Control de riesgos de las ESI ante la CNMV

Diseñamos y reforzamos el marco de gestión de riesgos de tu empresa de servicios de inversión (ESI) ante la CNMV: mapa de riesgos, unidad y comité de riesgos, función de cumplimiento, auditoría interna, marco prudencial IFR/IFD y reporting supervisor. Un modelo coherente, proporcional y defendible.

Consulta gratuita

Te respondemos en menos de 24 h

Un marco de riesgos distinto para cada tipo de ESI

Sociedades de valores, agencias de valores, sociedades gestoras de carteras o empresas de asesoramiento financiero: cada figura tiene su perfil de riesgo, su capital y sus exigencias de organización interna ante la CNMV.

Sociedad de valores

Riesgo de mercado y por cuenta propia

"Al poder negociar por cuenta propia y asegurar emisiones, la sociedad de valores concentra riesgo de mercado y de contraparte: exige el capital inicial más alto y un marco de riesgos robusto."

Agencia de valores

Ejecución y custodia sin cuenta propia

"La agencia de valores opera por cuenta ajena. El foco de riesgo se desplaza hacia el operacional, la custodia de fondos e instrumentos y el riesgo de cumplimiento."

Gestora de carteras

Gestión discrecional y conflictos

"La sociedad gestora de carteras gestiona de forma discrecional: el control se centra en idoneidad, conflictos de interés, mejor ejecución y riesgo reputacional."

EAF / EAFN

Asesoramiento con perfil de bajo riesgo

"La empresa de asesoramiento financiero tiene un perfil de riesgo bajo, pero sigue obligada a un marco de riesgos y de cumplimiento proporcional a su actividad ante la CNMV."

¿Por qué el control de riesgos es crítico para tu ESI?

Un marco de riesgos débil o meramente formal se traduce en requerimientos de la CNMV, exigencias adicionales de capital, sanciones y deterioro reputacional que condicionan la actividad de la entidad.

El error más habitual: tratar la función de riesgos como un documento y no como una función viva. Cuando el comité de riesgos no reúne evidencias, actas ni seguimiento, el modelo no aguanta una revisión supervisora.

La CNMV evalúa la organización interna, no solo el papel: si el mapa de riesgos, el gobierno, la función de cumplimiento y la auditoría interna no encajan entre sí, el proceso de revisión supervisora detecta las brechas.

El marco prudencial es proporcional pero exigente: con IFR/IFD, los fondos propios se calculan por factores K y la CNMV puede imponer requisitos adicionales de capital si la evaluación de riesgos resulta insuficiente.

Revisión supervisora Add-on de capital

Si la CNMV considera que los riesgos no están suficientemente cubiertos, puede exigir fondos propios adicionales por encima del requisito de IFR.

Régimen sancionador Infracciones graves

Las deficiencias de organización interna y gestión de riesgos están tipificadas en la LMVSI y pueden derivar en sanciones y responsabilidad de los administradores.

Riesgo reputacional Pérdida de confianza

Un incidente de control o una amonestación pública erosiona la relación con clientes, contrapartes y entidades depositarias, afectando al negocio.

¿Tu ESI tiene un marco de riesgos defendible ante la CNMV?

Antes de una inspección o de una autorización conviene revisar el mapa de riesgos, el gobierno interno, las funciones de control y el cálculo de fondos propios para asegurar que el modelo aguanta la revisión supervisora.

Control de riesgos de las ESI: dudas habituales

¿Qué es el control de riesgos de una ESI?

Es el conjunto de políticas, funciones y procedimientos que una empresa de servicios de inversión implanta para identificar, medir, vigilar y mitigar los riesgos derivados de su actividad. Incluye la función de gestión de riesgos, el comité de riesgos, la función de cumplimiento y la auditoría interna.

No es un trámite documental: la CNMV valora que exista una organización interna real y proporcional capaz de sostener la actividad con controles ejecutados y evidencias.

¿Qué normativa regula la gestión de riesgos de las ESI?

