Ir al contenido
W K
GoBD: n/a Conforme §203 StGB

Agente de Monitorización SCIIF

El auditor de cuentas y la Comisión de Auditoría afrontan cuatro frentes a la vez: deficiencias significativas del SCIIF, compliance penal de la LO 5/2010, sanciones de la AEPD de hasta el 4% de la facturación y sanciones del ICAC de entre 12.000 y 72.000 euros.

Monitoriza el Sistema de Control Interno sobre la Información Financiera (SCIIF) conforme al Código de Buen Gobierno de la CNMV y al marco COSO 2013.

Analizar su proceso

Una selección de más de 5.000 proyectos en 25 años de desarrollo de software

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

La CNMV, el ICAC, la LO 5/2010 y la AEPD imponen cuatro frentes que exigen un SCIIF certificable desde el diseño

El agente monitoriza el SCIIF según las Recomendaciones 42-44 del Código de Buen Gobierno de la CNMV (2020/2024), el artículo 526 de la LSC y los 17 principios del marco COSO 2013, junto con las NIA-ES 240, 315, 330 y 540. Valida el principio de cuatro ojos y la segregación de funciones entre módulos contra la matriz de roles del ERP, detecta anomalías transaccionales mediante aprendizaje automático (z-score, Benford, clustering), cruza los datos con Verifactu y el SII de la AEAT, documenta las deficiencias significativas para la Comisión de Auditoría y genera el Informe SCIIF estructurado para la sección F.1 a F.7 del IAGC, todo ello de forma 100% determinista, sin IA generativa en las decisiones materiales sobre la información financiera.

Resultado: Una cobertura completa de los procesos significativos (más del 5% de materialidad) reduce el riesgo de deficiencia material del SCIIF reportable a la CNMV. El cruce con Verifactu elimina el riesgo de la LGT (art. 191-203, sanciones del 50 al 150%), el Informe SCIIF se genera en 2-3 días frente a los 15-20 del proceso manual y un SCIIF efectivo permite al auditor externo apoyarse en los controles (NIA-ES 330) y reducir los honorarios entre un 15 y un 25%.

53% Motor de reglas
27% Agente IA
20% Humano

Dieciséis puntos decisivos deterministas, con tres escalados humanos - deficiencia material frente a significativa, compliance penal de la LO 5/2010 y aceptación del riesgo por la Comisión de Auditoría - , construyen un rastro de auditoría para la CNMV, el ICAC, la Comisión de Auditoría y las pruebas sustantivas de las Big Four bajo las NIA-ES:

Cuatro frentes que el auditor de cuentas evalúa según las NIA-ES 315 y 330: el SCIIF de las Recomendaciones 42-44 de la CNMV, la sanción al auditor del ICAC de 12.000 a 72.000 euros, el compliance penal de la LO 5/2010 y la sanción de la AEPD del 4% de la facturación

El SCIIF (Sistema de Control Interno sobre la Información Financiera) en España constituye un marco regulatorio estructurado en seis áreas principales: el Código de Buen Gobierno de la CNMV de 2020 con su actualización de 2024 (Recomendaciones 42-44); el art. 526 de la LSC (RDLeg 1/2010), con la Comisión de Auditoría como órgano supervisor; la Ley 22/2015 de Auditoría con las NIA-ES 240, 315, 330 y 540; el marco COSO 2013 con sus 17 principios; la ISO 31000 para la gestión de riesgos; y el compliance penal de la LO 5/2010 con el programa ISO 19601 como atenuante. Cada sociedad cotizada debe documentar el SCIIF en la sección F.1 a F.7 del Informe Anual de Gobierno Corporativo (IAGC), con el auditor externo emitiendo la carta SCIIF según la NIA-ES 720; sin un sistema certificable desde el diseño, el riesgo de una deficiencia material reportable a la CNMV es elevado, especialmente tras la actualización de 2024 que refuerza los aspectos ESG.

