Ultima revision
5 de julio de 2026
Fuente
ESMA
La Autoridad Europea de Valores y Mercados ha decidido que ya basta de dar por buena, sobre el papel, la independencia de la función de riesgos. El 3 de julio de 2026, ESMA anunció una Common Supervisory Action (CSA) con las autoridades nacionales competentes sobre la función de gestión de riesgos en sociedades gestoras de UCITS y gestores de fondos de inversión alternativos (AIFM). El ejercicio se desarrollará durante 2026 y 2027, y el informe final llegará en 2028.
Dicho de otro modo: durante dos años, los supervisores van a comparar si la segunda línea de defensa en el sector de gestión de activos existe de verdad o si sigue atrapada en ese modelo tan europeo de “sí, tenemos función de riesgos; se sienta al fondo, comparte recursos con medio organigrama y nadie le hace demasiado caso”.
La nota de ESMA es breve, pero el movimiento no lo es. La autoridad no ha lanzado una revisión genérica sobre cumplimiento, sino una acción coordinada centrada en tres bloques muy concretos: gobierno y organización de la función de riesgos; identificación, medición y seguimiento de riesgos; y reporting a alta dirección y órganos de gobierno. Cuando un supervisor afina así el tiro, normalmente no está rellenando agenda. Está señalando dónde cree que el mercado está flojo.
La función de riesgos en UCITS y AIFM no es una novedad regulatoria. Lleva años escrita negro sobre blanco. En el régimen UCITS, el marco arranca en la Directiva 2009/65/EC y se desarrolla con más detalle en la Directiva 2010/43/EU, que regula requisitos organizativos, conflictos de interés, gestión de riesgos y contenido del acuerdo entre depositario y sociedad gestora. En AIFMD, la referencia central sigue siendo la Directiva 2011/61/EU y, sobre todo, el Reglamento Delegado (UE) nº 231/2013, que concreta la separación funcional y jerárquica de la gestión de riesgos respecto de la gestión de cartera.
La parte jurídicamente interesante está ahí: la obligación no consiste en “tener en cuenta los riesgos”, frase que cabe en cualquier política corporativa bonita. La obligación va de estructura, medios, independencia, metodologías, límites, escalado y trazabilidad. En UCITS, la sociedad gestora debe emplear un proceso de gestión del riesgo que le permita medir y gestionar en todo momento los riesgos de las posiciones y su contribución al perfil global de riesgo de cada fondo. En AIFMD, los gestores deben separar funcional y jerárquicamente la gestión de riesgos de las unidades operativas, incluida la gestión de cartera, con ciertas excepciones sujetas a salvaguardas y proporcionalidad. Esa separación ha sido, precisamente, una de las zonas grises favoritas del sector.
Que ESMA active ahora una CSA sobre esta materia en 2026 no es casual. Llega después de varios años en los que los supervisores europeos han repetido tres preocupaciones de fondo.
La primera: la complejidad real de los riesgos ha subido. Tipos de interés menos predecibles, liquidez más frágil en determinados segmentos, exposición a crédito privado, mercados menos lineales y dependencia tecnológica creciente. La gestión de activos sigue vendiéndose como industria de procesos refinados, pero también vive de hojas Excel heroicas y gobernanza a veces decorativa. Mala mezcla.
La segunda: el riesgo operacional ya no puede tratarse como apéndice administrativo. DORA es aplicable desde el 17 de enero de 2025 a entidades financieras cubiertas por el Reglamento (UE) 2022/2554, y aunque no toda gestora cae exactamente igual en su perímetro, el tono supervisor europeo ha cambiado de forma evidente. Riesgo operativo, terceros TIC, continuidad, incidentes y resiliencia han dejado de ser un anexo para equipos de IT. Si una función de riesgos de una gestora sigue concentrada casi exclusivamente en mercado, liquidez y contraparte, está desfasada.
La tercera: los reguladores europeos llevan tiempo obsesionados, con razón, con la convergencia supervisora. La misma norma no puede significar una cosa en París, otra en Madrid y otra en Luxemburgo. Las CSA de ESMA sirven justo para eso: someter un tema a un marco común de revisión, comparar prácticas nacionales y, de paso, elevar el listón donde haga falta.
