Qué significa MLRO en la práctica
MLRO significa Money Laundering Reporting Officer. En un programa AML, el MLRO es la persona responsable de que las sospechas se escalen, de que las decisiones sobre reportar o no reportar se tomen correctamente y de que la empresa pueda demostrar después por qué actuó de una forma u otra.
El nombre exacto cambia según el país y la autoridad supervisora. Algunos marcos usan MLRO, otros hablan de nominated officer y otros emplean términos como AML compliance officer, BSA/AML compliance officer o responsable de cumplimiento en delitos financieros. El título importa menos que la pregunta de control: quién tiene autoridad, independencia, acceso a la información y suficiente peso interno para que la escalada AML y los reportes funcionen en la práctica.
En el trabajo diario, el problema del MLRO rara vez es solo "¿hay que reportar esto?". Normalmente es: ¿podemos demostrar qué ocurrió, qué comprobamos, quién decidió, por qué la decisión era razonable y qué hicimos después? Por eso un buen expediente MLRO conecta evaluación de riesgo del negocio, evaluación de riesgo del cliente, controles de sanciones y PEP, revisión de medios adversos, escalada interna, notas de caso, decisiones de reporte, información para la dirección y evidencia de auditoría recuperable.
MLRO vs nominated officer vs AML compliance officer
Estas funciones suelen estar cerca entre sí. En una empresa pequeña incluso pueden recaer en la misma persona. Aun así, conviene separar qué pregunta responde cada una.
| Función | Significado habitual | Resultado práctico |
|---|---|---|
| MLRO | Persona responsable de la escalada AML, el proceso de reporte y la supervisión de controles AML | Decisiones sobre sospechas, supervisión de controles, informes a dirección y evidencia de auditoría |
| Nominated officer | Término usado en Reino Unido para quien recibe reportes internos de sospecha y decide si existe sospecha | Revisión de reportes internos, justificación de SAR y reporte a la NCA cuando corresponda |
| AML compliance officer | Título internacional habitual para quien coordina el cumplimiento AML diario | Coordinación del programa AML, seguimiento continuo, formación, controles e informes a dirección o consejo |
| Responsable de delitos financieros | Función más amplia que cubre AML y riesgos adyacentes | Fraude, sanciones, soborno, corrupción, abuso de mercado, tipologías o relación con supervisores según la empresa |
Lo importante no es solo el cargo. La empresa debe poder demostrar quién recibe las escaladas de sospecha, quién decide si hay que reportar a la autoridad, quién es responsable de los controles AML y cómo la dirección conoce la eficacia de esos controles antes de que haya un problema.
Cuándo necesita una empresa un MLRO
Que una empresa necesite un MLRO depende del país, la autoridad supervisora, el sector, la licencia y el modelo de negocio. Servicios financieros, pagos, cripto, juego, servicios profesionales, inmobiliario y negocios de bienes de alto valor suelen necesitar una función AML designada, aunque el nombre exacto y la obligación legal cambien.
En la práctica, la necesidad aparece cuando la empresa tiene que gestionar sospechas, diligencia debida del cliente, exposición a sanciones, riesgo PEP, medios adversos, actividad transaccional u otros riesgos de delitos financieros.
Ejemplos habituales:
- bancos, entidades de pago, entidades de dinero electrónico y negocios de servicios monetarios;
- fintechs, proveedores de remesas, exchanges de criptoactivos, custodios y VASP;
- entidades de inversión, gestión patrimonial y gestión de activos;
- operadores de juego;
- agentes inmobiliarios, proveedores de servicios fiduciarios y societarios, contables, abogados y comerciantes de bienes de alto valor cuando aplique normativa AML.
Para una startup o scale-up, la pregunta no es solo "¿necesitamos este cargo?". Es: si más adelante se cuestiona un cliente de alto riesgo, una alerta o una transacción, ¿podemos demostrar quién asumió la escalada, quién tomó la decisión y dónde está la evidencia?