La CNMV, el ICAC, la LO 5/2010 y la AEPD: cuatro frentes sancionadores que exigen un sistema certificable desde el diseño

La CNMV es el regulador del mercado de valores español y supervisa el cumplimiento del Código de Buen Gobierno por las sociedades cotizadas. Las sociedades del IBEX-35 y el Mercado Continuo deben publicar el IAGC con la sección F que detalla el SCIIF; las deficiencias materiales pueden originar requerimientos formales según el art. 88 de la LMV (Texto Refundido de la Ley del Mercado de Valores) y, en los casos graves, sanciones por información engañosa (CP art. 282). La actualización de 2024 refuerza tres aspectos clave: una Comisión de Auditoría con presidente independiente, la integración de los riesgos ESG en el SCIIF conforme a la CSRD (UE 2022/2464) y la verificación de la eficacia operativa de los controles por el auditor externo, y no solo de su diseño.

El ICAC supervisa a los auditores del ROAC mediante inspecciones técnicas (cada 6 años para las entidades de interés público) y sanciona las deficiencias en la evaluación del SCIIF con entre 12.000 y 72.000 euros (Ley 22/2015, art. 84) o hasta 720.000 euros en las infracciones muy graves (art. 85). Las deficiencias más comunes del auditor son: una comprensión insuficiente del diseño de los controles (NIA-ES 315, párrafo 12), la evaluación de la eficacia operativa solo en la fecha de la auditoría sin cubrir todo el periodo y la falta de comunicación de las deficiencias significativas a la Dirección (NIA-ES 265).

La LO 5/2010 introdujo la responsabilidad penal de las personas jurídicas (CP art. 31 bis a 31 quinquies); un SCIIF efectivo, combinado con un programa de compliance conforme a la UNE 19601, puede atenuar o excluir esa responsabilidad. La AEPD sanciona con hasta el 4% de la facturación o 20 millones de euros las violaciones del RGPD en los controles internos (un registro de actividades de tratamiento incompleto, la falta de evaluación de impacto para el monitoreo sistemático o la ausencia de las cláusulas del art. 28 del RGPD con los encargados del tratamiento). Una sociedad cotizada mediana (1.500 empleados, 300 millones de euros de facturación) tiene una exposición sancionadora potencial de entre 30 y 60 millones de euros anuales sin un SCIIF certificable desde el diseño.

Dieciséis puntos decisivos deterministas con tres escalados humanos

El agente procesa la monitorización del SCIIF mediante una secuencia de 16 puntos decisivos: trece automatizaciones reglamentadas, una clasificación por aprendizaje automático y tres escalados humanos (deficiencia material frente a significativa, compliance penal de la LO 5/2010 y aceptación del riesgo por la Comisión de Auditoría). La clasificación de la entidad obligada determina el marco aplicable: una cotizada debe reportar públicamente la sección F del IAGC ante la CNMV, una entidad de crédito sigue el ICAAP del Banco de España y una sociedad de más de 50 empleados con DNFR cumple la Ley 11/2018 de reporte no financiero. Los demás puntos siguen el marco COSO 2013 (17 principios), los apartados F.1 a F.7 de la CNMV (entorno, riesgos, actividades, información, supervisión, otras cuestiones y auditor) y las NIA-ES 240, 315, 330 y 540 (fraude, riesgos, respuesta y estimaciones).

Un ejemplo concreto: una sociedad cotizada del Mercado Continuo (1.200 empleados, 250 millones de euros de facturación) integra Sage 200 con SAP GRC. El agente la clasifica como obligada ante la CNMV, sujeta a DNFR y entidad de interés público. El mapeo de procesos significativos identifica 8 con riesgo material superior al 5%: ventas, compras, inmovilizado, nómina, tesorería, impuestos, cierre y consolidación. La verificación del principio de cuatro ojos cubre el 100% de las transacciones de más de 50.000 euros. El análisis de segregación de funciones entre módulos detecta 3 conflictos en el área de compras, donde se concentran el alta de proveedor, la aprobación de la factura y la autorización del pago. La detección de anomalías por aprendizaje automático identifica 12 asientos con un z-score superior a 3 en el cierre trimestral. El cruce con Verifactu y el SII confirma una alineación del 99,2% (deficiencia no significativa, por debajo del 2%). La Comisión de Auditoría recibe el Informe SCIIF estructurado según los apartados F.1 a F.7 del IAGC, con un plan correctivo de la segregación de funciones a 30 días.

