El acta del Órgano de Control Interno:¿cuál debe ser su contenido mínimo?

Madrid, Julio 2016 Carlos Nuño Río

Disclaimer Content and statements of this presentation express only personal views and opinions. No advice or counsel is being given by the presenter and shared experienced should be treated solely as working examples and do not represent any best practice or right/wrong assessment.

Agenda

• Qué nos dice la norma • Y llegó el caso Jyske

– T. Supremo – Consulta a TJUE. Sentencia – Resolución T. Supremo

• ¿Y qué les contamos a las FinTech? • Retos/Conclusiones • Referencias bibliográficas

@CarlosNunoRio

El contexto normativo

• Ley 10/2010, Capítulo IV: del Control Interno – Art. 26, Medidas de control interno – Art. 27, Órganos centralizados de prevención – Art. 31, Sucursales y filiales en terceros países

• RD 304/2014 - Art. 35 – Órganos de Control Interno - Art. 36 – Medidas de control interno a nivel de grupo

Sobre aplicación de medias en sucursales y filiales en el exterior (apartado 1) e interior con participación mayoritaria (apartado 2) Sobre procedimientos de intercambio de información

• Recomendaciones sobre medidas de control interno (SEPBLAC) e informe de desviación al estándar, apartado 3.3. sobre organización interna.

• Órganos centralizados – RD 304/2014, Art 44

• Otros: – ORDEN EHA/2444/2007, de 31 de julio, sobre informe externo, en lo relativo a la valoración Control Interno. – Código Penal, Ley 5/2010, en lo referente al “Corporate Compliance” – Guías sectoriales, de buenas prácticas.

@CarlosNunoRio

Requisitos• ¿Quién lo forma?

– Aquellas áreas representativas • 1 Línea de Defensa (LdD) • 2 LdD: Riesgo, Cumplimiento Normativo, Legal, Assurance • 3 LdD: Auditoría Interna Otros: • Y el Auditor Externo / Regulador? • Invitados ad hoc – según el expertise requerido

– Roles importantes: • Presidencia / Co-presidencia • Secretaría

• ¿Cuándo se organiza?

– De forma estable, calendario anual – Ad hoc, cuando las circunstancias lo requieran (formato reducido)

@CarlosNunoRio

Requisitos

• Logística – buena praxis Previo - Calendario estable – predecible de reuniones anuales (mínimo establecido en Manual) - Distribución de contenidos con suficiente anterioridad - Rotar presentaciones si hubiera un número excesivo de áreas representadas - Obtener quórum – convocar con éxito. Durante - Respeto de los tiempos - Tratamiento de los temas necesarios Posterior - Distribución de contenido acta pocos días después de la reunión. - Obtención de firmas en soporte duradero Todo el tiempo - Liderazgo / tono /

@CarlosNunoRio

Requisitos• Encaje con otros comités existentes

– Comité de riesgos del Consejo de Administración – Comité de “Corporate Compliance” – Otros:

• por ejemplo: Reputación

@CarlosNunoRio

¿Cómo afecta todo esto a las FinTech?

• Confirmar si su entidad está regulada • Y si no lo está hoy, la tendencia es que pueda estarlo en le futuro • Actividades “comunes” de estas FinTech

• Entidad medios de pago (Ley, letra h,) • Cambio de moneda (Ley, letra i)

• Uso del “pasaporte comunitario” con actividad regulada en un 3er país, normalmente R.Unido (Ley, apartado 2)

• Análisis de riesgo previo. • Con especial énfasis en “nuevos” riesgos inherentes a los nuevos productos y servicios con gran componente

tecnológica.

• Aprovechar este foro como plataforma de formación / mejorar el “awareness” ! Cultura de cumplimiento.

• Logística: • Aprovechar uso avanzado de tecnologías – asegurando:

• Nivel de confidencialidad de los temas (cloud pública?) • Acceso a la información de forma duradera.

@CarlosNunoRio

El OCI y la Comisión de Riesgos del Consejo Admin

• Autoridad máxima por delegación del Consejo • Complementariedad

– Estratégica Riesgos & Estratégica / Táctica

@CarlosNunoRio

El OCI y la Comisión de Riesgos del Consejo Admin (ejemplo de norma funcionamiento Comisión de una empresa cotizada)

• Apoyo y asesoramiento al consejo en la definición y evaluación de las políticas de riesgos que afectan al Grupo y en la determinación de la propensión al riesgo y estrategia de riesgos.

• Apoyo y asesoramiento al consejo en la definición y evaluación de las políticas de riesgos que afectan al Grupo y en la determinación de la propensión al riesgo y estrategia de riesgos.Las políticas de riesgos del Grupo habrán de incluir:

– La identificación de los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales y reputacionales, entre otros) a los que se enfrenta la Sociedad, incluyendo entre los financieros o económicos los pasivos contingentes y otros fuera del balance;

– La fijación del apetito de riesgo que la Sociedad considere aceptable; – Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que lleguen a materializarse; y – Los sistemas de información y control interno que se utilizarán para controlar y gestionar los citados riesgos.

• Asistencia al consejo en la vigilancia de la aplicación de la estrategia de riesgos, y su alineación con los planes estratégicos comerciales.

• Revisión sistemática de las exposiciones con los clientes principales, sectores económicos de actividad, áreas geográficas y tipos de riesgo.

• Conocer y valorar las herramientas de gestión, iniciativas de mejora, evolución de proyectos y cualquier otra actividad relevante relacionada con el control

de riesgos, incluyendo la política sobre modelos internos de riesgo y su validación interna.

• Apoyo y asesoramiento al consejo en la relación con supervisores y reguladores en los distintos países en que está presente el Grupo.

• Supervisar el cumplimiento del código general de conducta, de los manuales y procedimientos de prevención de blanqueo de capitales y de la financiación del terrorismo y, en general, de las reglas de gobierno y el programa de cumplimiento de la Sociedad y hacer las propuestas necesarias para su mejora. En particular, corresponde a la comisión recibir información y, en su caso, emitir informe sobre medidas disciplinarias a miembros de la alta dirección.

• Supervisión de la política y reglas de gobierno y cumplimiento del Grupo y, en particular, de la adopción de las acciones y medidas que sean consecuencia de los informes o actuaciones de inspección de las autoridades administrativas de supervisión y control. Supervisará el funcionamiento y el cumplimiento del modelo de prevención de riesgos penales aprobado por el consejo de conformidad con el artículo 3.2 de este reglamento.

• Seguimiento y evaluación de las propuestas normativas y novedades regulatorias que resulten de aplicación y posibles consecuencias para el Grupo.

• Informar las propuestas de modificación del Reglamento del Consejo de Administración con carácter previo a su aprobación por el consejo de administración. 

@CarlosNunoRio