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Proveedor
Anomalías contables por horarios atípicos y fraccionamiento de umbrales (ML) ¿Hay asientos contabilizados fuera del horario laboral (después de las 22h, en fines de semana o festivos) o un fraccionamiento de umbrales con varias facturas justo por debajo del límite de aprobación? Agente IA
Una contabilización atípica es un indicador de elusión de controles por la dirección bajo la NIA-ES 240 y un posible delito de falsedad documental societaria (CP art. 290); el aprendizaje automático detecta z-score superior a 3, primer dígito de Benford y agrupación temporal, y el auditor externo testea los asientos según el párrafo A41
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Verificación de la autenticidad documental (deepfake de IA) ¿Es la factura un deepfake generado por IA generativa? Lo delatan los metadatos inconsistentes, una estructura de PDF atípica, un reconocimiento de patrones por OCR anómalo o una validación del NIF-IVA fallida. Agente IA Proveedor
Los deepfakes de IA sortean la validación visual humana; el agente combina el análisis de autenticidad por LLM, la verificación XSD de Verifactu, el cruce con el censo de la AEAT y la validación del NIF-IVA contra la API de la AEAT, siguiendo el criterio de SAP Concur (2024) de no fiarse de lo que ven los ojos
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Proveedor
Cruce con Verifactu y el SII de la AEAT ¿Coincide la factura procesada con el registro de Verifactu, por número y esquema certificado, y con la declaración del SII presentada en el plazo de 4 días de la AEAT? Motor de reglas Auditor
Verifactu es obligatorio de forma escalonada entre el 1/7/2025 y el 1/1/2026, y el SII lo es para empresas de más de 6 millones de euros; una discrepancia superior al 2% del volumen supone sanción de la LGT (art. 191-203, del 50 al 150% del importe omitido) y un posible delito fiscal (CP art. 305) si la cuota defraudada supera los 120.000 euros; las Big Four consideran este cruce un control sustancial bajo la NIA-ES 330
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Detección de fraude en gastos de viaje (T&E) ¿Existe una doble presentación del gasto, con el mismo recibo en dos viajes, un importe inflado, un gasto personal disfrazado de empresa, un kilometraje irreal o un per diem duplicado? Motor de reglas Empleado
El fraude en gastos de viaje puede constituir apropiación indebida (CP art. 252) o falsedad documental (art. 290); afecta a los modelos 145 y 232 de la AEAT, conlleva sanciones de la LGT del 50 al 150% y responsabilidad personal del empleado (CP art. 252), y el canal de denuncia de la Ley 2/2023 es obligatorio para las empresas de más de 50 empleados
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Empleado
Detección de round-tripping y blanqueo (PBC/FT) ¿Hay flujos circulares de dinero (A-B-C-A), pagos sin causa económica, transacciones fragmentadas por debajo del umbral del SEPBLAC, paraísos fiscales o titulares reales opacos? Agente IA Auditor
El round-tripping es un indicador de blanqueo (Ley 10/2010 y CP art. 301) y obliga a comunicarlo al SEPBLAC en los formatos F19 y F22; la Circular 4/2014 del Banco de España exige un modelo de riesgo por geografía, cliente y producto, y la falta de comunicación se sanciona con entre 150.000 y 10 millones de euros (Ley 10/2010, art. 57)
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Auditor
Verificación de la segregación de funciones (SoD) entre módulos ¿Hay un usuario que combine roles incompatibles - el alta del proveedor, la aprobación de la factura, la autorización del pago y la conciliación bancaria - cruzando los módulos del ERP? Motor de reglas Auditor
Un conflicto de segregación de funciones es un control antifraude primario bajo la NIA-ES 240 (párrafos 24-27); la UNE 19601 (art. 5.4) exige una matriz de incompatibilidades, la LO 5/2010 atenúa la responsabilidad penal (CP art. 31 bis 2) cuando un modelo de segregación efectivo previene el delito y el ICAC sanciona al auditor con entre 12.000 y 72.000 euros si no detecta la deficiencia
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Validación de la firma digital y el certificado FNMT-RCM ¿Es válida la firma electrónica del documento conforme al Reglamento eIDAS (UE 910/2014), la Ley 6/2020 de servicios de confianza y la cadena de certificados FNMT-RCM ICP-España? Motor de reglas Proveedor