Cross-check SCIIF con Verifactu y SII fasciado 2025-2026

Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas y se extiende de forma escalonada a todas las empresas hasta el 1 de enero de 2026. Su impacto en el SCIIF es directo: cada factura debe llevar un número Verifactu y un esquema certificado por la AEAT; el cruce entre las operaciones contabilizadas y el registro Verifactu es obligatorio; y las discrepancias superiores al 2% constituyen una deficiencia significativa reportable a la Comisión de Auditoría. La integración con el SII (Suministro Inmediato de Información), para las empresas con más de 6 millones de euros de facturación, mantiene el plazo de envío de 4 días a la AEAT. El agente realiza un cruce mensual entre las facturas emitidas en Verifactu, los asientos contables y las declaraciones del SII; las discrepancias activan una alerta SCIIF y el rastro de auditoría ante la AEAT. Este cruce protege frente a las sanciones de la LGT (art. 191-203, del 50 al 150% del importe omitido) y documenta evidencia continua para el auditor externo según la NIA-ES 330, reduciendo el alcance de las pruebas sustantivas.

Integración con el ecosistema español: Sage GRC, A3, SAP GRC, AuditBoard, Workiva y las API de la AEAT y la CNMV

El agente se integra con los sistemas GRC y ERP españoles vía API: Sage 200 y Sage Despachos Connected con el módulo Sage GRC (líder en PYME), A3 Software (a3con, a3asesor y a3ERP de Wolters Kluwer Spain), SAP S/4HANA Spain Localization con SAP GRC, Process Control y Access Control (multinacionales del IBEX-35), Oracle Fusion Cloud ERP Spain con Oracle Risk Management Cloud, Microsoft Dynamics 365 Business Central Spain con Microsoft Purview Compliance, Cegid Quadra Spain con el módulo Cegid GRC y Holded Cloud con su módulo de compliance (PYME). Entre las plataformas GRC dedicadas a las cotizadas figuran AuditBoard, Workiva, MetricStream y ServiceNow GRC. La integración con las administraciones cubre la AEAT (API de Verifactu, servicio web del SII y certificado FNMT-RCM), la CNMV (publicación del IAGC y comunicación de deficiencias), el Banco de España (ICAAP de las entidades de crédito), la AEPD (registro de actividades de tratamiento y evaluaciones de impacto) y el Tribunal de Cuentas (sociedades públicas). Las pruebas sustantivas de las Big Four se soportan mediante exportación directa a Deloitte ASM, PwC Halo, EY Helix y KPMG Clara, con metadatos de rastro de auditoría de las NIA-ES, la PCAOB AS 1215 y el ROAC del ICAC. Las sociedades medianas pueden recurrir a BDO, Mazars, Grant Thornton, RSM o Auren con la misma metodología NIA-ES integrada.

Tabla de microdecisiones

¿Quién decide en este agente?

15 pasos de decisión, separados por decisor

53%(8/15)
Motor de reglas
determinístico
27%(4/15)
Agente IA
basado en modelo con confianza
20%(3/15)
Humano
asignación explícita
Humano
Motor de reglas
Agente IA
Cada fila es una decisión. Expanda para ver el registro de decisión y si se puede impugnar.
Clasificación de la entidad obligada al SCIIF ¿Es la empresa una sociedad cotizada (Recomendaciones 42-44 de la CNMV), una entidad de crédito (Circular 1/2013 del Banco de España), una aseguradora (Solvencia II) o una sociedad mercantil de más de 50 empleados con DNFR (Ley 11/2018)? Motor de reglas Auditor

La clasificación determina el marco aplicable: el SCIIF de las cotizadas exige el reporte público de la sección F del Informe Anual de Gobierno Corporativo (IAGC) ante la CNMV; las entidades de crédito siguen el ICAAP del Banco de España; el resto solo requiere auditoría interna según el artículo 540 de la LSC

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Mapeo de los procesos significativos del SCIIF según COSO 2013 ¿Qué procesos contables tienen un riesgo material superior al 5% sobre el resultado o el patrimonio neto, según el umbral de materialidad de la NIA-ES 320? Agente IA Auditor

Identifica los procesos significativos - ventas y clientes, compras y proveedores, inmovilizado, RRHH y nómina, tesorería, impuestos, cierre y consolidación - según los principios 1 a 17 del marco COSO 2013 y el anexo SCIIF F.1.1 de la CNMV

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Auditor

Verificación del control de doble validación (principio de cuatro ojos) ¿Cumple cada transacción por encima del umbral de materialidad el principio de doble validación, documentado en la matriz de controles? Motor de reglas Auditor

