Compliance y auditorías para FinTech
Auditorías regulatorias, revisiones de procedimientos, soporte continuo de compliance y preparación para inspecciones — para entidades de pago, prestamistas y otras entidades supervisadas.
¿cómo podemos ayudarte?
Auditorías
Verificaremos si el sistema de gestión de seguridad de la información de tu organización cumple los requisitos de NIS2/KSC. Identificaremos las brechas y mostraremos qué mejorar en primer lugar.
Más informaciónAuditorías
Verificaremos la eficacia de los procedimientos de prevención del blanqueo de capitales. Objetivo: no solo el cumplimiento, sino la mejora real de los procesos de identificación, monitorización y reporte.
Más informaciónAuditorías DORA
Evaluaremos la resiliencia digital de tu organización conforme a DORA. Revisaremos las políticas de TI, la continuidad de negocio, la gestión de proveedores y la preparación ante incidentes.
Más informaciónCompliance as a Service
Soporte continuo para los departamentos de compliance y jurídico. Monitorizamos los cambios, actualizamos los procedimientos, ayudamos en el reporting y consultamos las decisiones del día a día.
Más informaciónExternalización del DPD
Asumimos la función de delegado de protección de datos u oficial AML. Desempeñamos el rol, reportamos al consejo de administración, gestionamos incidentes y mantenemos el contacto con los reguladores.
Más informaciónRevisiones anuales de procedimientos
La normativa exige revisiones anuales de los procedimientos AML, RGPD, SGSI y DORA. Las realizamos por ti e indicamos qué hay que actualizar.
Más informaciónApoyo en inspecciones
Prepararemos a tu organización para una inspección de la KNF, la GIIF o la UODO. Realizaremos una simulación, ayudaremos durante la inspección y analizaremos los resultados.
Más informaciónFormación
Formamos a los equipos en AML, RGPD, NIS2, DORA y responsabilidad del consejo de administración. Talleres presenciales y plataforma de e-learning — adaptados al rol en la organización.
Más informaciónRevisión de procedimientos y procesos
Revisión integral de los procedimientos y procesos de las entidades supervisadas. Mapeamos las obligaciones regulatorias, identificamos las brechas y preparamos un plan correctivo.
Más informaciónDue Diligence
Examen regulatorio antes de la compra, venta o captación de un inversor para un FinTech. Evaluaremos las licencias, los procedimientos, los riesgos de compliance y la seguridad de TI.
Más informaciónnuestros expertos en compliance y auditorías
Combinamos conocimiento jurídico, regulatorio y operativo. Conocemos la realidad de las entidades supervisadas porque trabajamos con ellas a diario.
Tomasz Klecor
Socio Director
Navegador FinTech. Jurista.
Paweł Geremek
Abogado
Auditor ISO 27001
marcas fintech con las que hemos trabajado
auditorías del sistema de gestión de seguridad de la información
Verificamos si el SGSI de tu organización funciona como debería — no solo sobre el papel. Revisamos políticas, procesos y medidas técnicas de seguridad respecto a los requisitos de NIS2/KSC y las mejores prácticas.
Inventario de activos
Verificamos si dispones de un registro actualizado de activos de información y si hay responsables asignados a cada uno de ellos. Sin esto, es difícil gestionar el riesgo.
Evaluación de riesgos
Verificamos si el análisis de riesgos está actualizado y es adecuado a la escala de la actividad. Revisamos la metodología, los criterios y la vinculación con las decisiones del consejo de administración.
Políticas de seguridad
Evaluamos la integridad y coherencia de las políticas de seguridad: desde el control de accesos, pasando por el cifrado, hasta la gestión de incidentes y proveedores.
Plan de continuidad de negocio
Verificamos si existen un BCP y un DRP, si están probados y si contemplan escenarios reales de fallo. Sin ellos, la organización queda indefensa ante un incidente grave.
Pruebas y simulaciones
Verificamos si la organización prueba con regularidad los mecanismos de seguridad: pruebas de penetración, simulacros de incidentes, pruebas de recuperación de datos.
Informe de auditoría y recomendaciones
Entregamos un informe con los resultados de la auditoría, la priorización de las brechas y recomendaciones correctoras concretas. Ayudamos a implantar los cambios.
auditorías AML — mejora de procedimientos
No hacemos auditorías por el mero hecho de generar un informe. Nuestro objetivo es la mejora real de los procedimientos de prevención del blanqueo de capitales — para que sean eficaces en el trabajo diario y estén listos para una inspección de la GIIF.