Por eso esta acción no debe leerse como un trámite burocrático. Es una advertencia de supervisión coordinada con efecto retardado pero muy tangible: requerimientos correctivos durante 2026 y 2027, y un informe final en 2028 que probablemente terminará fijando nuevas expectativas de facto para todo el mercado.
La nota oficial identifica tres áreas. Conviene traducirlas a preguntas que de verdad importan en una inspección.
Aquí el supervisor querrá saber si la función de riesgos tiene entidad propia o si vive subordinada, formal o materialmente, a la gestión de cartera, al CFO o a un comité donde todos opinan pero nadie decide. En la práctica, eso se convierte en preguntas muy concretas:
En AIFMD, el Reglamento Delegado 231/2013 es bastante menos ambiguo de lo que a algunos les gustaría. El gestor debe aplicar salvaguardas adecuadas para evitar conflictos de interés y permitir un ejercicio independiente de la gestión de riesgos. La proporcionalidad existe, sí, pero no es un comodín para justificar estructuras donde la independencia cabe en una diapositiva y desaparece en la operativa diaria.
El foco en “efectividad, independencia y experiencia” que menciona ESMA apunta directamente a un problema conocido: hay entidades que cumplen la forma, no el fondo. Tienen organigrama, política, comité y actas. Lo que no siempre tienen es capacidad real para identificar un deterioro de liquidez, cuestionar valoraciones ilrealistas o elevar riesgos operacionales serios sin pasar por el tamiz comercial.
Esta segunda área es menos glamourosa en un folleto comercial y mucho más decisiva cuando los mercados se ponen nerviosos. El supervisor va a mirar si las gestoras identifican riesgos materiales y si los miden con metodologías consistentes con el perfil del fondo. No basta con decir que se monitorizan riesgos de mercado, crédito, liquidez, contraparte y operacionales. Hay que demostrar cómo, con qué frecuencia, con qué límites, con qué fuentes de datos y qué ocurre cuando salta una alerta.
En UCITS, una pregunta clásica sigue siendo si el proceso de gestión del riesgo captura de verdad la exposición global y el perfil de derivados del fondo. En AIFM, el abanico se amplía por la heterogeneidad de estrategias y activos. Un gestor de private debt, un fondo inmobiliario, un hedge fund y una estrategia de infraestructuras no deberían sonar igual cuando describen su mapa de riesgos. Si suenan igual, algo falla.
El ángulo operacional merece atención especial. ESMA lo cita expresamente entre los riesgos materiales. Ahí confluyen desde fallos de procesos y errores de valoración hasta dependencia de administradores, depositarios, proveedores cloud, agentes de cálculo, sistemas de órdenes y proveedores de datos. En 2026, seguir tratando el riesgo operacional como un cajón de sastre residual ya no es defendible. Menos aún cuando la continuidad del servicio depende de terceros tecnológicos y cadenas de subdelegación que pocas gestoras mapean con el detalle que hoy exige la supervisión europea.
Esta es la prueba del algodón. Porque una función de riesgos puede tener metodología sofisticada y, aun así, fracasar si reporta tarde, reporta mal o reporta tanto que nadie distingue lo urgente de lo accesorio.
Lo que previsiblemente examinarán las autoridades es si los informes de riesgos permiten una toma de decisiones real: indicadores clave, umbrales, brechas frente a límites, tendencias, incidentes operativos, resultados de pruebas de estrés, escalados, decisiones adoptadas y seguimiento. También importa la cadencia. Un reporte trimestral impecable sirve de poco si el evento crítico se produce dos semanas después de la reunión y nadie activa un canal extraordinario.
Aquí asoma un problema recurrente en juntas y consejos: el exceso de información mata la supervisión tanto como la falta de información. Hay consejos que reciben 150 páginas de métricas y salen de la sesión sin haber discutido la única pregunta relevante: qué riesgo material ha cambiado desde el mes pasado y qué decisión pide hoy la función de riesgos.
Hay mensajes regulatorios que llegan por lo que afirman. Otros, por lo que seleccionan. Esta CSA pertenece a la segunda categoría.