El marco principal es la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI) y su desarrollo, el Real Decreto 813/2023, de 8 de noviembre, que derogó el RD 217/2008.

A ello se suma MiFID II (Directiva 2014/65/UE) y el Reglamento Delegado (UE) 2017/565, y el marco prudencial IFR/IFD: Reglamento (UE) 2019/2033 y Directiva (UE) 2019/2034.

¿Todas las ESI están obligadas a tener comité de riesgos?

La LMVSI regula la gestión del riesgo y el comité de riesgos y, como novedad frente al régimen anterior, extiende esta exigencia también a las ESI pequeñas y no interconectadas (ESIPNI), remitiendo a un desarrollo reglamentario proporcional.

En la práctica, el alcance y la formalización del comité se gradúan según el tamaño, la naturaleza y la complejidad de la entidad. Analizamos qué configuración corresponde a tu ESI.

¿Qué es el marco prudencial IFR/IFD?

Es el régimen prudencial específico de las empresas de servicios de inversión, formado por el Reglamento (UE) 2019/2033 (IFR) y la Directiva (UE) 2019/2034 (IFD), incorporada a nuestro derecho por la LMVSI y el RD 813/2023.

Sustituye la aplicación generalizada del marco bancario (CRR/CRD) por un modelo proporcional al riesgo y al tamaño, basado en los factores K.

¿Qué son las tres líneas de defensa?

Es el modelo de control interno de referencia:

  • Primera línea: el propio negocio y las áreas operativas, que asumen y gestionan sus riesgos.
  • Segunda línea: las funciones de gestión de riesgos y de cumplimiento normativo, que vigilan de forma independiente.
  • Tercera línea: la auditoría interna, que revisa de forma independiente la eficacia de las dos anteriores.

La CNMV espera que estas líneas estén claramente diferenciadas y dotadas de independencia y recursos.

¿Qué diferencia hay entre función de riesgos, cumplimiento y auditoría interna?

La función de gestión de riesgos identifica y mide los riesgos y vela por su control; la función de cumplimiento vigila la observancia de la normativa de conducta (MiFID II) y los conflictos de interés; la auditoría interna revisa de forma independiente que ambas funcionan.

Son funciones separadas y, en la medida en que lo permita la proporcionalidad, independientes entre sí y del negocio.

¿Qué revisa la CNMV en materia de control de riesgos?

Revisa la coherencia y suficiencia de la organización interna: mapa y apetito de riesgo, gobierno corporativo, idoneidad de administradores y responsables de funciones clave, políticas de conflictos y remuneraciones, sistema de control y evidencias de su funcionamiento.

Como parte de la revisión supervisora, puede requerir información, exigir medidas correctoras e imponer requisitos adicionales de fondos propios.

¿Qué tipos de riesgo debe gestionar una ESI?

Con carácter general: riesgo de crédito y contraparte, de mercado, de liquidez, operacional, de concentración, tecnológico (TIC), de cumplimiento y reputacional.

El marco IFR ordena además el riesgo en tres grandes bloques —riesgo para el cliente (RtC), para el mercado (RtM) y para la propia entidad (RtF)—, que orientan el cálculo de fondos propios por factores K.

ESIPNI, factores K, ESI sistémicas, DORA y capital inicial

¿Qué es una ESIPNI?

Una ESI pequeña y no interconectada: una empresa de servicios de inversión que, por su tamaño y actividad, cumple los umbrales que la eximen de las exigencias más gravosas del marco prudencial (por ejemplo, ingresos por servicios de inversión inferiores a 30 millones de euros de media, entre otros criterios). Se le aplica un régimen simplificado y proporcional.

¿Qué son los factores K (K-factors)?

Son los parámetros que utiliza el Reglamento IFR para calcular los requisitos de fondos propios de las ESI en función del riesgo que generan. Se agrupan en tres familias: riesgo para el cliente (RtC), riesgo para el mercado (RtM) y riesgo para la propia entidad (RtF), midiendo variables como activos gestionados, órdenes tramitadas o fondos de clientes custodiados.