Nota jurisdiccional: MLRO y nominated officer en Reino Unido
En Reino Unido conviene usar la terminología con cuidado. Las empresas reguladas por la FCA nombran un MLRO para supervisar sistemas y controles AML. Bajo las Money Laundering Regulations, la persona que recibe reportes internos de sospecha y decide si existe sospecha es el nominated officer. En muchas empresas puede ser la misma persona, pero los términos no son idénticos en todos los contextos.
Fuera de Reino Unido, responsabilidades parecidas pueden estar en un AML compliance officer, BSA/AML compliance officer, responsable de cumplimiento o responsable de delitos financieros. Son funciones de control comparables, no títulos legales intercambiables.
Qué debe poder evidenciar un MLRO
Las políticas importan, pero no bastan. El registro útil es el que permite que otra persona entienda el caso meses después: qué ocurrió, qué se sabía en ese momento, qué factores de riesgo se consideraron, quién revisó el caso y por qué la decisión fue proporcional.
| Área de evidencia | Qué debe mostrar un buen expediente MLRO |
|---|---|
| Supuesto de revisión | Alerta, reporte interno, transacción, cambio de cliente, cambio de fuente, medio adverso, solicitud externa o revisión periódica |
| Cronología del caso | Qué ocurrió, cuándo ocurrió, quién lo revisó y qué cambió durante la revisión |
| Riesgo del cliente | Evaluación de riesgo del cliente, cambios de nivel, exposición jurisdiccional, riesgo de producto, canal de distribución y justificación comercial |
| Titularidad y relaciones | Titular real, administradores, personas de control, partes relacionadas, contrapartes y partes conectadas comprobadas |
| Resultados de comprobación | Sanciones, PEP, medios adversos, listas de vigilancia, riesgo país e historial interno |
| Justificación de coincidencias | Por qué un resultado se trató como positivo confirmado, coincidencia potencial, falso positivo, escalada o no coincidencia |
| Decisión de reporte | Reportar, no reportar, mantener en monitorización, pedir más información, terminar la relación o solicitar autorización cuando corresponda |
| Registro de auditoría | Analista, marca de tiempo, base de política, adjuntos utilizados, aprobaciones, resultado final y ubicación de la evidencia |
No se trata de conservar documentación por conservarla. Los MLRO necesitan registros que puedan sostener la diligencia debida del cliente, la reconstrucción de transacciones, los reportes internos y una revisión posterior por supervisores, auditores, dirección o autoridades.
Cómo documentar una decisión sobre una sospecha
Una decisión sobre una sospecha no debería parecer un resumen copiado de una alerta. Debe mostrar el razonamiento. El MLRO o la función equivalente debe poder explicar cómo se alcanzó la sospecha, o por qué no se alcanzó, con los hechos disponibles en ese momento.
Un buen registro de decisión responde:
- Qué activó la revisión.
- Quién o qué está implicado: cliente, titular real, contraparte, parte de pago, producto, país o transacción.
- Qué hechos se conocían en ese momento.
- Qué indicadores de riesgo se consideraron.
- Qué información redujo o aumentó la sospecha.
- Si el asunto era exposición a sanciones, riesgo PEP, medios adversos, fraude, delito fiscal, blanqueo de capitales, financiación del terrorismo o financiación de la proliferación.
- Si se reportó a la autoridad, no se reportó o la decisión quedó pendiente de más información.
- Si se reportó, cuál fue el motivo de sospecha y qué información de soporte se incluyó.
- Si no se presentó, por qué no se alcanzó el umbral de sospecha.
- Qué ocurrió después con la relación con el cliente o la transacción.
La guía de SAR de UKFIU ofrece un estándar útil más allá del contexto británico: el motivo de sospecha debe explicar por qué existe sospecha y cómo se llegó a ella. La narración debe ser clara, concisa, cronológica y escrita en lenguaje sencillo. Las siglas internas y las etiquetas del sistema no sustituyen a los hechos.