Revisión de procedimientos CDD/EDD
Verificamos si los procedimientos de identificación y verificación de clientes funcionan correctamente: onboarding, verificación del origen de los fondos, gestión de PEP y países de alto riesgo.
Monitorización de transacciones
Evaluamos la eficacia del sistema de monitorización: reglas de alertas, umbrales de importe, lógica de escalado y tiempos de respuesta. Indicamos qué genera falsas alarmas y qué pasa por alto riesgos reales.
Pruebas de alertas e informes STR
Probamos el recorrido desde la detección de una transacción sospechosa hasta el informe a la GIIF. Verificamos si las alertas no se pierden en el sistema y si los informes se elaboran dentro del plazo requerido.
Verificación de la identificación del UBO
Verificamos si el proceso de identificación del titular real funciona correctamente: estructuras de propiedad, umbral del 25%, discrepancias con el registro y documentación.
Evaluación de riesgo ML/FT
Verificamos si la evaluación institucional del riesgo de blanqueo de capitales y financiación del terrorismo está actualizada, es completa y se vincula con medidas correctoras concretas.
Informe y plan de mejoras
Entregamos un informe de la auditoría AML con recomendaciones concretas y priorización. Ayudamos a implantar los cambios que mejorarán realmente la eficacia de los procedimientos.
auditorías DORA — mejora de procedimientos
Verificamos la preparación de la organización ante los requisitos de resiliencia digital: desde las políticas de TI, pasando por la gestión de proveedores, hasta la preparación ante incidentes. Indicamos qué mejorar para que la implantación de DORA tenga sentido.
Revisión de la política de TI
Evaluamos las políticas de gestión del riesgo de TI: documentación, reparto de responsabilidades, mecanismos de control y vinculación con las decisiones del consejo de administración.
Pruebas de BCP y DRP
Verificamos los planes de continuidad de negocio y recuperación ante desastres: si existen, si se prueban y si contemplan los escenarios exigidos por DORA.
Gestión de proveedores de TI
Verificamos si los proveedores de TI están clasificados, monitorizados y cubiertos por las cláusulas contractuales adecuadas. Especialmente importante para los proveedores críticos.
Clasificación de incidentes
Evaluamos el procedimiento de clasificación de incidentes de TI: criterios de relevancia, vías de escalado, plazos de notificación y vinculación con las obligaciones frente al supervisor.
Registro de riesgos de TI
Verificamos si el registro de riesgos de TI está completo, actualizado y si los riesgos tienen asignadas personas responsables y acciones de mitigación previstas.
Informe y plan de mejoras
Entregamos un informe de la auditoría DORA con priorización de las brechas y recomendaciones. Ayudamos a preparar un plan de implantación de cambios adaptado a la escala de la organización.
compliance as a service — soporte continuo
Soporte continuo para los departamentos de compliance y jurídico en modelo de suscripción. Monitorizamos los cambios, actualizamos documentos y ayudamos en las decisiones del día a día — para que no tengas que estar pendiente de todo tú mismo.
Monitorización de cambios regulatorios
Hacemos seguimiento de los cambios en la normativa, directrices y posiciones de los organismos supervisores. Te informamos de lo que es relevante para tu actividad y recomendamos la respuesta.
Actualización de la fuente
Cuando cambia la ley, actualizamos tus procedimientos, políticas y documentos internos. No esperamos a una inspección — actuamos con antelación.
Apoyo al equipo de compliance
Ayudamos a los equipos internos de compliance a resolver casos complejos, preparar posiciones y tomar decisiones en situaciones atípicas.
Informes periódicos
Preparamos informes para el consejo de administración y el consejo de supervisión: estado de cumplimiento, lista de riesgos, avance de las implantaciones y recomendaciones para los próximos pasos.
Consultas ad hoc
¿Tienes una pregunta sobre un nuevo producto, un cambio de proceso o una situación atípica? Escríbenos — respondemos al momento, sin esperar a la fecha de una reunión.
Coordinación entre departamentos
Ayudamos a sincronizar el trabajo de compliance, jurídico, TI y negocio. Velamos por que la normativa no bloquee los procesos y por que nadie trabaje aislado.