Control básico del SCIIF según el principio 10 del marco COSO 2013 (actividades de control); el apartado F.5.2 de la CNMV exige documentar los controles operativos en las sociedades cotizadas y el auditor externo verifica su eficacia operativa conforme a la NIA-ES 330

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Segregación de funciones (SoD) entre módulos ¿Hay un usuario que combine roles incompatibles - el alta del proveedor, la aprobación de la factura y la autorización del pago - cruzando los módulos del ERP? Motor de reglas Auditor

Un conflicto de segregación de funciones constituye una deficiencia significativa del SCIIF según el apartado F.4.5 de la CNMV; la NIA-ES 240 lo considera un control antifraude primario y obliga a documentar la matriz de roles en la sección F del IAGC

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Detección de anomalías transaccionales (ML) ¿Se desvían los patrones de los asientos contables de la base histórica según un umbral estadístico configurable, como un z-score superior a 3, el primer dígito de Benford o la agrupación temporal? Agente IA

La detección de anomalías por aprendizaje automático capta riesgos que las reglas no detectan; la NIA-ES 240 exige el testing de asientos contables y el apartado F.5.4 de la CNMV valora la analítica de datos como buena práctica supervisora

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Cruce de controles con Verifactu y el SII ¿Coinciden las operaciones contabilizadas con las facturas de Verifactu (RD 1007/2023) y las declaraciones del SII en el plazo de 4 días de la AEAT? Motor de reglas Auditor

Verifactu es obligatorio de forma escalonada entre 2025 y 2026, y el SII lo es para empresas con más de 6 millones de euros de facturación; el cruce protege frente a la LGT (art. 191-203, sanciones del 50 al 150% por no inclusión) y una discrepancia superior al 2% del volumen supone deficiencia material

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Monitorización de cambios en las autorizaciones críticas ¿Se han modificado las autorizaciones, los límites de aprobación o las reglas de validación sin una aprobación documentada de la Comisión de Auditoría? Motor de reglas Auditor

El apartado F.4.4 de la CNMV exige controlar los cambios en el sistema de autorizaciones y el artículo 529 ter de la LSC atribuye a la Comisión de Auditoría la supervisión del SCIIF; los cambios no autorizados son una deficiencia significativa reportable a la CNMV

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Identificación de brechas en COSO 2013 (análisis de gaps) ¿Qué principios del marco COSO 2013 (del 1 al 17) carecen de controles operativos efectivos en cada uno de sus componentes: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo? Agente IA Auditor

La Recomendación 43 de la CNMV requiere un análisis de brechas por cada componente del marco COSO; la Comisión de Auditoría reporta las deficiencias materiales al Consejo conforme al artículo 529 quaterdecies de la LSC y el auditor externo verifica el diseño del SCIIF según la NIA-ES 315

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Auditor

Evaluación del riesgo residual por proceso significativo ¿Cuál es el nivel de riesgo residual - probabilidad por impacto - tras aplicar los controles operativos, conforme a la ISO 31000? Agente IA Auditor

La puntuación del riesgo residual por proceso permite priorizar; el apartado F.3 de la CNMV exige publicar la matriz de riesgos en el IAGC y la norma ISO 31000 aporta el marco metodológico, con la tolerancia al riesgo definida por el Consejo

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Auditor

Documentación de los controles para el auditor de cuentas ¿Está cada control documentado con su descripción, frecuencia, responsable y evidencia, según los párrafos A77-A87 de la NIA-ES 315 sobre la comprensión de los controles relevantes? Motor de reglas Auditor

La NIA-ES 315 exige comprender el diseño de los controles para evaluar los riesgos materiales; una documentación deficiente amplía el alcance de la auditoría y eleva los honorarios, y el ICAC verifica la calidad de esa documentación al supervisar a los auditores

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Reporte de deficiencias a la Comisión de Auditoría ¿Hay deficiencias significativas o materiales (apartado F.7 de la CNMV) que exijan un reporte a la Comisión de Auditoría según el art. 529 quaterdecies de la LSC? Humano Auditor

Distinguir entre una deficiencia significativa y una material requiere juicio profesional; el consejero independiente de la Comisión de Auditoría evalúa el impacto sobre la información financiera y el auditor externo está obligado a comunicarlo según el artículo 36 de la Ley 22/2015