ESMA no ha anunciado un ejercicio general sobre cumplimiento de UCITS o AIFMD. Ha elegido la función de riesgos. Eso sugiere, al menos, cuatro conclusiones razonables.
La primera es que la autoridad sospecha disparidad material entre Estados miembros. Si no, no haría falta una acción común con marco de evaluación compartido. La convergencia supervisora no se activa para revisar lo que ya está razonablemente homogeneizado.
La segunda es que el supervisor quiere evidencias más duras. El comunicado habla de un common assessment framework que fija alcance, metodología, expectativas supervisoras y calendario. Traducido: menos espacio para respuestas narrativas, más comparabilidad entre expedientes, más facilidad para detectar desviaciones y menos escapatorias retóricas.
La tercera es que la independencia de riesgos sigue siendo una herida abierta. Si ESMA la destaca de forma expresa, no es porque quiera felicitar a la industria. Es porque prevé encontrar funciones infra-dotadas, mezclas de roles mal justificadas y líneas de reporte donde el negocio sigue dominando.
La cuarta es más incómoda: el regulador está acercando la gestión de activos a la lógica de gobernanza que ya se ha endurecido en banca, seguros y resiliencia digital. No de forma idéntica, pero sí en filosofía. Los supervisores ya no se conforman con controles documentados. Quieren poder demostrar que la función crítica funciona bajo presión.
A primera vista, la CSA de ESMA no trata de DORA. Jurídicamente, no es una revisión DORA. Pero ignorar ese contexto sería leer el mercado con un año de retraso.
DORA, en su artículo 6, exige un marco de gestión del riesgo TIC sólido, integral y bien documentado. Los artículos 10 y 11 se ocupan, entre otras cosas, de detección y respuesta. El artículo 17 aborda la gestión, clasificación y notificación de incidentes relacionados con TIC. El capítulo V, a partir del artículo 28, se centra en la gestión del riesgo de terceros proveedores de servicios TIC. Todo eso ha empujado a las entidades financieras a revisar inventarios, dependencias, pruebas de resiliencia, gobernanza y reporting.
¿Qué pinta eso aquí? Mucha. Porque en una gestora seria, la función de riesgos no puede estar desconectada del riesgo TIC, del riesgo de terceros y del riesgo operacional derivado de dependencias tecnológicas. Si la segunda línea se limita a recibir un resumen trimestral de IT, mientras la subcontratación crítica, la concentración en cloud o los fallos de reconciliación viven en otro universo, la foto supervisora es mala. Y va a empeorar.
NIS2 también presiona, aunque desde otra lógica. La Directiva (UE) 2022/2555 obliga a determinadas entidades esenciales e importantes a adoptar medidas de gestión de riesgos de ciberseguridad en su artículo 21 y a notificar incidentes significativos conforme a su régimen de reporting. No todas las gestoras estarán dentro del perímetro NIS2 por la misma vía, pero la conversación regulatoria europea ya se ha desplazado hacia la responsabilidad de órganos de dirección, la supervisión de terceros y la demostrabilidad de controles.
El resultado práctico es este: ESMA revisa la función de riesgos con lentes de UCITS y AIFMD, pero el mercado llega a esa revisión después de que DORA haya endurecido la conversación sobre resiliencia operativa. Quien pretenda mantener compartimentos estancos entre riesgo financiero, operacional y tecnológico está peleando la guerra regulatoria anterior.
La CSA se desarrollará “throughout 2026 and 2027”, según ESMA. Eso no significa necesariamente una única inspección formal por entidad, pero sí una combinación de cuestionarios, peticiones documentales, revisiones temáticas, reuniones supervisoras y, en algunos casos, trabajo in situ. Cada autoridad nacional competente aplicará el marco común de ESMA, lo que aumenta la comparabilidad de hallazgos.
Si diriges compliance, riesgos o auditoría interna en una gestora, las preguntas más probables no son misteriosas. Son las de siempre, pero esta vez con menos paciencia para respuestas vagas:
La entidad que solo tenga políticas genéricas y matrices impecables en PowerPoint va a sufrir. La que pueda enseñar ejemplos concretos de límites incumplidos, escalados reales, decisiones difíciles y seguimiento posterior saldrá mejor parada. Suena paradójico, pero a veces un expediente con incidentes bien gestionados resulta más tranquilizador para el supervisor que un expediente milagrosamente limpio. Los milagros, en supervisión, suelen llamarse infradeclaración.
