Fortaleciendo los Controles Internos: Lecciones de la ESMA para la Convergencia Supervisora en el Sector de Fondos

Fortaleciendo los Controles Internos: Lecciones de la ESMA para la Convergencia Supervisora en el Sector de Fondos

La Autoridad Europea de Valores y Mercados (ESMA) ha publicado los resultados de su Acción Supervisora Común (CSA) de 2025, centrada en las funciones de compliance y auditoría interna de las gestoras de fondos. Este informe, realizado en colaboración con los supervisores nacionales de toda la UE y el EEE, arroja luz sobre las fortalezas y debilidades existentes, proporcionando un valioso punto de partida para la mejora continua de la gobernanza y la resiliencia operativa en el sector financiero europeo. Para los CISOs y equipos de compliance, este análisis no es solo una lectura informativa, sino una llamada a la acción para evaluar y fortalecer sus propios marcos de control.

Contexto Regulatorio y la Acción Supervisora Común de la ESMA

El panorama regulatorio financiero europeo se caracteriza por una constante evolución, impulsada por la necesidad de garantizar la estabilidad del mercado, proteger a los inversores y mantener la integridad del sistema. En este contexto, la ESMA juega un papel crucial en la armonización de las prácticas de supervisión y en la identificación de riesgos emergentes. La Acción Supervisora Común (CSA) de 2025 sobre las funciones de compliance y auditoría interna en el sector de la gestión de activos es un ejemplo paradigmático de este esfuerzo.

Esta CSA, llevada a cabo durante 2025, involucró a todas las autoridades nacionales competentes (ANC) de la UE y el EEE. Su objetivo principal fue evaluar la efectividad de las funciones de compliance y auditoría interna en las gestoras de fondos, examinando su cumplimiento con los requisitos clave establecidos en los marcos AIFMD (Directiva sobre Gestores de Fondos de Inversión Alternativos) y UCITS (Fondos de Inversión Colectiva en Valores Mobiliarios). La metodología empleada incluyó revisiones documentales (desk-based reviews) y, cuando fue pertinente, inspecciones in situ, garantizando así una visión completa y detallada de las prácticas operativas.

Los resultados generales de la CSA indican que la mayoría de las gestoras de fondos cumplen con los requisitos fundamentales. Sin embargo, el informe no se detiene en esta constatación, sino que profundiza en las áreas donde se observaron debilidades, especialmente en lo que respecta a la gobernanza. Estas debilidades se manifestaron principalmente en:

• Independencia de las funciones de control: Se identificaron preocupaciones sobre la autonomía real de los departamentos de compliance y auditoría interna frente a la alta dirección y otras áreas operativas.
• Calidad e implementación de políticas internas: Aunque muchas entidades contaban con políticas y procedimientos documentados, la CSA reveló diferencias significativas en su calidad y, lo que es más importante, en su aplicación práctica.
• Ejercicio de supervisión por parte de la alta dirección y los consejos: Se observaron deficiencias en la forma en que los órganos de gobierno ejercen su responsabilidad de supervisión sobre estas funciones críticas.

La ESMA ha destacado que estas diferencias en la calidad y la implementación práctica de las políticas a menudo dependen del tamaño, la naturaleza y la complejidad de los participantes del mercado. Esto subraya la necesidad de un enfoque de supervisión que sea proporcionado y adaptado a las características específicas de cada entidad.

Por Qué Importa la Convergencia Supervisora para el Sector Financiero

La convergencia supervisora es un pilar fundamental para la integridad y la eficiencia del mercado financiero europeo. Su importancia radica en varios aspectos clave:

• Equidad Competitiva: Unas normas y prácticas de supervisión uniformes aseguran que todas las entidades operen bajo un mismo conjunto de reglas, evitando ventajas competitivas desleales basadas en diferencias regulatorias entre jurisdicciones.
• Estabilidad del Mercado: La armonización de los controles y la gestión de riesgos reduce la probabilidad de que las debilidades en una jurisdicción afecten a la estabilidad del mercado en su conjunto.
• Protección del Inversor: Una supervisión consistente garantiza que los inversores en toda la UE disfruten de un nivel similar de protección, independientemente de dónde operen las gestoras de fondos.
• Eficiencia Operativa: Para las entidades que operan en múltiples jurisdicciones, la convergencia simplifica el cumplimiento normativo, reduciendo la carga administrativa y los costes asociados.
• Resiliencia ante Amenazas Sistémicas: En un mundo cada vez más interconectado y expuesto a riesgos complejos (ciberseguridad, riesgos climáticos, inteligencia artificial), una supervisión convergente fortalece la capacidad del sector para identificar, mitigar y responder a estas amenazas de manera coordinada.