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Escalación del fallo de control al compliance penal (LO 5/2010) ¿Apunta el fallo de control a un posible delito de los tipificados en los artículos 31 bis a 31 quinquies del Código Penal, como el cohecho, el blanqueo, el fraude fiscal o el abuso de mercado? Humano Auditor

El Compliance Officer y el director jurídico evalúan el riesgo penal; un programa de compliance conforme a la UNE 19601 puede atenuar la responsabilidad de la persona jurídica (CP art. 31 bis) y el escalado a la Comisión de Auditoría y al Consejo es obligatorio cuando afecta a las cuentas

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Generación del Informe SCIIF para la sección F del IAGC ¿Está el Informe SCIIF estructurado según las Recomendaciones 42-44 de la CNMV - los apartados F.1 a F.7, del entorno de control al informe del auditor - y listo para su publicación? Motor de reglas Auditor

El Informe SCIIF forma parte del IAGC publicado en la CNMV, con la estructura que define la Circular 5/2013 (modificada por la 2/2018); el auditor externo emite la carta SCIIF según la NIA-ES 720 y los procedimientos acordados

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Seguimiento del plan de acción correctiva ¿Están implementadas las medidas correctivas de las deficiencias identificadas, dentro de los plazos comprometidos con la Comisión de Auditoría? Motor de reglas Auditor

El seguimiento del flujo de trabajo se basa en los plazos; el plan de remediación es parte integral del SCIIF según el componente 5 del marco COSO 2013 (monitoreo) y el auditor verifica ese seguimiento en la siguiente auditoría conforme a la NIA-ES 265

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Aceptación del riesgo residual por la Comisión de Auditoría ¿Acepta la Comisión de Auditoría el nivel de riesgo residual del SCIIF, conforme al apetito de riesgo aprobado por el Consejo, o exige reforzar los controles? Humano Auditor

Decisión estratégica que equilibra el coste de los controles y la exposición residual; el artículo 529 quaterdecies de la LSC atribuye la supervisión a la Comisión de Auditoría, con la documentación reflejada en el acta del Consejo y en el reporte anual a la CNMV

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Registro de decisión y derecho a impugnar

Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Las partes afectadas (empleados, proveedores, auditores) pueden revisar, comprender e impugnar cada decisión individual.

¿Qué regla en qué versión se aplicó?
¿En qué datos se basó la decisión?
¿Quién (humano, motor de reglas o IA) decidió - y por qué?
¿Cómo puede la persona afectada presentar una objeción?
Cómo el Decision Layer lo implementa arquitectónicamente →

¿Este agente encaja en su proceso?

Analizamos su proceso financiero concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.

Analizar su proceso

Notas de governance

GoBD: n/a Conforme §203 StGB

Recomendaciones 42-44 del Código de Buen Gobierno de la CNMV (2020/2024): las sociedades cotizadas deben documentar el SCIIF en la sección F del IAGC, que abarca el entorno de control, los riesgos, las actividades, la información y la revisión; el auditor externo emite la carta SCIIF según la NIA-ES 720 y las deficiencias materiales reportables a la CNMV pueden originar requerimientos formales bajo el artículo 88 del Texto Refundido de la LMV.

Artículos 526 y 529 quaterdecies de la LSC (RDLeg 1/2010): la Comisión de Auditoría supervisa el SCIIF y reporta al Consejo; en las cotizadas la preside un consejero independiente y el artículo 236 de la LSC responsabiliza a los administradores por el daño causado por acción u omisión en la supervisión del SCIIF.

Ley 22/2015 e ICAC (ROAC): el auditor externo evalúa el diseño y la eficacia operativa del SCIIF conforme a las NIA-ES 315, 330 y 265; las deficiencias significativas se comunican obligatoriamente por escrito a la Dirección y a la Comisión de Auditoría, y el ICAC sanciona a los auditores con entre 12.000 y 72.000 euros por deficiencias en la evaluación del SCIIF (Ley 22/2015, art. 79-89).

Compliance penal de la LO 5/2010 y LOPDGDD: un SCIIF efectivo, unido a un programa de compliance conforme a la UNE 19601, puede atenuar o excluir la responsabilidad penal de la persona jurídica (CP art. 31 bis); la LOPDGDD exige un registro de actividades de tratamiento para los datos personales usados en los controles internos y la AEPD sanciona con hasta el 4% de la facturación o 20 millones de euros.