¿Qué ESI se consideran sistémicas?

Las ESI de mayor tamaño e interconexión (con activos consolidados que superan determinados umbrales) pueden quedar sujetas al marco bancario y, en su caso, obligadas a solicitar autorización como entidad de crédito. La CNMV puede además exigir la aplicación de requisitos de CRR a ciertas entidades por su relevancia sistémica.

¿Cómo afecta DORA al riesgo TIC de una ESI?

El Reglamento DORA, aplicable desde enero de 2025, obliga a las ESI a contar con un marco de gestión del riesgo tecnológico: gobernanza TIC, continuidad operativa, registro y notificación de incidentes, pruebas de resiliencia y supervisión de proveedores críticos. Es una pieza más del marco de riesgos, no un compartimento aislado.

¿Qué capital inicial necesita una ESI?

Depende del tipo de entidad. Con carácter orientativo bajo el marco IFD/RD 813/2023: 750.000 € para sociedades de valores que negocian por cuenta propia o aseguran emisiones; 150.000 € para agencias de valores; y 75.000 € para sociedades gestoras de carteras y empresas de asesoramiento financiero. El importe exacto debe validarse según los servicios autorizados.

¿Qué es el FOGAIN?

El Fondo de Garantía de Inversiones cubre a los clientes de las ESI ante situaciones de insolvencia de la entidad, dentro de los límites legales. La adhesión y el régimen de aportaciones dependen del tipo de ESI; determinadas EAF y EAFN tienen un régimen específico conforme a la LMVSI.

Capital inicial y obligaciones de riesgo por tipo de ESI

No todas las empresas de servicios de inversión tienen el mismo perfil de riesgo ni las mismas exigencias. El capital inicial y el alcance del marco de control dependen de los servicios que preste la entidad.

Tipos de ESI y capital inicial: sociedad de valores, agencia de valores, sociedad gestora de carteras y empresa de asesoramiento financiero (EAFN), con su supervisor y perfil de riesgo

Qué determina el alcance del marco de riesgos

El esfuerzo de control depende de dos bloques: el perfil de riesgo derivado de los servicios autorizados y el marco prudencial aplicable (clase de ESI bajo IFR/IFD).

Servicios
Negociación por cuenta propia, aseguramiento, custodia, gestión discrecional o solo asesoramiento.
Clase IFR
Clase 1 (sistémica), clase 2 (estándar por factores K) o clase 3 (ESIPNI, régimen simplificado).
Custodia de fondos
Tener o no depósito de fondos e instrumentos de clientes eleva el riesgo y el capital.
Perfil recurrente
Reporting de estados reservados, revisión supervisora, DORA y auditorías periódicas.

Cómo abordamos el marco de riesgos

Antes de implantar nada cerramos el diagnóstico del perfil de riesgo y de la clase de ESI. Así el marco es proporcional: ni sobredimensionado ni insuficiente ante la CNMV.

  1. Diagnóstico del tipo de ESI y clasificación prudencial.
  2. Diseño del marco por fases: gobierno, funciones de control y capital.
  3. Implantación con evidencias y preparación ante inspección.

Solicita un diagnóstico para tu ESI →

Comparativa entre tipos de empresa de servicios de inversión
Tipo de ESI Sociedad de valores Agencia de valores Gestora de carteras EAFN
Capital inicial (orientativo) 750.000 € 150.000 € (75.000 € si no custodia) 75.000 € 75.000 €
Negocia por cuenta propia No No No
Custodia fondos e instrumentos Posible No No
Riesgo predominante Mercado y contraparte Operacional y custodia Conflictos e idoneidad Cumplimiento (bajo)
Comité y función de riesgos Proporcional
Supervisor CNMV CNMV CNMV CNMV

Cifras orientativas a efectos comparativos. El capital inicial exacto, la clase prudencial y el alcance del marco de riesgos dependen de los servicios de inversión concretos que preste la entidad y deben validarse caso a caso conforme a la LMVSI, el RD 813/2023 e IFR/IFD.