La CSA de la ESMA sobre compliance y auditoría interna es un claro ejemplo de cómo se busca activamente esta convergencia. Al identificar buenas y malas prácticas, la ESMA no solo señala dónde se necesitan mejoras, sino que también proporciona un modelo para que las autoridades nacionales ajusten sus enfoques y para que las propias entidades refinen sus estrategias de control.

Impacto Operativo y Regulatorio en las Entidades Financieras Europeas

Los hallazgos de la ESMA tienen implicaciones directas y significativas para la operativa diaria y la estrategia a largo plazo de las entidades financieras europeas, especialmente para aquellas involucradas en la gestión de activos. La necesidad de fortalecer la independencia de las funciones de control, mejorar la calidad de las políticas y asegurar una supervisión efectiva por parte de la alta dirección se traduce en acciones concretas que deben ser abordadas con urgencia.

Debilidades en la Gobernanza: Un Foco Crítico

La identificación de debilidades en la gobernanza, particularmente en la independencia de las funciones de control, es un punto de inflexión. Para un CISO o un responsable de compliance, esto significa:

• Revisión de la Estructura Organizativa: Es fundamental evaluar si los departamentos de compliance y auditoría interna reportan a un nivel jerárquico adecuado que garantice su independencia. ¿Tienen acceso directo al consejo de administración o a un comité de auditoría? ¿Sus evaluaciones y recomendaciones son tenidas en cuenta sin interferencias?
• Definición Clara de Roles y Responsabilidades: Las políticas internas deben delimitar con precisión las responsabilidades de cada función de control, así como las de la alta dirección en su supervisión. La falta de claridad puede llevar a lagunas de responsabilidad o a la dilución de la autoridad de estas funciones.
• Recursos y Capacidades Adecuadas: La independencia también se ve comprometida si las funciones de control carecen de los recursos humanos, técnicos y financieros necesarios para llevar a cabo su labor de manera efectiva. Esto incluye la formación continua del personal para mantenerse al día con las regulaciones y las amenazas emergentes.

Calidad y Aplicación Práctica de las Políticas

El informe de la ESMA señala que, si bien muchas entidades disponen de políticas y procedimientos, su calidad y aplicación práctica varían considerablemente. Esto exige:

• Auditoría Interna de Políticas: Las funciones de auditoría interna deben realizar revisiones periódicas de la efectividad y pertinencia de las políticas de compliance y de gestión de riesgos. ¿Están actualizadas? ¿Reflejan las operaciones reales de la entidad? ¿Son comprensibles para el personal?
• Mecanismos de Seguimiento y Cumplimiento: El compliance debe implementar mecanismos robustos para monitorizar la adhesión a las políticas. Esto puede incluir auditorías internas, revisiones por pares, sistemas de reporte de incidentes y programas de concienciación y formación para el personal.
• Adaptación a la Complejidad: Las políticas no deben ser genéricas. Deben ser adaptadas a la complejidad específica de los productos, servicios y operaciones de la entidad. Una gestora de fondos de inversión alternativa compleja requerirá políticas más detalladas y específicas que una gestora de fondos de renta variable tradicional.

Supervisión de la Alta Dirección y los Consejos

La responsabilidad última de la gobernanza recae en la alta dirección y los consejos. La ESMA insta a:

• Cultura de Cumplimiento y Ética: La alta dirección debe fomentar activamente una cultura organizacional donde el cumplimiento y la ética sean valores primordiales. Esto se transmite a través de la comunicación, el ejemplo y la asignación de recursos.
• Comités de Supervisión Efectivos: Los comités de auditoría y de riesgos, así como el consejo en pleno, deben dedicar tiempo y atención suficientes a la revisión de los informes de compliance y auditoría interna, y deben estar capacitados para cuestionar y exigir acciones correctivas.
• Evaluación de Riesgos Estratégicos: La supervisión debe ir más allá del cumplimiento normativo puntual y abarcar la evaluación de cómo los riesgos de compliance y operativos impactan en la estrategia general de la entidad.