Contribución a la documentación de procesos

Cada prueba de control documenta el control evaluado, su frecuencia, el responsable, la evidencia y el resultado (eficaz, no eficaz o no aplica). En caso de fallo registra además el tipo de deficiencia (de diseño o de eficacia operativa), el proceso significativo afectado, la materialidad estimada (no significativa, significativa o material), el escalado a la Comisión de Auditoría y el plan de acción correctiva con sus plazos. El Informe SCIIF se entrega mensualmente a la Dirección Financiera, trimestralmente a la Comisión de Auditoría y, una vez al año, estructurado según los apartados F.1 a F.7 de la CNMV para el IAGC. La documentación se archiva con certificado FNMT-RCM durante 6 años (art. 30 de la LSC) y 10 años en el caso de las sociedades cotizadas (art. 32 del RD 217/2008).

Evaluación

Agent Readiness 68-75%
Governance Complexity 34-41%
Economic Impact 70-77%
Lighthouse Effect 36-43%
Implementation Complexity 41-48%
Volumen de transacciones Diario

Requisitos previos

  • GRC platform integrada con ERP (SAP GRC, AuditBoard, Workiva, MetricStream o equivalente nativo Sage/A3)
  • Matriz roles y autorizaciones documentada cross-modular en ERP (Sage 200, A3ERP, SAP S/4HANA, Oracle Fusion)
  • Acceso a los registros de auditoría de los sistemas (ERP, CRM, tesorería y nómina) con una retención mínima de 6 años según el art. 30 de la LSC
  • Marco SCIIF formalizado según la Recomendación 43 de la CNMV y el marco COSO 2013 (entorno, evaluación de riesgos, actividades, información y monitoreo)
  • Integración por API con Verifactu (certificado FNMT-RCM) y con el SII de la AEAT para el cruce de operaciones
  • Comision Auditoria activa con consejero independiente segun LSC art. 529 ter (cotizadas) o Codigo Civil-Mercantil para no cotizadas

Contribución a la infraestructura

El agente forma parte de la infraestructura del Decision Layer dentro del Governance Meta-Layer: monitoriza los controles que implementan TODOS los demás agentes de finanzas. La verificación de segregación de funciones del Agente de Pago, el principio de cuatro ojos del Agente de Solicitud de Compra y la detección de anomalías del Agente de QA de Asientos se monitorizan de forma centralizada y se reportan a la Comisión de Auditoría. Consume los registros de auditoría de los sistemas ERP, los datos transaccionales para la detección de anomalías, los datos de Verifactu y el SII para el cruce, y los datos de roles para el análisis de segregación de funciones. Entrega la evaluación del SCIIF, el Informe de la sección F del IAGC, el rastro de auditoría para la Comisión de Auditoría y la carta SCIIF del auditor externo. La arquitectura es certificable desde el diseño para las pruebas sustantivas bajo las NIA-ES del ICAC, las Big Four y el reporte a la CNMV.

Qué contiene esta evaluación: 9 diapositivas para su equipo directivo

Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.

  1. 1

    Portada - Nombre del proceso, puntos de decisión, potencial de automatización

  2. 2

    Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización

  3. 3

    Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento

  4. 4

    Arquitectura de solución - Humano - motor de reglas - agente IA

  5. 5

    Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría

  6. 6

    Análisis de riesgos - 5 riesgos con probabilidad e impacto

  7. 7

    Hoja de ruta - Plan de 3 fases con fechas concretas

  8. 8

    Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad

  9. 9

    Propuesta de discusión - Próximos pasos concretos

Incluye: comparación de 3 escenarios

No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.

Mostrar metodología de cálculo

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.

Agente de Monitorización SCIIF

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Agentes relacionados

Agente de Preparación de Cuentas Anuales

Preparar cuentas anuales - orquestar checklist, redactar anexo, responder consultas del auditor.

W K
Readiness: 42-49%
Economic: 68-75%
Governance: 51-58%
Microdecisiones: 15
Anual

Agente de Detección de Fraude

El Compliance Officer y el director financiero afrontan cinco frentes sancionadores a la vez: la estafa del Código Penal (art. 248-251), la multa de hasta 9 millones de euros a la persona jurídica de la LO 5/2010, las sanciones del SEPBLAC en prevención del blanqueo (de 150.000 a 10 millones de euros), el modelo 232 de la AEAT y la sanción de la AEPD del 4% de la facturación.