Cómo implantar el marco de control de riesgos de una ESI

Un marco de riesgos eficaz no es un manual: es un sistema que demuestra coherencia entre gobierno, funciones de control, capital y evidencias. La clave es construir algo proporcional que aguante la revisión supervisora de la CNMV.

Gobierno

Qué valora realmente la CNMV

El supervisor analiza si la organización interna sostiene la actividad: administradores idóneos, funciones clave dotadas de independencia, políticas coherentes y evidencias de que los controles se ejecutan de verdad.

Riesgos

La pieza que más se descuida

El mapa de riesgos, el apetito de riesgo y el reporte del comité al órgano de administración deben diseñarse antes que el capital. Sin ellos, el cálculo de fondos propios pierde fundamento.

Control continuo

El marco tiene que vivir

Cumplimiento, auditoría interna, reporting de estados reservados y DORA deben sostenerse en el tiempo, no solo para pasar la autorización o una inspección puntual.

Checklist: marco de control de riesgos en 10 pasos

  1. Clasificar la ESI: tipo de entidad, servicios autorizados y clase prudencial bajo IFR/IFD.
  2. Definir el apetito de riesgo y el mapa de riesgos relevantes de la actividad.
  3. Constituir la función de gestión de riesgos independiente y su reporte al órgano de administración.
  4. Configurar el comité de riesgos con la proporcionalidad que corresponda a la entidad.
  5. Implantar la función de cumplimiento normativo (MiFID II): conducta, conflictos y gobernanza de productos.
  6. Diseñar la función de auditoría interna y su plan anual de revisión.
  7. Calcular los fondos propios por factores K y validar el capital inicial exigido.
  8. Integrar el riesgo TIC y la resiliencia operativa conforme a DORA.
  9. Preparar el reporting a la CNMV: estados reservados e información periódica.
  10. Establecer el ciclo de revisión: seguimiento, actas, evidencias y actualización ante cambios normativos.

Si quieres estructurar o revisar el marco de riesgos de tu ESI, consulta nuestros servicios de regulación del mercado de valores o el área de corporate compliance.

Control de riesgos en modo operativo

El marco de riesgos de la ESI ante la CNMV: del papel a la práctica

Un marco de riesgos eficaz no es un dossier: es un conjunto de decisiones coherentes (mapa de riesgos, gobierno y funciones de control, fondos propios y reporting) que se demuestran con trazabilidad. Aquí tienes un panel para entender cómo se aterriza.

Cálculo de fondos propios de una ESI por factores K bajo IFR: riesgo para el cliente (RtC), riesgo para el mercado (RtM) y riesgo para la propia entidad (RtF)
Mapa de riesgos y apetito de riesgo de una ESI1) Mapa de riesgos

Mapa de riesgos: primero medir, luego controlar

El objetivo no es rellenar una plantilla: es identificar los riesgos reales de la entidad y fijar un apetito de riesgo que condicione decisiones y capital.

  • Identificación por categorías de riesgo
  • Apetito y límites de riesgo
  • Enfoque RtC / RtM / RtF
Gobierno interno comité de riesgos ESI CNMV2) Gobierno

Gobierno: funciones de control diferenciadas

La función de riesgos, el comité de riesgos y su reporte al órgano de administración deben encajar con cumplimiento y auditoría interna, sin solapes ni vacíos.

  • Unidad de gestión de riesgos
  • Comité de riesgos proporcional
  • Idoneidad de responsables
Fondos propios factores K marco prudencial IFR IFD3) Capital

Fondos propios: lo que sostiene el modelo

El cálculo por factores K y el capital inicial deben ser coherentes con el perfil de riesgo. Un cálculo débil deriva en requerimientos de la CNMV.

  • Clasificación de la ESI (IFR/IFD)
  • Requisitos por factores K
  • Add-ons por revisión supervisora
Mapa de decisión clase prudencial de la ESIDecisión rápida

Mapa práctico: ¿qué clase de ESI es la tuya?