Implicaciones para Entidades Financieras Españolas

Las entidades financieras españolas, al operar dentro del marco regulatorio de la UE, están directamente sujetas a las directrices y expectativas de la ESMA. La Comisión Nacional del Mercado de Valores (CNMV) es la autoridad nacional competente encargada de la supervisión en España, y sus directrices se alinean con las de la ESMA. Por lo tanto, los hallazgos de la CSA tienen un peso considerable para las gestoras de fondos y otras entidades financieras en España.

Las áreas de debilidad identificadas por la ESMA –independencia de las funciones de control, calidad y aplicación de políticas, y supervisión por parte de la alta dirección– son puntos que la CNMV probablemente estará vigilando de cerca. Las entidades españolas deben anticiparse a estas expectativas y realizar una autoevaluación rigurosa de sus propios marcos de gobernanza y control.

Aspectos clave a considerar para el mercado español:

• Cumplimiento de la Ley del Mercado de Valores (LMV) y normativa de desarrollo: La LMV y sus desarrollos reglamentarios establecen los requisitos para la organización interna, las funciones de control y la gestión de riesgos de las entidades financieras. La CSA de la ESMA refuerza la necesidad de un cumplimiento robusto de estas normativas.
• Directrices de la CNMV: La CNMV emite circulares y guías que detallan las expectativas supervisoras. Es crucial que las entidades españolas se mantengan actualizadas sobre estas directrices y las integren en sus planes de acción.
• Cultura de Cumplimiento en España: Si bien ha habido avances significativos, la cultura de cumplimiento en algunas entidades puede aún requerir fortalecimiento. La presión regulatoria y la creciente complejidad del entorno operativo exigen un compromiso proactivo desde la alta dirección.
• Adaptación a la Diversidad de Entidades: Al igual que la ESMA, la CNMV reconoce que las entidades varían en tamaño y complejidad. Las gestoras españolas deben asegurar que sus estructuras de control y políticas sean proporcionales a su perfil de riesgo y modelo de negocio.

En resumen, las entidades financieras españolas deben ver los resultados de la CSA de la ESMA no como una crítica externa, sino como una oportunidad para alinear sus prácticas con las mejores prácticas europeas y fortalecer su propia resiliencia y reputación en el mercado.

Comparativa de Obligaciones, Controles y Evidencias

Para facilitar la comprensión y la acción, presentamos una tabla comparativa que resume las áreas de enfoque de la ESMA, las obligaciones regulatorias subyacentes, los controles clave a implementar y las evidencias que los auditores y supervisores buscarán.