W K
Readiness: 72-79%
Economic: 74-81%
Governance: 30-37%
Microdecisiones: 15
Diario

Agente de Documentación de Procedimientos

Mantener documentación de procedimientos automáticamente actualizada - reconocer cambios, generar borradores, cerrar lagunas.

K D
Readiness: 61-68%
Economic: 58-65%
Governance: 28-35%
Microdecisiones: 8
Diario

Preguntas frecuentes

Que diferencia CNMV Codigo Buen Gobierno 2020 vs actualizacion 2024 sobre SCIIF?

El Código de Buen Gobierno de la CNMV de 2020 se actualizó en junio de 2024 reforzando tres aspectos del SCIIF: (1) la Recomendación 42 amplía la exigencia de que un consejero independiente presida la Comisión de Auditoría (art. 529 ter de la LSC), tanto en las cotizadas del IBEX-35 como en el Mercado Continuo; (2) la Recomendación 43 incorpora la evaluación explícita de los riesgos ESG y de sostenibilidad dentro del SCIIF, en línea con la CSRD (Directiva UE 2022/2464); (3) la Recomendación 44 refuerza la supervisión externa, de modo que el auditor verifique la eficacia operativa de los controles y no solo su diseño, conforme a la NIA-ES 330. Las sociedades cotizadas debían adaptar la sección F del IAGC antes del 31/12/2025 y el agente actualiza automáticamente las plantillas a la versión de la CNMV de 2024.

Como funciona supervision ICAC sobre auditores en evaluacion SCIIF?

El ICAC (Instituto de Contabilidad y Auditoría de Cuentas) supervisa a los auditores inscritos en el ROAC mediante revisiones técnicas periódicas (cada 6 años para las entidades de interés público según el art. 27 de la Ley 22/2015), inspecciones de calidad sobre la evaluación del SCIIF conforme a las NIA-ES 315, 330 y 265, y sanciones de entre 12.000 y 72.000 euros por infracciones graves (art. 84 de la Ley 22/2015) que llegan a 720.000 euros en las muy graves (art. 85). Las deficiencias típicas del auditor en el SCIIF son una comprensión insuficiente del diseño de los controles (NIA-ES 315, párrafo 12), la evaluación de la eficacia operativa solo en la fecha de la auditoría sin cubrir todo el periodo y la falta de comunicación de las deficiencias significativas a la Dirección. El agente aporta al auditor evidencia continua sobre la eficacia operativa del SCIIF y reduce así el riesgo de sanción del ICAC.

Que documentacion SCIIF requiere CNMV en Informe Anual Gobierno Corporativo (IAGC) seccion F?

La Circular 5/2013 de la CNMV (modificada por la 2/2018) estructura la sección F del IAGC en siete bloques: F.1, entorno de control (estructura organizativa, código de conducta y canal de denuncias de la Ley 2/2023); F.2, evaluación de riesgos de las cuentas (procesos significativos, riesgos identificados y contraste con el auditor); F.3, actividades de control (matriz de controles operativos y segregación de funciones); F.4, información y comunicación (sistemas de reporte interno y externo); F.5, supervisión del SCIIF (Comisión de Auditoría, auditor interno y revisor externo); F.6, otra información relevante; y F.7, informe del auditor externo (carta SCIIF de la NIA-ES 720). Las sociedades cotizadas publican el IAGC en la web de la CNMV antes de la Junta General Ordinaria (art. 540 de la LSC). El agente genera automáticamente el contenido de los apartados F.1 a F.6 con datos consolidados.

Como afecta Verifactu RD 1007/2023 al SCIIF en empresas espanolas?

Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas (más de 6 millones de euros de facturación) y se extiende de forma escalonada a todas las empresas hasta el 1 de enero de 2026. Su impacto en el SCIIF es claro: cada factura debe llevar un número Verifactu y un esquema certificado por la AEAT generado por un sistema autenticado; el cruce entre las operaciones contabilizadas y el registro Verifactu es obligatorio; las discrepancias superiores al 2% son una deficiencia significativa del SCIIF reportable a la Comisión de Auditoría; y la integración con el SII (Suministro Inmediato de Información) mantiene el plazo de envío de 4 días a la AEAT para las empresas de más de 6 millones de euros. El agente realiza un cruce mensual entre las facturas emitidas en Verifactu, los asientos contables y las declaraciones del SII; las discrepancias activan una alerta SCIIF y el rastro de auditoría ante la AEAT. Este cruce protege frente a las sanciones de la LGT (art. 191-203, del 50 al 150% del importe omitido).