No mezclar sanciones, PEP, medios adversos y sospecha
Los expedientes MLRO son difíciles de defender cuando cada señal de riesgo se trata como si fuera el mismo problema. Estas señales pueden coincidir, pero no llevan a la misma decisión.
| Señal | Qué significa | Pregunta del MLRO |
|---|---|---|
| Exposición a sanciones | Una persona, empresa, buque, país o transacción puede estar vinculada a una obligación de sanciones | ¿Hay un positivo confirmado, una restricción legal, una cuestión de congelación de activos o una obligación de reporte bajo normas de sanciones? |
| Riesgo PEP | El cliente o una parte conectada tiene una función pública, vínculo familiar o relación cercana relevante | ¿Hace falta diligencia debida reforzada y se entiende el origen de fondos u origen del patrimonio? |
| Medios adversos | Información pública sugiere posible riesgo penal, regulatorio, reputacional o de integridad | ¿Cambia el riesgo del cliente, exige diligencia reforzada o apoya una sospecha? |
| Actividad sospechosa | La empresa conoce o sospecha blanqueo de capitales, financiación del terrorismo o patrimonio de origen delictivo | ¿Hay que reportar a la autoridad y cuál es el motivo de sospecha? |
| Riesgo de financiación de la proliferación | La relación, bienes, jurisdicciones, contrapartes o transacciones pueden crear exposición a PF | ¿La evaluación de riesgo PF y el marco de controles cubren este caso? |
Una PEP no es automáticamente criminal. Un medio adverso no es automáticamente sospecha. Un positivo de sanciones no es la misma decisión que reportar actividad sospechosa. Unas buenas notas de caso mantienen separadas estas rutas y, al mismo tiempo, muestran cómo una señal afectó al riesgo global.
Qué incluye un informe anual del MLRO
Muchos MLRO o responsables AML informan periódicamente a la dirección o al consejo. En Reino Unido, la FCA espera que la dirección reciba información adecuada sobre sistemas y controles AML, incluido al menos un informe anual del MLRO. Incluso cuando no exista un informe anual formal obligatorio, la misma disciplina es útil: explicar a la dirección si los controles funcionan y qué debe cambiar.
Un informe MLRO útil puede cubrir:
- estructura de gobierno, líneas de reporte, independencia del MLRO y acceso a la dirección;
- suficiencia de recursos AML, sistemas, datos y acceso a información;
- evaluación de riesgo del negocio y cambios en riesgo de cliente, producto, geografía, canal, sanciones y financiación de la proliferación;
- diligencia debida del cliente, diligencia debida reforzada, revisiones periódicas y actividad de remediación;
- funcionamiento de comprobaciones, volumen de alertas, falsos positivos, positivos confirmados, escaladas de sanciones, escaladas PEP y revisiones de medios adversos;
- reportes internos de sospecha, decisiones de reporte, reportes externos, solicitudes de autorización o consentimiento cuando correspondan y calidad de los registros de decisión;
- formación, concienciación del personal, actualizaciones de políticas y comunicación interna;
- pruebas de control, hallazgos de auditoría, incidencias, incumplimientos, remediación y recomendaciones de acción para la dirección.
La mejor versión no es una lista anual de actividad. Debe decir a la dirección si los controles AML funcionan, dónde está aumentando el riesgo y qué debe cambiar.
Cómo ayuda el software AML a un MLRO
El software AML no sustituye el juicio del MLRO y no debe describirse como si tomara decisiones legales de reporte por sí solo. Lo que sí puede hacer es reducir fricción: detectar cambios, dirigir alertas al equipo adecuado, mantener la evidencia del caso en un único lugar y conservar un registro revisable más adelante.
Un conjunto útil de controles para el MLRO conecta:
- evaluación de riesgo del cliente para niveles de riesgo, frecuencia de revisión y cambios de riesgo;
- comprobación de sanciones para exposición a sanciones y listas oficiales;
- comprobación de PEP para riesgo de cargo público, familiares y personas cercanas;
- comprobación de medios adversos para noticias negativas, enforcement y señales reputacionales;
- monitorización continua para cambios después del alta;
- gestión de casos para asignación de responsables, notas, escalada y resolución;
- evidencia de auditoría para analista, justificación, marcas de tiempo y registros de decisión;
- API de comprobación en tiempo real para alta de clientes, comprobación de transacciones, eventos de sistemas internos e integraciones de procesos.