Externalización del DPD
Asumimos la función de oficial AML (AMLRO) o de delegado de protección de datos (DPO). Desempeñamos el rol, reportamos al consejo de administración, gestionamos incidentes y mantenemos el contacto con los reguladores — con plena responsabilidad.
Desempeño de la función de AMLRO
Asumimos el rol de oficial AML: supervisamos los procedimientos CDD/EDD, monitorizamos las transacciones, aprobamos los informes STR y nos encargamos del contacto con la GIIF.
Desempeño de la función de DPO
Desempeñamos el rol de delegado de protección de datos: supervisamos el tratamiento, asesoramos en las DPIA, gestionamos los derechos de las personas y mantenemos el contacto con el PUODO.
Reporting al consejo de administración
Reportamos con regularidad al consejo de administración y al consejo de supervisión el estado de cumplimiento, los riesgos y las recomendaciones. Preparamos los materiales para las reuniones según un ritmo establecido.
Gestión de incidentes
En caso de brecha de datos o transacción sospechosa actuamos de inmediato: llevamos a cabo la investigación, preparamos las notificaciones y coordinamos la respuesta.
Contactos con los reguladores
Gestionamos la correspondencia y los contactos con la KNF, la GIIF, el PUODO y otros organismos supervisores. Representamos a la organización en asuntos de compliance.
Formación de empleados
Dentro del outsourcing, formamos a los empleados en AML y protección de datos. Nos aseguramos de que el equipo sepa cómo actuar en el trabajo diario.
revisiones anuales de procedimientos
La mayoría de las normativas exige revisiones anuales de los procedimientos y la documentación. Lo hacemos de manera sistemática, comparamos el estado con el del año anterior e indicamos qué requiere actualización.
Revisión de los procedimientos AML
Evaluación anual de la eficacia de los procedimientos AML: CDD/EDD, monitorización de transacciones, reporte STR, screening de sanciones y evaluación del riesgo institucional.
Revisión del RGPD
Auditoría anual de cumplimiento del RGPD: actualización del registro de actividades, cláusulas informativas, contratos de encargo, DPIA y procedimiento de brechas.
Revisión del SGSI y NIS2
Verificación del sistema de gestión de seguridad de la información: políticas, análisis de riesgos, gestión de incidentes, cadena de suministro y obligaciones de notificación.
Revisión de DORA
Evaluación anual de los procedimientos de resiliencia digital: políticas de TI, gestión de proveedores de TI, clasificación de incidentes, pruebas BCP/DRP y registro de riesgos.
Análisis de los cambios legislativos
Verificamos qué cambios legales se han producido desde la última revisión y evaluamos su impacto sobre los procedimientos de la organización. Indicamos las brechas derivadas de las nuevas normas.
Informe anual y recomendaciones
Entregamos un informe que resume el estado de cumplimiento, los cambios respecto al año anterior, la lista de brechas y un plan priorizado de acciones correctivas.
apoyo en inspecciones de KNF / GIIF / UODO
Te prepararemos para una inspección antes de que llegue, ayudaremos durante su transcurso y analizaremos los resultados. Sabemos qué buscan los reguladores, porque hemos trabajado con ellos.
Preparación para una inspección de la KNF
Verificamos la preparación de la organización para una inspección de la Comisión de Supervisión Financiera: documentación, procedimientos, informes y estado del compliance en las áreas clave.
Preparación para una inspección de la GIIF
Verificamos la preparación para una inspección del Inspector General de Información Financiera: procedimientos AML, registros de transacciones, documentación CDD e informes STR.
Preparación para una inspección de la UODO
Verificamos la preparación para una inspección del Presidente de la Oficina de Protección de Datos Personales: registro de actividades, cláusulas informativas, contratos de encargo y procedimiento de brechas.
Simulación de inspección
Llevamos a cabo una simulación de inspección regulatoria: probamos los procedimientos, verificamos la documentación y la reacción del equipo. Señalamos los puntos débiles antes de la inspección real.
Asistencia durante la inspección
Te acompañamos durante la inspección: ayudamos en la preparación de respuestas, coordinamos la entrega de documentos y asesoramos en tiempo real.
Análisis post-inspección
Tras la inspección, analizamos los resultados y las recomendaciones del organismo supervisor. Ayudamos a preparar la respuesta, el plan correctivo y a implantar los cambios necesarios.
formaciones de compliance y normativa
Formamos al consejo de administración, al departamento de compliance, a ventas, a TI y a todo el equipo — con división por roles y adaptación a las particularidades de la organización. Talleres presenciales y plataforma de e-learning.
Formación
Formaciones de prevención del blanqueo de capitales: CDD/EDD, monitorización de transacciones, reporte STR, identificación de red flags y responsabilidad de los empleados.
Formación RGPD
Formaciones de protección de datos personales: obligaciones del tratamiento, derechos de las personas, procedimiento de brechas, DPIA y reglas prácticas para trabajar con datos de forma segura.
Formaciones NIS2 y ciberseguridad
Formaciones sobre las obligaciones de NIS2/KSC: gestión de la seguridad de la información, notificación de incidentes, responsabilidad del consejo de administración e higiene cibernética.
Formación DORA
Formaciones de resiliencia digital: gestión del riesgo de TI, gestión de proveedores, continuidad de negocio, clasificación de incidentes y obligaciones de notificación.
Formación
Talleres dedicados al consejo de administración y al consejo de supervisión: responsabilidad personal, modelo de decisión, supervisión del compliance y obligaciones derivadas de la normativa.
Plataforma de e-learning
Proporcionamos una plataforma de e-learning con módulos formativos para todos los empleados. Tests, certificados y registro de formaciones listo para una inspección.
revisión de procedimientos y procesos de entidades supervisadas
Revisión integral del conjunto de procedimientos y procesos de la entidad supervisada. Verificamos si la organización cumple todos los requisitos — desde el governance, pasando por la documentación, hasta el modelo operativo.
Auditoría de procesos operativos
Verificamos cómo son los procesos operativos clave de la organización: desde el onboarding del cliente, pasando por la gestión de transacciones, hasta la gestión de reclamaciones y litigios.
Revisión del governance
Evaluamos el modelo de gestión de la organización: reparto de responsabilidades, estructura de compliance, reporting al consejo de administración, supervisión interna y control.
Mapeo de obligaciones regulatorias
Creamos un mapa de las obligaciones regulatorias de la organización: qué exigen PSD2, AML, DORA, NIS2, RGPD y otras normativas, y quién responde de ello.
Identificación de brechas
Indicamos exactamente dónde la organización no cumple los requisitos: procedimientos que faltan, documentos desactualizados, controles insuficientes y puntos débiles en los procesos.
Plan correctivo
Preparamos un plan correctivo priorizado: qué hacer primero, qué puede esperar, cuánto durará la implantación y qué recursos serán necesarios.
Documentación post-revisión
Entregamos la documentación completa de la revisión: informe, matriz de riesgos, plan correctivo y un conjunto de recomendaciones listas para presentar al consejo de administración y a los reguladores.
due diligence antes de una transacción sobre un FinTech
¿Compras o vendes un FinTech, o estás captando un inversor? Examinaremos el estado regulatorio de la organización: licencias, procedimientos, riesgos de compliance y seguridad de TI — para que conozcas los riesgos reales antes de firmar.
DD regulatoria
Verificamos las licencias, las inscripciones en los registros, el estado de las obligaciones frente a la KNF y otros requisitos sectoriales. Comprobamos si la empresa opera legalmente y si no le amenazan procedimientos.
DD de compliance
Evaluamos el estado de los procedimientos de compliance: integridad de la documentación, eficacia de los controles internos, historial de incidentes y nivel de riesgos regulatorios.
DD AML
Examinamos los procedimientos AML: eficacia de la identificación de clientes, monitorización de transacciones, notificaciones a la GIIF, historial de inspecciones y exposición a sanciones.
DD de protección de datos
Verificamos el cumplimiento del RGPD: registro de actividades, bases jurídicas, contratos de encargo, transferencias de datos, historial de brechas y riesgo de procedimientos del PUODO.
DD de TI y ciberseguridad
Evaluamos la seguridad de TI: arquitectura de sistemas, gestión de proveedores, políticas de seguridad, preparación ante incidentes y cumplimiento de DORA/NIS2.
Informe DD y scoring de riesgo
Entregamos un informe de due diligence con la evaluación del riesgo en cada área, un scoring general y recomendaciones para el proceso transaccional o de inversión.
contacta sobre compliance y auditorías
Escríbenos o llámanos — en la primera conversación determinaremos el alcance y la etapa en la que se encuentra tu organización.
Describe tu proyecto
Escríbenos qué necesitas — una auditoría, una revisión de procedimientos, un soporte continuo o la preparación para una inspección.