Una firma inválida puede constituir estafa informática (CP art. 248.2) o falsedad de documento público (art. 392); la FNMT-RCM emite certificados ICP-España con una validez máxima de 5 años, Verifactu exige firma electrónica con esquema XAdES y la comprobación del estado de revocación por OCSP y CRL es obligatoria
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Proveedor
Cálculo del score de riesgo de fraude consolidado (ML) ¿Cuál es el score consolidado de riesgo de fraude para esta transacción - probabilidad por impacto por indicadores combinados - según la ISO 31000 y la UNE 19601? Agente IA Proveedor
El score consolidado integra todos los módulos de detección junto con los factores de industria, país (paraísos fiscales), cliente e importe; el art. 22 de la LOPDGDD exige transparencia algorítmica y derecho a explicación, y el art. 50 del Reglamento de IA de la UE impone transparencia a los sistemas de IA antifraude de riesgo limitado
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Proveedor
Comunicación de operación sospechosa al SEPBLAC (formatos F19 y F22) ¿Supera el caso el umbral de comunicación obligatoria al SEPBLAC, con sospecha fundada de blanqueo o financiación del terrorismo según el art. 18 de la Ley 10/2010? Humano Auditor
La comunicación al SEPBLAC requiere el juicio profesional del Órgano de Control Interno, dentro de un plazo máximo de 30 días desde su conocimiento; comunicarla exonera de responsabilidad penal y administrativa (Ley 10/2010, art. 24) y omitirla se sanciona con entre 150.000 y 10 millones de euros (art. 57); es un escalado obligatorio al Compliance Officer y al director jurídico
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Escalación al Compliance Officer y al Comité Ético (LO 5/2010) ¿Apunta el caso a un posible delito de los tipificados en el art. 31 bis del Código Penal, como el cohecho, el blanqueo, el fraude fiscal, el abuso de mercado o la falsedad documental? Humano Auditor
El Compliance Officer y el director jurídico evalúan el riesgo penal de la persona jurídica; un programa conforme a la UNE 19601 y la ISO 37001 atenúa la responsabilidad (CP art. 31 bis 2) hasta la exoneración total (art. 31 bis 4); el canal de denuncia de la Ley 2/2023 y la protección del informante son obligatorios, y la comunicación a la Comisión de Auditoría se rige por el art. 529 quaterdecies de la LSC
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Generación del Decision Record y el rastro de auditoría FNMT-RCM ¿Está el Decision Record completo, con marca temporal, firma electrónica FNMT-RCM y la retención legal que exige cada marco: 6 años por la contabilidad (LSC art. 30), 10 años en prevención del blanqueo (Ley 10/2010) y 4 años por la prescripción de la LGT (art. 70)? Motor de reglas Auditor
El rastro de auditoría es evidencia digital admisible como prueba documental (Ley 6/2020 de servicios de confianza y LEC art. 384); la conservación exigida es de 4 años para la AEAT, 10 años en prevención del blanqueo (Ley 10/2010) y 6 años para la contabilidad (LSC art. 30), y el ICAC verifica ese rastro al supervisar a los auditores
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Reporte a la Comisión de Auditoría y Hechos Relevantes de la CNMV ¿Requiere el caso un reporte a la Comisión de Auditoría (LSC art. 529 quaterdecies) o la publicación de un Hecho Relevante ante la CNMV (art. 226 de la LMV) en las sociedades cotizadas? Humano Auditor
Decisión estratégica que pondera la materialidad financiera, el impacto reputacional y el riesgo de información engañosa (CP art. 282); las sociedades cotizadas están obligadas a publicar un Hecho Relevante en 24 horas desde su conocimiento; la Comisión de Auditoría reporta trimestralmente y de forma inmediata los casos materiales, y la CNMV impone sanción administrativa de hasta 600.000 euros, con posible sanción penal
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Registro de decisión y derecho a impugnar
Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Las partes afectadas (empleados, proveedores, auditores) pueden revisar, comprender e impugnar cada decisión individual.
¿Este agente encaja en su proceso?
Analizamos su proceso financiero concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.