No hace falta jugar a adivino para anticipar los puntos sensibles. Llevan años apareciendo, con variaciones, en revisiones supervisoras y auditorías internas del sector.
La versión clásica: el responsable de riesgos aparece separado en el organigrama, pero en la práctica depende de la misma cadena de mando comercial, comparte objetivos de negocio o carece de poder para escalar sin coste político. Si además la remuneración variable está alineada con métricas comerciales, la independencia se convierte en literatura.
Un equipo de riesgos de dos personas puede ser razonable en una estructura sencilla. No lo es si supervisa múltiples estrategias ilíquidas, derivados, delegaciones transfronterizas y una red de terceros críticos. La proporcionalidad no absuelve la infradotación. Solo exige justificar los medios en función del riesgo real.
En UCITS y en ciertos AIF abiertos, la liquidez sigue siendo uno de los puntos donde el papel aguanta mejor que la realidad. Metodologías estáticas, clasificaciones de activos demasiado generosas, dependencia excesiva de datos históricos o pruebas de estrés poco accionables son defectos bastante comunes.
Muchos incidentes operativos acaban repartidos entre operaciones, tecnología, compliance y proveedores externos, con la función de riesgos como espectadora. ESMA, al incluir el riesgo operacional de forma expresa, pone presión sobre ese modelo deshilachado. El supervisor querrá ver propiedad, taxonomía, métricas y escalado.
Consejos y comités reciben documentos extensos, llenos de semáforos verdes y anexos técnicos, pero sin una narrativa de riesgo clara. Si un órgano de administración no puede explicar cuáles son los tres principales riesgos de una gama de fondos y qué medidas está siguiendo, el problema no es de lectura rápida. Es de gobernanza.
Para las gestoras españolas, la CSA tiene una derivada muy concreta: no será una revisión abstracta de Bruselas, sino una supervisión aterrizada a través de la CNMV dentro de un marco común europeo. Eso cambia el juego por dos motivos.
El primero es comparativo. La autoridad nacional ya no examina en solitario; participa en un ejercicio donde metodologías y expectativas se alinean a nivel UE. El margen para soluciones “localmente aceptables” pero débiles frente al estándar europeo se estrecha.
El segundo es reputacional. Si de esta CSA salen patrones de debilidad por jurisdicción o por tipo de entidad, las gestoras afectadas no solo lidiarán con requerimientos concretos, sino con una presión de mercado más amplia: depositarios, distribuidores, inversores institucionales y comités de due diligence tienden a incorporar rápido las prioridades supervisoras a sus cuestionarios.
En España hay, además, un factor práctico: muchas gestoras medianas operan con estructuras ajustadas y fuerte dependencia de delegaciones, administradores y proveedores especializados. Ese modelo puede ser perfectamente válido, pero obliga a demostrar mucho mejor la supervisión de terceros, la calidad del dato y la capacidad de la función de riesgos para cuestionar información que no produce ella misma.
Quien crea que esto solo afecta a grandes plataformas internacionales comete un error de lectura. Las CSA suelen poner especial atención en cómo se aplica la proporcionalidad. Y la proporcionalidad no consiste en hacer menos, sino en hacer lo necesario de forma coherente con tu tamaño y complejidad. Eso exige una justificación técnica bastante más sólida que “somos una entidad pequeña”.
No hace falta fabricar una montaña documental nueva, pero sí ordenar la evidencia que de verdad sostiene la función. Si mañana llega un requerimiento, estas piezas deberían salir en horas, no en semanas.
Hay un detalle que suele pasarse por alto: la evidencia de desacuerdo. Si la función de riesgos nunca discrepa, nunca escala y nunca fuerza una discusión, o la entidad es perfecta o la función no está funcionando como debe. Ya sabemos cuál de las dos explicaciones resulta más creíble para un supervisor.
