REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES María José Gómez Yubero DGEMV / Dirección de Supervisión - CNMV 29 de mayo de 2002

1) El papel de los intermediarios y su regulación. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES 1) El papel de los intermediarios y su regulación. 2) Las exigencias de control interno en la regulación. 3) ¿Qué es el control interno? 4) Componentes del control interno. 5) Circular 1/98 de la CNMV sobre sistemas de control, seguimiento y evaluación continuada de riesgos. 6) CONCLUSIONES.

1) El papel de los intermediarios y su regulación (I) Juegan una función esencial y aportan valor añadido: Búsqueda de activos y negociación de los mismos por cuenta propia y de sus clientes. Asesoramiento profesional en un ámbito sofisticado, con productos cada vez más complejos y mercados más globalizados. Gestión, aprovechando las sinergias que derivan de la aglutinación de cartera de varios clientes, reduciendo los costes de transacción para los mismos y profesionalizando los criterios de inversión. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

1) El papel de los intermediarios y su regulación (II) El mantenimiento y generación de confianza de los inversores resulta esencial para el buen funcionamiento del mercado y la protección del inversor. Justifica la regulación y supervisión de los intermediarios. Elementos de la regulación: I) Reglas prudenciales: SOLVENCIA CONTROL INTERNO II) Normas de conducta REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

2) Las exigencias de control interno en la regulación DIRECTIVA DE SERVICIOS DE INVERSIÓN (exposición de motivos y artículo 10). Ley del Mercado de Valores (artículo 67 j). Reglamento de ESIS - Reglamento de IIC. Elemento esencial para obtener y conservar la autorización: Las entidades deben contar en todo momento con una buena organización administrativa y contable y con medios técnicos y humanos adecuados en relación con su programa de actividades así como con procedimientos de control interno y de seguridad en el ámbito informático que garanticen una gestión sana y prudente de la entidad (...). Circulares de la CNMV: 3/97 (IIC) 1/98 (ESI) REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

3) ¿Qué es el control interno? Proceso efectuado por el Consejo de Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: - Eficiencia de las operaciones (eficacia y coste óptimo). - Fiabilidad de la información - Cumplimiento de leyes y normas aplicables. El informe COSO, impulsado por la Comisión Treadway, responde a una iniciativa del sector privado, y recoge los nuevos conceptos del control interno en todo el mundo, recopila opiniones de auditores internos y externos, legisladores, funcionarios públicos, directores financieros y de control, supervisores,...Fue publicado en España en 1997. Su objetivo principal es ayudar a las organizaciones a mejorar el control de sus actividades y por otra parte a integrar los diversos conceptos de control interno para establecer una definición común e identificar sus componentes. La definición anterior arroja conceptos fundamentales: - El control interno es un proceso. Es un medio utilizado para la consecución de un fin, no es un fin en sí mismo. - El control interno lo llevan a cabo las personas. No se trata sólo de manuales de políticas e impresos, sino de personas en cada nivel de la organización. - El control interno sólo puede aportar un cierto grado de seguridad total a la dirección y al consejo de administración (no una panacea). - El control interno está pensado para facilitar la consecución de objetivos en una o más de las diferentes categorías que, al mismo tiempo, se solapan. (Informe COSO). REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

4) Componentes del control interno (I) 1. Entorno de control 2. Evaluación de los riesgos. 3. Actividades de control. 4. Información y comunicación. 5. Supervisión. Componentes vinculados entre sí. Generan sinergias y forman un sistema integrado que responde de manera dinámica a circunstancias cambiantes del entorno. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

4) Componentes del control interno (II) 1. Entorno de control: Pauta de funcionamiento de la entidad y base de los demás componentes. Empleados: integridad, valores éticos y capacidad. Dirección filosofía y estilo de gestión; asignación de responsabilidades y desarrollo profesional de empleados. Consejo de Administración: atención y orientación. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