Área de Enfoque ESMA	Obligación Regulatoria (Ejemplos)	Controles Clave a Implementar	Evidencias para Auditoría/Supervisión	Responsable Principal	Urgencia
Independencia de Funciones de Control	AIFMD Art. 12, UCITS Art. 12, Directivas de Gobernanza Corporativa	Estatutos que definen independencia, organigramas claros, políticas de reporte directo al consejo, políticas de gestión de conflictos de interés.	Actas de reuniones del consejo/comités, organigramas aprobados, políticas de reporte, registros de formación sobre conflictos de interés.	Consejo de Administración, Alta Dirección, Responsable de Compliance.	Alta
Calidad y Aplicación de Políticas Internas	AIFMD Art. 13, UCITS Art. 13, ISO 27001 (Políticas de Seguridad), DORA (Gestión de Riesgos TI)	Políticas y procedimientos documentados y actualizados, programas de formación, mecanismos de seguimiento y auditoría interna de políticas.	Manuales de políticas, registros de formación, informes de auditoría interna sobre cumplimiento de políticas, resultados de pruebas de controles.	Responsable de Compliance, Responsable de Auditoría Interna, Jefes de Departamento.	Media-Alta
Supervisión de Alta Dirección y Consejos	Principios de Buen Gobierno Corporativo, Directivas de Remuneración, SOX (si aplica a filiales)	Comités de auditoría/riesgos activos, informes periódicos de compliance/auditoría a la alta dirección, planes de acción para hallazgos, cultura de riesgo.	Actas de comités, informes de seguimiento de hallazgos, evaluaciones de riesgo, políticas de cultura de riesgo.	Consejo de Administración, Alta Dirección.	Alta
Gestión de Riesgos TI y Ciberseguridad (Implícito en DORA, NIS2, CRA)	DORA (Capítulo II y III), NIS2 (Art. 11, 13), Cyber Resilience Act (Art. 14, 15)	Marco de gestión de riesgos de ciberseguridad, planes de continuidad de negocio y recuperación ante desastres, pruebas de penetración, gestión de vulnerabilidades, concienciación del personal.	Políticas de ciberseguridad, informes de pruebas de penetración, planes de BCP/DRP, registros de incidentes de seguridad, resultados de auditorías de seguridad.	CISO, Responsable de TI, Responsable de Riesgos.	Alta
Cumplimiento de Protección de Datos (GDPR)	GDPR (Art. 5, 24, 32)	Políticas de privacidad, registros de actividades de tratamiento, evaluaciones de impacto de protección de datos (DPIA), medidas de seguridad técnicas y organizativas.	Políticas de privacidad, registros de tratamientos, DPIAs, informes de auditoría de seguridad de datos, registros de brechas de datos.	Delegado de Protección de Datos (DPO), Responsable de Compliance, Responsable de TI.	Alta

Desarrollo de un Plan de Acción 30/60/90 Días

La identificación de áreas de mejora por parte de la ESMA requiere una respuesta estructurada y proactiva. Un plan de acción bien definido, con hitos claros a 30, 60 y 90 días, es esencial para abordar las debilidades y fortalecer la gobernanza y los controles internos.

Fase 1: Evaluación y Diagnóstico (Días 0-30)

Objetivo: Comprender el estado actual de las funciones de compliance y auditoría interna en relación con los hallazgos de la ESMA y las normativas aplicables.

• Día 0-7:
• Comunicar el informe de la ESMA a la alta dirección y al consejo.
• Formar un grupo de trabajo interdepartamental (Compliance, Auditoría Interna, Riesgos, TI, Legal).
• Revisar y distribuir el informe de la ESMA y las normativas relevantes (AIFMD, UCITS, DORA, NIS2, GDPR).
• Día 8-20:
• Realizar una autoevaluación inicial basada en los puntos clave de la CSA: independencia de controles, calidad de políticas, supervisión de la alta dirección.
• Entrevistar a los responsables de Compliance, Auditoría Interna y otros departamentos clave para recopilar percepciones sobre la efectividad de los controles.
• Revisar la documentación existente: organigramas, políticas, procedimientos, informes de auditoría interna y externa de los últimos 12-24 meses.
• Día 21-30:
• Identificar brechas iniciales y áreas de mayor riesgo.
• Elaborar un informe preliminar de diagnóstico para la alta dirección, destacando las áreas que requieren atención prioritaria.
• Definir los KPIs (Indicadores Clave de Rendimiento) para medir el progreso en las áreas de mejora.

Fase 2: Diseño e Implementación de Mejoras (Días 31-60)

Objetivo: Diseñar e iniciar la implementación de acciones correctivas y preventivas para abordar las brechas identificadas.

• Día 31-45:
• Priorizar las acciones correctivas basadas en el nivel de riesgo y el impacto potencial.
• Diseñar o revisar políticas y procedimientos para fortalecer la independencia de las funciones de control (ej. definir líneas de reporte, responsabilidades).
• Desarrollar planes de mejora para la calidad y aplicabilidad de las políticas internas (ej. simplificar lenguaje, crear guías prácticas).
• Establecer un plan de formación específico para la alta dirección y los consejos sobre sus responsabilidades de supervisión.
• Día 46-60:
• Comenzar la implementación de las acciones prioritarias.
• Lanzar programas de formación para el personal sobre las políticas revisadas y las expectativas de cumplimiento.
• Establecer o reforzar los mecanismos de seguimiento de la aplicación de políticas (ej. auditorías internas enfocadas, encuestas de cumplimiento).
• Revisar la estructura de reporte de las funciones de control para asegurar la independencia.