Analizar su procesoNotas de governance
Código Penal (art. 248-308) y responsabilidad penal de la persona jurídica de la LO 5/2010: el Código Penal tipifica la estafa (art. 248-251, hasta 6 años de prisión), la apropiación indebida (art. 252), la insolvencia punible (art. 253), la falsedad documental societaria (art. 290), el delito fiscal por cuota defraudada superior a 120.000 euros (art. 305, hasta 6 años de prisión) y el delito contra la Seguridad Social superior a 50.000 euros (art. 308). La LO 5/2010 introdujo la responsabilidad penal de la persona jurídica (CP art. 31 bis a 31 quinquies), con multas de hasta 9 millones de euros, suspensión de actividad y prohibición de contratar con el Sector Público.
Ley 10/2010 de prevención del blanqueo y SEPBLAC: los sujetos obligados (art. 2) deben implantar un Manual de prevención del blanqueo, designar un Órgano de Control Interno y comunicar las operaciones sospechosas en los formatos F19 y F22 dentro de un plazo máximo de 30 días; el incumplimiento se sanciona con entre 150.000 y 10.000.000 de euros (art. 56-58) y la comunicación exonera de responsabilidad penal y administrativa (art. 24). La Circular 4/2014 del Banco de España exige un modelo de riesgo por geografía, cliente, producto y canal de distribución.
UNE 19601, ISO 37001 y Ley 2/2023 de protección del informante: el compliance penal de la UNE 19601:2017 y el sistema antisoborno de la ISO 37001:2016 atenúan (CP art. 31 bis 2) o excluyen (art. 31 bis 4) la responsabilidad penal. Se requiere que el órgano de administración implante el modelo ANTES del delito, que un órgano autónomo (el Compliance Officer) lo supervise y que exista un canal de denuncia obligatorio para las empresas de más de 50 empleados con protección del informante. Las sentencias del Tribunal Supremo de 2024 confirman la exoneración de las empresas con el compliance integrado.
RGPD, LOPDGDD y Reglamento de IA de la UE sobre decisiones automatizadas: el art. 22 de la LOPDGDD exige transparencia algorítmica, derecho a explicación y revisión humana de las decisiones significativas; el registro de actividades de tratamiento es obligatorio para la detección de fraude, y se requiere una evaluación de impacto (EIPD) cuando hay tratamiento sistemático de evaluación personal (art. 35 del RGPD); la AEPD sanciona con hasta el 4% de la facturación. El art. 50 del Reglamento de IA de la UE impone transparencia a los sistemas de IA y los clasifica como de riesgo limitado en la detección de fraude.
Contribución a la documentación de procesos
Cada detección documenta el caso evaluado, los módulos activados (duplicados, sociedad fantasma, deepfake, round-tripping, segregación de funciones y fraude en gastos), el score consolidado, los indicadores combinados, las transacciones afectadas y la materialidad del importe. En caso de escalado registra además su tipo (comunicación al SEPBLAC en F19 o F22, Compliance Officer, Comisión de Auditoría o Hecho Relevante de la CNMV), el Decision Record con marca temporal y firma electrónica FNMT-RCM ICP-España, el plan de investigación interna con sus plazos y la comunicación a las autoridades. El reporte es trimestral a la Comisión de Auditoría y anual mediante la Memoria de prevención del blanqueo al SEPBLAC. La documentación se archiva con certificado FNMT-RCM durante 6 años (LSC art. 30), 10 años en prevención del blanqueo (Ley 10/2010), 4 años por la prescripción de la LGT y 5 años por la Ley 22/2015 de auditoría.