4) Componentes del control interno (III) 2. Evaluación de los riesgos: La entidad de enfrenta a riesgos internos y externos que deben ser evaluados. Riesgos: mercado, crédito, liquidez, tipo de interés, operacional, legal, fraude. El control de riesgos requiere: identificación, medición, cuantificación y seguimiento. Algunos de los principales riesgos a los que se enfrentan los intermediarios financieros son los siguientes: - Riesgo de mercado o riesgo de que movimientos adversos en los precios generen pérdidas desproporcionadas. - Riesgo de crédito o riesgo de que los clientes o contrapartes no atiendan el cumplimiento de sus compromisos con la entidad. - Riesgo de liquidez por desfases entre entradas y salidas de efectivo que impidan a la entidad hacer frente a sus compromisos de pagos con terceros. - Riesgo de interés o riesgo de que se produzca un desajuste importante entre los productos de la inversión y los costes de la financiación en balance, debido a una variación en los tipos de interés. - Riesgo operacional o riesgo de que se originen pérdidas imprevistas como resultado de errores humanos, deficiencias en los controles internos o fallos de los sistemas implantados. - Riesgo legal o riesgo de que se produzcan quebrantos por contratos inadecuadamente documentados o porque no pueden ejecutarse por algún defecto formal. - Riesgo de robo, fraude o estafa por parte clientes, representantes, empleados o directivos. El control de dichos riesgos requiere su identificación, medición, cuantificación y seguimiento por lo que es necesario contar con medios organizativos, materiales y humanos suficientes para desarrollar un sistema adecuado de control y seguimiento enmarcado dentro de los procedimiento y políticas de actuación general de la entidad donde se definan claramente objetivos, límites y responsabilidades. Los sistemas de seguimiento deben constituir la base sobre la que hacer frente a los riesgos reales o potenciales que puedan surgir en el desarrollo de la actividad y, en consecuencia, su ámbito excede el meramente contable, cubriendo todo el control de la organización de la entidad. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

4) Componentes del control interno (IV) 3. Actividades de control: Políticas y procedimientos para conseguir seguridad razonable sobre la eficacia del control de riesgos relacionados con la consecución de objetivos de la entidad. Afectan a todos los niveles y funciones de la organización: - Aprobaciones - Revisiones - Autorizaciones - Salvaguarda de activos - Verificaciones - Segregación de funciones. - Conciliaciones Pueden presentarse bajo forma de: - Controles preventivos y “policíacos” - Manuales de control - Controles informáticos - Controles directivos y supervisión. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

4) Componentes del control interno (V) 4. Información y comunicación: Enmarcan las actividades de control. Es preciso identificar, recopilar y comunicar información en forma y plazo que haga posible a cada empleado cumplir con sus obligaciones. Tipos de información: interna y externa relevante para la toma de decisiones y para informar a terceros. Flujos de información: en todas direcciones y de arriba abajo y a la inversa. También hacia fuera: clientes, proveedores, organismos de control y accionistas. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

4) Componentes del control interno (VI) 5. Supervisión. Todo proceso de control interno debe ser vigilado de forma continuada. Objetivo: informar a niveles superiores las deficiencias detectadas y señalar las modificaciones necesarias. Ello permitirá reaccionar y adaptación. La supervisión debe llevarse a cabo por unidades, internas o externas, independientes de las líneas de negocio. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

5) Circular 1/98 de la CNMV sobre sistemas de control, seguimiento y evaluación continuada de riesgos (I) I) Medios organizativos, políticas y procedimientos. II) Sistemas de control y medición de riesgos. III) Control de clientes, sucursales y representantes. IV) Revisión del sistema. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

I) Medios organizativos, políticas y procedimientos. 5) Circular 1/98 de la CNMV sobre sistemas de control, seguimiento y evaluación continuada de riesgos (II) I) Medios organizativos, políticas y procedimientos. Responsabilidad del Consejo de administración: Aprobar la estructura general de riesgos asumibles y las medidas y políticas para implantar un sistema de control interno y de seguimiento de los riesgos. Creación de una unidad de control responsable de la revisión del sistema y de supervisar su cumplimiento. Autorizar la estructura de límites operativos y facultades. Asegurar que la organización cuenta con medios materiales y humanos suficientes y con segregación de funciones. Definir los criterios de elaboración y revisión del manual de procedimientos. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

