Dubai VARA publica nuevas normas de regulación cripto: los VASP deben actualizar la evaluación de riesgos cada trimestre y requieren aprobación obligatoria del consejo de administración

La Autoridad Reguladora de Activos Virtuales de Dubái (VARA) publicó el 12 de junio la «Guía de prácticas recomendadas para la evaluación de riesgos de negocios de la AML/CFT para VASP», exigiendo de forma explícita que todos los Proveedores de Servicios de Activos Virtuales con licencia (VASP) completen una revisión de evaluación de riesgos de negocios de AML/CFT (BRA) cada tres meses, y que obtengan la aprobación formal de la Junta (o el órgano de gobernanza equivalente); la aprobación únicamente del nivel directivo superior no cumple con el requisito.

Obligaciones legales de BRA confirmadas por la Sección III.D de VARA

De acuerdo con los requisitos legales confirmados en la Sección III.D del «Manual de Reglas de Cumplimiento y Gestión de Riesgos de VARA»:

Intervalo máximo de revisión: no más de tres meses (Rule III.D.3)

Actualización por cambios importantes: cualquier cambio importante en los ámbitos listados en la Rule III.D.2 debe actualizarse de inmediato

Obligación de verificación de efectividad: el VASP debe demostrar a la VARA que los resultados del BRA guían directamente la formulación y actualización de políticas, procedimientos, sistemas y controles de AML/CFT (Rule III.D.4)

Alcance: el BRA debe reflejar las actividades comerciales específicas del VASP, su base de clientes, la gama de productos, la distribución geográfica, y el entorno de amenazas reflejado en la evaluación nacional de riesgos (NRA) de los Emiratos Árabes Unidos

Confirmación de VARA: la aprobación únicamente del nivel directivo superior no puede proporcionar un reto independiente equivalente ni rendición de cuentas de gobernanza; el BRA debe ser aprobado formalmente por la Junta, y deben registrarse la fecha específica de aprobación y el contenido sustantivo de las discusiones o los retos realizados por la Junta.

Modelo de las tres líneas de defensa y confirmación de la propiedad por parte del MLRO

Requisitos de estructura de gobernanza confirmados por la guía de VARA:

Primera línea de defensa: la función de Cumplimiento y la de MLRO son responsables de la preparación y propiedad del contenido del BRA

Segunda línea de defensa: la función de riesgos o la Junta proporciona un reto independiente

Tercera línea de defensa: auditoría interna valida de forma independiente la metodología del BRA y la efectividad de los controles; si la capacidad de auditoría interna es limitada, se puede encargar esta función a una parte externa independiente por ciclo de riesgo

La guía también confirma: la revisión temática de BRA de 2026 de VARA adopta un enfoque dual—un cuestionario estructurado (que cubre ocho temas, incluyendo gobernanza y rendición de cuentas del nivel directivo superior, alcance y metodología, fuentes de datos y base de evidencias, etc.) y un análisis regulatorio detallado de los documentos BRA presentados por los VASP.

Confirmación de requisitos de metodología de evaluación cuantitativa e integración de datos

Requisitos de metodología de buenas prácticas confirmados por la guía de VARA:

Marco de puntuación cuantitativa: usar una matriz de puntuación numérica (normalmente escalas de cinco niveles de probabilidad y consecuencias); la efectividad del control utiliza una puntuación definida por niveles; la puntuación de cada categoría de riesgo se resume en la calificación de riesgo general del BRA mediante un mapa de calor registrado

Requisitos de integración de datos: deben incluirse la distribución de calificaciones de riesgo de clientes, datos de alertas de monitoreo de transacciones, tendencias y cantidad de STR/SAR, resultados del cribado de sanciones, volumen de transacciones por producto y distribución geográfica, y grado de exposición a jurisdicciones de alto riesgo

Fuentes de referencia externas: la UAE NRA, la lista de jurisdicciones de alto riesgo de FATF, informes de tipologías de FATF, las guías de MENAFATF y documentos de análisis estratégico de la UAE FIU deben citarse explícitamente en el BRA

Preguntas frecuentes

¿Qué tan pronto, como máximo, debe completarse una actualización trimestral del BRA exigida por VARA?

De acuerdo con la Sección III.D.3 del «Manual de Reglas de Cumplimiento y Gestión de Riesgos de VARA», el intervalo de revisión del BRA no puede exceder tres meses (es decir, al menos una vez por trimestre). Además, si se producen cambios importantes en los ámbitos indicados en la regla III.D.2, debe actualizarse de inmediato, independientemente de cuánto tiempo haya pasado desde la última revisión.

¿Por qué una aprobación del BRA solo por el nivel directivo superior no cumple con los requisitos de VARA?

De acuerdo con la guía de VARA, el papel central de la Junta es proporcionar un reto independiente sobre las conclusiones del MLRO (en particular la calificación de riesgo residual, las suposiciones sobre la efectividad de los controles y la suficiencia del marco de apetito de riesgo). La aprobación únicamente del nivel directivo superior no puede proporcionar un reto independiente de la misma calidad ni rendición de cuentas de gobernanza; por lo tanto, no cumple con el requisito.

¿La revisión temática del BRA de VARA abarca a todos los VASP con licencia?

Según lo indicado por la guía, VARA realiza periódicamente revisiones temáticas de BRA sobre todos los VASP con licencia en el ámbito de la industria, adoptando un enfoque dual: un cuestionario estructurado (que cubre ocho áreas temáticas) y un análisis regulatorio detallado del contenido de los documentos BRA presentados por los VASP. Esta guía se publica precisamente con base en las observaciones regulatorias de la revisión temática de BRA de 2026.