Fase 3: Refuerzo y Monitorización Continua (Días 61-90)

Objetivo: Consolidar las mejoras implementadas, establecer mecanismos de monitorización continua y planificar la mejora a largo plazo.

• Día 61-75:
• Evaluar la efectividad de las acciones implementadas en las primeras 6 semanas.
• Realizar auditorías internas de seguimiento enfocadas en las áreas de mejora.
• Ajustar las políticas y procedimientos según sea necesario basándose en el feedback y los resultados de las auditorías.
• Integrar los hallazgos de la CSA en el marco general de gestión de riesgos de la entidad.
• Día 76-90:
• Desarrollar un plan de mejora continua para las funciones de compliance y auditoría interna.
• Establecer un calendario regular para la revisión de políticas y la formación del personal.
• Preparar un informe de progreso para la alta dirección y el consejo, destacando los logros y los próximos pasos.
• Planificar la próxima revisión interna o externa para validar la efectividad de los controles fortalecidos.

Matriz de Riesgos y Controles Asociados

La identificación de riesgos es un proceso continuo. Basándonos en los hallazgos de la ESMA y las regulaciones circundantes, podemos construir una matriz de riesgos que ayude a las entidades a priorizar sus esfuerzos.

Riesgo Identificado	Descripción del Riesgo	Impacto Potencial	Controles Existentes (Evaluación Inicial)	Controles Adicionales/Mejorados	Responsable de la Mitigación	Nivel de Riesgo (Antes de Mejoras)	Nivel de Riesgo (Después de Mejoras)
R1: Falta de Independencia de Compliance	Las decisiones o recomendaciones de Compliance son ignoradas o influenciadas por la alta dirección o áreas operativas.	Incumplimiento normativo, multas, daño reputacional, malas decisiones estratégicas.	Organigrama básico, políticas generales de reporte.	Definir reporte directo al Consejo, establecer comité de supervisión de Compliance, política de no represalias.	Consejo, Alta Dirección, Responsable de Compliance.	Alto	Bajo-Medio
R2: Políticas Internas Inadecuadas o No Aplicadas	Las políticas son genéricas, desactualizadas o el personal no las comprende ni las sigue.	Errores operativos, incumplimiento de procedimientos, brechas de seguridad, ineficiencias.	Documentación de políticas, formación anual genérica.	Revisión y actualización periódica de políticas, guías prácticas, formación específica por rol, auditorías de aplicación.	Responsable de Compliance, Jefes de Departamento, Auditoría Interna.	Medio-Alto	Bajo
R3: Supervisión Deficiente por la Alta Dirección/Consejo	La alta dirección y el consejo no ejercen una supervisión activa ni exigen rendición de cuentas sobre el cumplimiento y los riesgos.	Omisión de riesgos críticos, falta de asignación de recursos adecuados, decisiones estratégicas sin considerar el perfil de riesgo.	Informes puntuales a consejo, reuniones trimestrales.	Establecer métricas claras de seguimiento, agendas dedicadas en reuniones de consejo/comités, planes de acción vinculantes para hallazgos.	Consejo de Administración, Alta Dirección.	Alto	Medio
R4: Vulnerabilidades de Ciberseguridad No Gestionadas	Sistemas de TI expuestos a ciberataques debido a controles débiles o falta de actualización.	Pérdida de datos, interrupción de servicios, multas (GDPR, NIS2), daño reputacional.	Firewalls básicos, antivirus.	Implementar DORA, NIS2, CRA; realizar pentesting regular, gestión de parches, plan de respuesta a incidentes, formación en ciberseguridad.	CISO, Responsable de TI.	Alto	Bajo-Medio
R5: Incumplimiento de Protección de Datos	Tratamiento inadecuado de datos personales, violaciones de privacidad.	Multas elevadas (GDPR), pérdida de confianza de clientes, litigios.	Política de privacidad general, consentimiento básico.	Realizar DPIAs, mantener registros de tratamiento actualizados, implementar medidas técnicas y organizativas robustas, plan de respuesta a brechas de datos.	DPO, Responsable de Compliance, Responsable de TI.	Alto	Bajo-Medio

Checklist de Evidencias para Auditoría y Supervisión

Para preparar una auditoría interna o externa, o para responder a una solicitud de supervisión, es crucial tener a mano la documentación y las evidencias que demuestren el cumplimiento y la efectividad de los controles. Este checklist proporciona un punto de partida:

1. Gobernanza y Estructura Organizativa

• Organigrama: Actualizado, mostrando claramente las líneas de reporte de Compliance y Auditoría Interna.
• Estatutos y Políticas Fundamentales: Documentos que definan la independencia y las responsabilidades de las funciones de control.
• Actas de Reuniones: Del Consejo de Administración, Comité de Auditoría, Comité de Riesgos, donde se discutan temas de compliance, auditoría y riesgos.
• Nombramientos y Descripciones de Puesto: Para los responsables de Compliance, Auditoría Interna y DPO, detallando sus responsabilidades y autoridad.
• Políticas de Gestión de Conflictos de Interés: Y registros de su aplicación.

2. Políticas y Procedimientos Internos

• Manual de Políticas de Compliance: Completo, actualizado y accesible para todo el personal.
• Manual de Procedimientos Operativos: Que reflejen las políticas y las prácticas actuales.
• Registros de Formación: Sobre políticas clave, código de conducta, protección de datos, ciberseguridad.
• Informes de Auditoría Interna: Sobre la efectividad de las políticas y procedimientos.
• Evidencias de Revisión y Actualización de Políticas: Registros de cuándo y cómo se revisan y aprueban las políticas.

3. Gestión de Riesgos y Ciberseguridad

• Marco de Gestión de Riesgos: Documentado y aplicado.
• Evaluaciones de Riesgo: Periódicas, incluyendo riesgos de compliance, operativos y de ciberseguridad.
• Políticas de Ciberseguridad: Alineadas con DORA, NIS2, CRA.
• Informes de Pruebas de Penetración y Escaneo de Vulnerabilidades: Y planes de acción para mitigar hallazgos.
• Planes de Continuidad de Negocio (BCP) y Recuperación ante Desastres (DRP): Y resultados de pruebas.
• Registros de Incidentes de Seguridad: Y planes de respuesta.

4. Protección de Datos (GDPR)

• Política de Privacidad: Clara y accesible.
• Registros de Actividades de Tratamiento (RoPA): Actualizados y completos.
• Evaluaciones de Impacto de Protección de Datos (DPIA): Para tratamientos de alto riesgo.
• Medidas de Seguridad Técnicas y Organizativas: Documentadas.
• Procedimiento de Gestión de Brechas de Datos: Y registros de incidentes.

5. Cumplimiento Normativo Específico (AIFMD, UCITS, etc.)

• Documentación de Cumplimiento: Relacionada con los requisitos específicos de los fondos gestionados (ej. requisitos de liquidez, apalancamiento, divulgación).
• Informes Regulatorios Presentados: A la CNMV o autoridades competentes.

Este checklist debe ser adaptado a la estructura y operaciones específicas de cada entidad. La proactividad en la recopilación y organización de estas evidencias facilitará enormemente cualquier proceso de auditoría o supervisión.

Perspectiva CyberCompliance Pro: Hacia una Resiliencia Integrada

Desde CyberCompliance Pro, entendemos que los hallazgos de la ESMA no son eventos aislados, sino parte de una tendencia regulatoria más amplia que exige una mayor robustez en la gobernanza, la gestión de riesgos y la ciberseguridad. La convergencia supervisora, impulsada por organismos como la ESMA, NIS Directive, DORA, AI Act y el Cyber Resilience Act, está tejiendo una red de requisitos cada vez más interconectados.

Las entidades financieras europeas ya no pueden permitirse gestionar el compliance, la ciberseguridad y la auditoría interna como silos independientes. La CSA de la ESMA refuerza la necesidad de un enfoque holístico, donde la independencia de las funciones de control es fundamental para la efectividad de todas las demás capas de defensa. Una función de compliance fuerte y bien posicionada es el primer baluarte contra el incumplimiento, pero su efectividad se ve potenciada por una auditoría interna rigurosa y una cultura de riesgo sólida promovida por la alta dirección.