II) Sistemas de medición y control de riesgos. 5) Circular 1/98 de la CNMV sobre sistemas de control, seguimiento y evaluación continuada de riesgos (III) II) Sistemas de medición y control de riesgos. Las entidades deben tener la capacidad de realizar periódicamente un control, medición y seguimiento de los riesgos. En especial: - Tesorería. - Cartera de valores de negociación por cuenta propia. - Carteras gestionadas. En base a la valoración de las posiciones a precios de mercados y, en su caso, el análisis de sensibilidades y de exposición al riesgo. Objetivo: conocer adecuadamente y a tiempo los riesgos que se están asumiendo para poder evaluar su capacidad de absorber las pérdidas que pudiera ocasionar su actividad. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

5) Circular 1/98 de la CNMV sobre sistemas de control, seguimiento y evaluación continuada de riesgos (IV) III) Control de clientes, sucursales y representantes. III.1) Relaciones con clientes: Información de y a los clientes Control y salvaguarda de los saldos de clientes (efectivo y valores. III.2) Sucursales y representantes. Integración de su actividad en los procedimientos de control interno (especialmente revisión y control de saldos de clientes y operaciones y liquidaciones efectuadas) Sistemas de control y seguimiento de las operaciones realizadas para verificar que se atienden, contabilizan y documentan adecuadamente, y que se ajustan a los normas y procedimientos internos establecidos. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

IV) Revisión del sistema. 5) Circular 1/98 de la CNMV sobre sistemas de control, seguimiento y evaluación continuada de riesgos (V) IV) Revisión del sistema. La unidad de control debe elaborar anualmente un informe sobre grado de cumplimiento de las normas de control interno y procedimientos implantados. Principales incidencias registradas y soluciones adoptadas. El informe anual sobre grado de cumplimiento debe ser remitido a la CNMV junto con las cuentas anuales auditadas. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

6) CONCLUSIONES (I) La actividad de los intermediarios conlleva riesgos. Actúan en un escenario cambiante. Regulación más exigente (control interno y de riesgos). La experiencia supervisora demuestra que las exigencias de solvencia y cobertura de riesgos no son suficientes. Como hemos visto, el desarrollo de la actividad de intermediación, la toma de posiciones por cuenta propia y la aceptación de compromisos de compra venta conlleva inseparablemente la asunción de riesgos. Además, el escenario en el que actúan las entidades ha cambiado sustancialmente en los últimos años. Aspectos como el incremento de la volatilidad e incertidumbre de los mercados, unido a la popularización de lainversión en los mercados de valores, la escasa formación de los inversores, la mayor sofisticación de los productos y canales de distribución y la disminución de las barreras de entrada en el sector, derivada de la reducción de los requisitos de capital inicial en las ESIS, han favorecido la asunción de mayores y nuevos riesgos. Ello precisa nuevos planteamientos para la gestión de los mismos. Lo que justifica la aprobación de normas que exigen a las entidades el desarrollo de sistemas adecuados de control interno y de seguimiento de los riesgos enmarcados dentro de los procedimientos y políticas de actuación general de la entidad, cuyo ámbito excede el meramente contable,cubriendo el control de toda la organización de la entidad. La experiencia supervisora también demuestra que la exigencia de requisitos cuantitativos de capital,cobertura de riesgos y liquidez no resultan suficientes para garantizar el adecuado desarrollo de sus actividades REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

6) CONCLUSIONES (II) La existencia de otros requisitos cualitativos (políticas y procedimientos de control), adecuados al tamaño, estructura y tipo de negocio, sin ser sustitutivos, resultan de vital importancia para garantizar que su actividad se desarrolle en un entorno de control y cumplimiento normativo y, en definitiva, para la consecución del objetivo último de protección del inversor. Por ello, resultan exigibles otros requisitos cualitativos en relación con las políticas y procedimientos de control en las ESIS, adecuados al tamaño, estructura y tipo de actividad, sin ser sustitutivos de los primeros, resultan de vital importancia para garantizar que su actividad se desarrolle en un entorno de control, cumplimiento normativo y, en definitiva, para garantizar el objetivo último de protección del inversor. REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES