IMPLICACIONES DE LA MIFID EN EL ÁMBITO ORGANIZATIVO DE LAS ESI

ASPECTOS ORGANIZATIVOS DE LAS ESI Funciones Consejo de Administración y Alta Dirección Organización Interna Control de Operaciones Personales Plan de Continuidad de Negocio Externalización de Funciones Registros sobre actividades y servicios prestados Medidas de Control Interno Establecimiento de Funciones Independientes

I. Funciones Consejo de Administración y Alta Dirección Novedades Responsabilidad última sobre el cumplimiento normativo en la Alta Dirección y el Órgano de Supervisión de la ESI Alta Dirección: “personas que efectivamente dirigen las actividades en la ESI” Órgano de Supervisión Consejo de Administración Regulación española equiparable a MIFID Aspectos pendientes Ordenamiento jurídico actual Responsabilidad en ESI y en Consejo de Administración Concepto único de Alta Dirección Director General

II. Organización Interna Novedades Documento escrito aprobado por el Consejo de Administración que defina: Procedimientos de toma de decisiones Líneas de reporte Asignación de funciones Asignación de responsabilidades Aspectos pendientes Necesidades organizativas en función de la naturaleza y volumen de los servicios de la ESI. Posibilidad de Guías orientativas

III. Control de Operaciones Personales Novedades Régimen aplicado a “personas afectadas”. Incluye: Personas competentes Familiares de personas competentes Vínculos estrechos con personas competentes Interés significativo en el resultado de la operación Prohibición de “front running” Comunicación a personas afectadas de restricciones operativas (RIC) Adaptación del RIC Aspectos pendientes Operaciones a través de la propia ESI, salvo excepciones Comunicación de restricciones operativas sobre familiares o personas vinculadas a las personas competentes

IV. Plan de Continuidad de Negocio Novedades Exigencia de plan de continuidad Exigencia de planes de contingencia ante “desastres” Funciones críticas de la ESI Plazo de continuidad Aspectos operativos del plan Calendario de pruebas Aspectos pendientes Listado de “funciones críticas” según Grupo. Derechos de propiedad Solvencia de la entidad Integridad de registros de la ESI

IV. Plan de Continuidad de Negocio Aspectos pendientes Plazo “razonable” de recuperación operativa y de datos Tratamiento de acceso a mercados y sistemas de compensación y liquidación Uso de proveedores externos (que usen varias ESI) Plan de contingencia en funciones externalizadas Tratamiento de documentos “no digitalizados” Aprobación por Consejo de Administración

IV. Plan de Continuidad de Negocio Aspectos pendientes Necesidad de “estándar de suficiencia” que dé seguridad jurídica a las ESI Identificación de las funciones críticas Suficiencia y adecuación de los medios empleados Suficiencia de los tiempos de respuesta Obligaciones de revisión del plan Exigencia o no del desarrollo de simulaciones Consecuencias jurídicas para las ESI por insuficiencia o inadecuación del Plan Adaptación del Plan a las actividades de la ESI

V. Externalización de funciones Novedades Funciones operativas esenciales e importantes No delegación de responsabilidades de la Alta Dirección Requisitos específicos de externalización de gestión de carteras Subcontratación fuera de la UE. Acuerdo MOU Posibilidades de externalización sin acuerdos MOU

V. Externalización de funciones Aspectos pendientes Listado de funciones esenciales o importantes según Grupo: Contabilidad Custodia Control Interno Cumplimiento Control de riesgos Auditoría Interna Sistemas Informáticos Jurisdicciones “homologadas” (con acuerdo MOU) Plazo razonable para externalización sin acuerdo MOU

VI. Registros sobre actividades y servicios prestados Novedades Registros adicionales: Test de idoneidad y adecuación Informes de análisis Política y procedimientos de cumplimiento Servicios y actividades con conflictos de interés Informes de cumplimiento Informes de gestión de riesgos Informes de auditoría interna Registro y tratamiento de quejas de clientes minoristas Otros registros CESR: comunicaciones comerciales, informaciones sobre ejecución de órdenes a clientes Mantenimientos “excesivos” Publicación de listado de registros mínimos obligatorios por CNMV

VII. Medidas de Control Interno Novedades Estructuración de tres unidades independientes: Cumplimiento normativo, control de riesgos y auditoría interna. Aspectos pendientes Unidad de Control incardinada en función de “Control de riesgos” Modificación de “Memoria de cumplimiento de los requisitos de control interno” hacia “Política de control de riesgos” Documento Grupo de Trabajo discutido en GEIF (CNMV).