Errores habituales en controles MLRO
En la práctica, los controles MLRO débiles suelen fallar de formas conocidas:
- Tratar la política AML como evidencia sin conservar registros de decisión a nivel de caso.
- Comunicar o no comunicar por intuición sin documentar la justificación.
- Comprobar solo en el alta y perder cambios posteriores a la aprobación.
- Suprimir falsos positivos sin preservar por qué la no coincidencia era razonable.
- Tratar sanciones, PEP, medios adversos, riesgo país, actividad sospechosa y financiación de la proliferación como si fueran una misma señal.
- Usar etiquetas genéricas de alto riesgo sin mostrar los factores que cambiaron la evaluación del cliente.
- Elaborar informes MLRO que enumeran actividad pero no evalúan la eficacia de controles ni recomiendan acciones.
- Mantener evidencia repartida entre correos, hojas de cálculo y mensajes sin una cronología fiable del caso.
FAQ
Qué significa MLRO
MLRO significa Money Laundering Reporting Officer. Es la persona responsable de la escalada AML, los reportes de sospecha y la evidencia que sostiene decisiones AML. Las funciones exactas y los títulos cambian según el país y la autoridad supervisora.
Es lo mismo un MLRO que un nominated officer
No siempre. Nominated officer es un término usado en Reino Unido para la persona que recibe reportes internos de sospecha y decide si existe sospecha. MLRO se usa a menudo de forma más amplia para supervisión AML y procesos de reporte. En algunas empresas, la misma persona puede asumir ambas responsabilidades.
Es lo mismo un MLRO que un responsable de cumplimiento
No siempre. Un responsable de cumplimiento puede cubrir obligaciones regulatorias más amplias, mientras que el MLRO se centra en sistemas y controles AML, escalada de sospechas, decisiones de reporte y evidencia. Las empresas más grandes o complejas pueden separar estas funciones.
Todas las empresas necesitan un MLRO
No. Los requisitos dependen del país, el sector, la licencia, el supervisor y el riesgo AML. Servicios financieros regulados, pagos, cripto, juego, servicios profesionales, inmobiliario y sectores de alto valor suelen necesitar una función AML designada, aunque el título pueda cambiar.
Qué evidencia debe conservar un MLRO
Un MLRO debe conservar evaluaciones de riesgo del cliente, resultados de comprobación, registros de comunicaciones internas, cronología de caso, justificación de coincidencias, decisiones sobre falsos positivos, evidencia de diligencia reforzada, decisiones sobre reporte, aprobaciones, marcas de tiempo, referencias de política y ubicación de los documentos de soporte.
Puede el software AML reportar por el MLRO
El software puede reunir evidencia, estructurar la revisión de casos, conservar el historial de auditoría y preparar información para un reporte. La decisión de reportar, el motivo de sospecha y cualquier reporte externo dependen de las obligaciones y del país de la empresa, y deben mantenerse bajo supervisión humana adecuada.
Fuentes oficiales clave
- GAFI - Risk-based approach for the banking sector
- GAFI - Guidance on risk-based supervision
- FinCEN - Advisory on culture of compliance
- FCA Handbook - SYSC 3.2 systems and controls, annual MLRO report, and MLRO authority
- FCA Handbook - SYSC 6.3 financial crime
- FCA - Money laundering and terrorist financing
- HMRC - Nominated officer
- Money Laundering Regulations 2017
- NCA - Suspicious Activity Reports
- UKFIU - Submitting a SAR best practice guidance
- JMLSG - MLRO annual report aide-memoire
- FCA - Risk assessment processes and controls in firms: findings
Continúa leyendo cómo deben usar los MLRO la lista gris del GAFI