Evaluación
Requisitos previos
- ERP integrado con módulo antifraude (Sage GRC, a3compliance de A3, SAP GRC con Process Control, Oracle Risk Management, AuditBoard, Workiva o MetricStream)
- Acceso a los datos transaccionales completos (asientos, pedidos, pagos y gastos de viaje) con una retención de 6 años (LSC art. 30) y 10 años en prevención del blanqueo (Ley 10/2010)
- Integración por API con el censo de la AEAT, el Registro Mercantil, el titular real, las listas de sanciones de la UE y la OFAC y los paraísos fiscales de la OCDE
- API de Verifactu con certificado FNMT-RCM ICP-España y servicio web del SII para operaciones de más de 6 millones de euros de facturación
- Manual de prevención del blanqueo formalizado según la Ley 10/2010, el RD 304/2014 y la Circular 4/2014 del Banco de España, con un Órgano de Control Interno designado
- Programa de compliance penal conforme a la UNE 19601 y la ISO 37001, con canal de denuncia de la Ley 2/2023 (empresas de más de 50 empleados) y Comité Ético operativo
Contribución a la infraestructura
El Agente de Detección de Fraude es el más intensivo en IA del catálogo de finanzas dentro del Governance Meta-Layer del Decision Layer: integra la detección de anomalías del Agente de Monitorización SCIIF, los datos transaccionales del Agente de Pago, los datos de proveedores del Agente de Solicitud de Compra, los datos de gastos del Agente de Representación y los datos de asientos del Agente de QA de Asientos. Consume los registros de auditoría completos del ERP, las transacciones para la detección de anomalías por aprendizaje automático (z-score, Benford, clustering), los datos de Verifactu y el SII para el cruce, los datos de titular real, las listas de sanciones de la UE y la OFAC y los paraísos fiscales de la OCDE. Entrega el score consolidado de riesgo de fraude, las alertas al SEPBLAC en los formatos F19 y F22, el reporte a la Comisión de Auditoría y el rastro de auditoría penal. Su arquitectura es certificable desde el diseño, con la responsabilidad antifraude del auditor de la NIA-ES 240 y el doble reporte al ICAC, las Big Four, la CNMV y el SEPBLAC.
Qué contiene esta evaluación: 9 diapositivas para su equipo directivo
Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.
- 1
Portada - Nombre del proceso, puntos de decisión, potencial de automatización
- 2
Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización
- 3
Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento
- 4
Arquitectura de solución - Humano - motor de reglas - agente IA
- 5
Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría
- 6
Análisis de riesgos - 5 riesgos con probabilidad e impacto
- 7
Hoja de ruta - Plan de 3 fases con fechas concretas
- 8
Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad
- 9
Propuesta de discusión - Próximos pasos concretos
Incluye: comparación de 3 escenarios
No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.
Mostrar metodología de cálculo
Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours
Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor
Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)
FTE: Saved hours ÷ 1,720 annual work hours
Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)
New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE
Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.
Agente de Detección de Fraude
Initial assessment for your leadership team
A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.
All data stays in your browser. Nothing is transmitted.
Páginas relacionadas
Agentes relacionados
Agente de Preparación de Cuentas Anuales
Preparar cuentas anuales - orquestar checklist, redactar anexo, responder consultas del auditor.
Agente de Monitorización SCIIF
El auditor de cuentas y la Comisión de Auditoría afrontan cuatro frentes a la vez: deficiencias significativas del SCIIF, compliance penal de la LO 5/2010, sanciones de la AEPD de hasta el 4% de la facturación y sanciones del ICAC de entre 12.000 y 72.000 euros.
Agente de Documentación de Procedimientos
Mantener documentación de procedimientos automáticamente actualizada - reconocer cambios, generar borradores, cerrar lagunas.
Preguntas frecuentes
Como funciona la responsabilidad penal personas juridicas LO 5/2010 en casos fraude?
Que obligaciones SEPBLAC tiene una empresa segun Ley 10/2010 PBC/FT?
Como afecta Verifactu RD 1007/2023 a la deteccion de fraude antifraude?
Como funciona el canal denuncia Ley 2/2023 whistleblower en deteccion fraude?
Que es modelo 232 AEAT y como se relaciona con deteccion fraude?
Como prepara el agente NIA-ES 240 Fraud Auditor Responsibility para Big-4?
Como interactua deepfake IA generativa con LOPDGDD y EU AI Act en deteccion fraude?
¿Qué pasa después?
30 minutos
Primera reunión
Analizamos su proceso e identificamos el punto de inicio óptimo.
1 semana
Discover
Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.
3-4 semanas
Build
Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.
12-18 meses
Autosuficiencia
Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.
¿Implementar este agente?
Evaluamos su panorama de procesos financieros y mostramos cómo este agente encaja en su infraestructura.