VIII. Establecimiento de Funciones Independientes a) Cumplimiento Normativo (“compliance”) Novedades Exigencia Cumplimiento Normativo Independencia de la función de cumplimiento salvo: No proporcionalidad de la medida Mecanismo de verificación de cumplimiento eficaz Formación del Personal Aspectos pendientes Exigencia de independencia en ESI con actividades de riesgo en gestión de la información:

VIII. Establecimiento de Funciones Independientes a) Cumplimiento normativo (“compliance”) Actividades de riesgo en la gestión de información: Análisis Banca de Inversión Intermediación Gestión de carteras Actuación y/o contrapartida por cuenta propia Cumplir al menos dos de los requisitos anteriores independencia cumplimiento Tamaño relevante: Fijar umbrales por volumen comisiones, clientes afectados Nº empleados, RRPP, saldos de valores y efectivo, etc...

VIII. Establecimiento de Funciones Independientes b) Control de riesgos Novedades Elaboración de política de control de riesgos (identificación de riesgos y procedimientos a seguir, niveles de tolerancia) Gestión de riesgos Cumplimiento de los mismos Función separada de control de riesgos cuando sea necesario (tamaño, complejidad,...) Aspectos pendientes Requisitos separación de control de riesgos: Criterios cualitativos: gestión de carteras, actuación por cuenta propia o cuenta de terceros Criterios cuantitativos: volumen de ingresos y clientes en actividades afectadas

VIII. Establecimiento de Funciones Independientes c) Auditoría Interna Novedades Funciones de control e información al Consejo Exigencia de función cuando sea proporcionada (naturaleza, ámbito y complejidad de las actividades de la ESI) Función separada e independiente Aspectos pendientes Criterios para establecimiento de función de Auditoría interna Preponderancia de criterios cuantitativos: complejidad organizativa, nº empleados, o agentes vinculados

VIII. Establecimiento de Funciones Independientes d) Compatibilidad de las funciones Objetivo de las funciones: Cobertura de la finalidad de la función Proporcionalidad con naturaleza y volumen de actividades de las ESI Limitación de costes Compatibilidad entre cumplimiento normativo y control de riesgos Si cumplimiento vinculado al negocio Recomendación de función de control de riesgos separada Si Auditoría interna es necesaria Cumplimiento independiente no necesario - Gestión conflictos de interés entre funciones cuando se compatibilicen (siempre independiente)

VIII. Establecimiento de Funciones Independientes e) Externalización de funciones Normativa española ya lo permite Sin limitaciones Documento Grupo ámbito GEIF Requisitos para externalización actividades importantes: Plan de contingencias respecto del proveedor externo Dedicación suficiente en tiempo y disponibilidad Identificación de un interlocutor en la ESI Informes de proveedor entregados directamente al Consejo de Administración de la ESI Función de Auditoría Interna Auditor de cuentas (separación de actividades)

VIII. Establecimiento de Funciones Independientes f) Conclusiones Regulado ya en Circular 1/98 sobre la base de proporcionalidad y compatibilidad Adecuación a la nueva estructura Adaptación a las normas con evaluación de cada ESI con ayuda CNMV Recomendaciones Estructura de funciones de Control Interno Tamaño, volumen y complejidad de ESI Compatibilidad de función de cumplimiento y control interno Auditoría Interna naturaleza, volumen y complejidad de la ESI Externalización de las tres funciones siempre posible con requisitos.