Uno de los errores más habituales en gestoras es tratar la función de riesgos como asunto técnico, confinado a especialistas. La CSA apunta también al órgano de administración. ESMA ha incluido expresamente el reporting a alta dirección y a cuerpos de gobierno porque ahí se decide si la segunda línea es decorativa o influyente.
Los consejeros deberían hacerse preguntas bastante incómodas este mismo trimestre. ¿Reciben información de riesgos a tiempo? ¿Entienden qué métricas importan y cuáles son puro ruido? ¿Saben qué límites se han incumplido en 2026 y qué respuesta se adoptó? ¿Pueden distinguir entre un incidente operativo menor y un fallo sistémico con impacto en valoración, liquidez o cumplimiento? ¿Conocen las dependencias críticas de terceros?
Si la respuesta es no, la debilidad no está solo en la función de riesgos. Está en el gobierno corporativo. Y eso, en la Europa supervisora de 2026, ya no se arregla con una sesión de formación express y un par de nuevas diapositivas para el comité.
ESMA publicará los resultados en 2028. Ese informe será más que una foto retrospectiva. Normalmente, las CSA dejan tres herencias.
La primera son expectativas supervisoras más concretas. Aunque no cambie el texto legal, cambia la forma en que se interpreta y exige. En la práctica, eso eleva el estándar de mercado.
La segunda son acciones correctoras nacionales. Las autoridades no esperarán necesariamente a 2028 para actuar sobre hallazgos serios detectados en 2026 o 2027. Si encuentran fallos de independencia, carencias metodológicas o reporting ineficaz, pueden imponer remediación antes.
La tercera es el efecto de arrastre sobre otras funciones de control. Cuando una revisión paneuropea concluye que riesgos está infra-dotada o mal integrada, auditoría interna, cumplimiento, outsourcing y gobernanza de producto suelen entrar en el radar después. Los supervisores rara vez descubren una debilidad estructural aislada. Suelen encontrar ecos del mismo problema en varias líneas.
Mi apuesta es que el informe final terminará insistiendo en algo bastante menos exótico de lo que muchos esperan: recursos, independencia real, integración del riesgo operacional y mejor calidad del reporting. No hará falta un giro doctrinal enorme. Bastará con aplicar de verdad lo que ya estaba escrito.
La noticia de ESMA puede parecer rutinaria para quien colecciona comunicados supervisores. No lo es. Tiene un objetivo nítido: comprobar si la función de riesgos de las gestoras europeas es capaz de identificar, medir, vigilar y escalar riesgos materiales con autonomía y criterio técnico.
Eso suena elemental. Precisamente por eso incomoda. Porque obliga a mirar de frente una verdad poco glamurosa: buena parte de la gobernanza en gestión de activos sigue funcionando por inercia, reputación histórica y confianza implícita en que el negocio “ya sabe lo que hace”. El supervisor europeo está diciendo que esa época se acabó.
La pregunta para las gestoras no es si tienen política de riesgos. La pregunta es si su función de riesgos puede llevar la contraria, ganar una discusión y dejar rastro documental de que lo hizo. Si la respuesta es dudosa, la CSA no llega pronto; llega tarde.
Y aquí está el quid. ESMA no ha lanzado una guerra cultural contra la industria. Ha activado una revisión técnica con calendario, alcance y producto final previsto para 2028. Pero a veces las revisiones técnicas son las que más cambian el mercado, porque convierten una obligación conocida en una prueba comparativa paneuropea. A partir de ahí, el postureo organizativo sale mucho más caro.
Guía de referencia
Todo sobre DORA: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en DORA: registro de proveedores ICT, resiliencia operativa y plazos clave.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment DORA.
DORA (Reglamento UE 2022/2554) aplica a entidades financieras de la UE (bancos, aseguradoras, gestoras, proveedores de servicios de pago, etc.) y a sus proveedores terceros de servicios TIC considerados críticos.
DORA es plenamente aplicable desde el 17 de enero de 2025. Las entidades deben tener implantado su marco de gestión del riesgo TIC, pruebas de resiliencia y la gestión de riesgo de terceros TIC.
Las entidades deben mantener un registro de información de todos los acuerdos contractuales con proveedores de servicios TIC, identificando los que soportan funciones críticas o importantes (art. 28).