Como interactua compliance penal LO 5/2010 con SCIIF?

La LO 5/2010 introdujo la responsabilidad penal de las personas jurídicas en los artículos 31 bis a 31 quinquies del Código Penal, por delitos cometidos por administradores o empleados (cohecho, blanqueo, fraude fiscal, mercado de capitales, daños al medioambiente, etc.). Un SCIIF efectivo, junto con un programa de compliance conforme a la UNE 19601, puede atenuar (CP art. 31 bis 2) o excluir (CP art. 31 bis 4) esa responsabilidad si concurren tres condiciones: que el órgano de administración implantara el modelo de organización y gestión ANTES de cometerse el delito; que la supervisión del modelo se confiara a un órgano autónomo (el Compliance Officer); y que los autores eludieran fraudulentamente los controles. El agente integra los controles del SCIIF con el programa de compliance: la detección de anomalías señala un posible delito, el escalado al Compliance Officer y a la Comisión de Auditoría es automático y el rastro de auditoría completo sirve para la defensa penal. Las sentencias del Tribunal Supremo de 2024 confirmaron la atenuación de la responsabilidad para las empresas con el SCIIF y el compliance integrados.

Que es DNFR Ley 11/2018 y como impacta SCIIF para no cotizadas?

La Ley 11/2018 sobre el Estado de Información No Financiera Reforzada (DNFR) amplía la obligación de reporte no financiero a las sociedades de más de 250 empleados con una facturación superior a 40 millones de euros o un balance superior a 20 millones (umbrales reducidos respecto a la Directiva original). Las empresas obligadas deben publicar información sobre medioambiente, asuntos sociales, RRHH, derechos humanos y lucha contra la corrupción. Su implicación para el SCIIF es que los controles internos deben extenderse a procesos no financieros, como el cálculo de la huella de carbono, la diligencia debida de proveedores o la formación de RRHH. La Directiva CSRD (UE 2022/2464) amplía la obligación entre 2024 y 2026 a más de 40.000 empresas de la UE, incluidas las PYME cotizadas. El agente integra los controles ESG en el SCIIF: cruza los datos de sostenibilidad reportados con los sistemas operativos, valida los KPI ESG y genera el rastro de auditoría para el verificador de sostenibilidad (ISAE 3000).

Como prepara el agente la auditoria de cuentas Big-4 segun NIA-ES Substantive Testing?

El auditor externo - ya sea una Big Four española (Deloitte, PwC, EY o KPMG) o una firma mediana (BDO, Mazars, Grant Thornton) - sigue una metodología integrada del SCIIF conforme a la NIA-ES 315 (entender la entidad y los riesgos materiales) y la NIA-ES 330 (respuesta a los riesgos: confianza en los controles frente a prueba sustantiva). Si el SCIIF es efectivo, el auditor reduce el alcance de las pruebas sustantivas y se apoya en los controles; si es deficiente, amplía el muestreo sustantivo y aplica los procedimientos antifraude de la NIA-ES 240. El agente prepara automáticamente la matriz de riesgos materiales por proceso (NIA-ES 315), la documentación de los controles operativos con evidencia (NIA-ES 315, párrafo 12), el testing automatizado de asientos contables (NIA-ES 240), la detección de anomalías por aprendizaje automático para identificar el riesgo de fraude y el cruce de las estimaciones contables (NIA-ES 540) con los datos históricos. Las empresas con un SCIIF certificable desde el diseño reportan una reducción de los honorarios de auditoría de entre el 15 y el 25% según el benchmarking de AECA.

¿Qué pasa después?

1

30 minutos

Primera reunión

Analizamos su proceso e identificamos el punto de inicio óptimo.

2

1 semana

Discover

Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.

3

3-4 semanas

Build

Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.

4

12-18 meses

Autosuficiencia

Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.

¿Implementar este agente?

Evaluamos su panorama de procesos financieros y mostramos cómo este agente encaja en su infraestructura.