La mención explícita de la calidad y la implementación práctica de las políticas es crucial. No basta con tener documentos; es necesario que estos se traduzcan en acciones concretas y medibles en el día a día. Esto implica una inversión continua en formación, herramientas de monitorización y una cultura de mejora continua.

La ESMA, al identificar estas áreas, está sentando las bases para futuras acciones supervisoras y para la armonización de las expectativas. Las entidades que aborden estas debilidades de manera proactiva no solo cumplirán con las regulaciones actuales, sino que se posicionarán mejor para afrontar los desafíos futuros, incluyendo la creciente complejidad de las amenazas cibernéticas y la adopción de tecnologías emergentes como la inteligencia artificial.

Para los CISOs y equipos de compliance, esto significa:

• Integración de Marcos: Asegurar que los marcos de cumplimiento (GDPR, DORA, NIS2, AI Act) y de gestión de riesgos (ISO 27001, SOX si aplica) se integren y refuercen mutuamente.
• Visibilidad y Reporte: Mejorar la visibilidad de los riesgos y controles a lo largo de toda la organización y asegurar que la información relevante llegue a la alta dirección y al consejo de manera clara y concisa.
• Cultura de Resiliencia: Fomentar una cultura organizacional que valore la seguridad, el cumplimiento y la gestión de riesgos en todos los niveles.

Conclusión Accionable: Fortaleciendo la Resiliencia a Través de la Gobernanza

Los resultados de la Acción Supervisora Común de la ESMA sobre las funciones de compliance y auditoría interna en el sector de la gestión de activos son una llamada inequívoca a la acción. Las debilidades identificadas en la gobernanza, la independencia de los controles y la aplicación práctica de las políticas no son meros detalles administrativos, sino pilares fundamentales de la resiliencia operativa y la confianza del mercado.

Las entidades financieras europeas, y en particular las españolas, deben tomar estos hallazgos como una oportunidad para una revisión exhaustiva y proactiva de sus marcos de control interno. La convergencia supervisora es una realidad, y las expectativas de las autoridades son cada vez más elevadas y armonizadas.

Pasos concretos para CISOs, Responsables de Compliance y Auditores IT:

1. Priorizar la Independencia: Evaluar y, si es necesario, reestructurar las líneas de reporte de las funciones de compliance y auditoría interna para garantizar su autonomía. Asegurar que tengan acceso directo a los órganos de gobierno y los recursos adecuados.
2. Elevar la Calidad de las Políticas: No solo documentar, sino asegurar que las políticas sean claras, aplicables, actualizadas y que el personal reciba formación continua y específica sobre su contenido y relevancia.
3. Fortalecer la Supervisión de la Alta Dirección: Implementar mecanismos de reporte más efectivos y agendas dedicadas en las reuniones del consejo y comités para discutir y actuar sobre los hallazgos de compliance y auditoría. Fomentar una cultura de responsabilidad desde la cúpula.
4. Integrar los Marcos Regulatorios: Reconocer la interconexión entre DORA, NIS2, GDPR, AI Act y otros marcos. Desarrollar estrategias de cumplimiento y ciberseguridad que aborden estos requisitos de manera holística, evitando enfoques fragmentados.
5. Adoptar un Enfoque Basado en Riesgos: Utilizar la matriz de riesgos y el plan de acción 30/60/90 días como herramientas para priorizar los esfuerzos y asignar recursos de manera eficiente.
6. Prepararse para la Auditoría: Mantener un checklist de evidencias actualizado y organizado para demostrar el cumplimiento y la efectividad de los controles ante auditorías internas y externas, así como ante requerimientos de supervisión.

La inversión en una gobernanza robusta y en funciones de control independientes y efectivas no es un coste, sino una inversión estratégica que fortalece la resiliencia, mitiga riesgos y, en última instancia, protege la reputación y la viabilidad a largo plazo de las entidades financieras en el complejo panorama regulatorio europeo.