Clase 1

ESI grande e interconectada: puede quedar sujeta al marco bancario (CRR/CRD) o requerir licencia de entidad de crédito.

Clase 2

ESI estándar: fondos propios por factores K, comité de riesgos y organización interna completa.

Clase 3 (ESIPNI)

ESI pequeña y no interconectada: régimen simplificado y proporcional, sin dejar de controlar sus riesgos.

Ver regulación mercado de valores Corporate compliance
Playbook de riesgos

El control de riesgos de la ESI en la práctica

Bloque del marco
Qué se espera
Evidencia típica

Mapa y apetito de riesgo

Identificación de riesgos relevantes y límites coherentes con el modelo de negocio y la clase de ESI.

Documento de apetito de riesgo, mapa de riesgos y políticas por categoría de riesgo.

Función de gestión de riesgos

Función independiente que mide, vigila y reporta los riesgos al órgano de administración.

Nombramiento del responsable, informes de riesgos y reporte periódico al consejo.

Comité de riesgos

Órgano con la composición y periodicidad proporcionales que asesora sobre la estrategia de riesgo.

Reglamento del comité, actas, orden del día y seguimiento de acuerdos.

Función de cumplimiento

Vigilancia de la conducta MiFID II, conflictos de interés y gobernanza de productos.

Manual de cumplimiento, informe anual, registro de conflictos y evidencias de control.

Auditoría interna

Revisión independiente de la eficacia de la gestión de riesgos y del cumplimiento.

Plan anual de auditoría, informes de revisión y seguimiento de recomendaciones.

Fondos propios (IFR)

Cálculo por factores K, capital inicial y cobertura suficiente del perfil de riesgo.

Memoria de cálculo de fondos propios, estados reservados y evaluación de capital.

Errores frecuentes que debilitan el marco de riesgos ante la CNMV

Detéctalos antes de una autorización o de una inspección para evitar requerimientos y medidas correctoras.

  • Un comité de riesgos que no deja actas, seguimiento ni evidencias de funcionamiento.
  • Confundir la función de riesgos con la de cumplimiento o no dotarlas de independencia.
  • Calcular los fondos propios sin haber cerrado antes el mapa y el apetito de riesgo.
  • Responsables de funciones clave que no acreditan idoneidad ante el supervisor.
  • Tratar el riesgo TIC (DORA) como un compartimento ajeno al marco de riesgos.
Diccionario operativo

Conceptos clave: control de riesgos de las ESI

Si estás estructurando el marco de riesgos de una empresa de servicios de inversión, estos términos aparecen en las políticas internas, en los informes y en la relación con la CNMV.

ESIBase

Empresa de Servicios de Inversión

Entidad autorizada por la CNMV para prestar servicios de inversión: sociedades de valores, agencias de valores, sociedades gestoras de carteras y empresas de asesoramiento financiero.

Regulada por: Ley 6/2023 (LMVSI) y RD 813/2023.
Función de riesgos2ª línea

Gestión de riesgos

Función independiente que identifica, mide y vigila los riesgos de la entidad y reporta al órgano de administración. Puede apoyarse en una unidad de gestión de riesgos.

Base: arts. de organización interna del RD 813/2023.
Comité de riesgosGobierno

Comité de riesgos

Órgano que asesora al consejo sobre la estrategia y el apetito de riesgo. La LMVSI lo exige de forma proporcional, alcanzando también a las ESIPNI.

Evidencia: reglamento, actas y seguimiento.
IFR / IFDPrudencial

Marco prudencial de las ESI

Reglamento (UE) 2019/2033 (IFR) y Directiva (UE) 2019/2034 (IFD): régimen prudencial proporcional al riesgo y al tamaño de la ESI, distinto del marco bancario.

Incorporado por LMVSI y RD 813/2023.
Factores KCapital

K-factors

Parámetros del IFR para calcular los fondos propios según el riesgo: para el cliente (RtC), para el mercado (RtM) y para la propia entidad (RtF).

Clave: activos gestionados, órdenes, fondos custodiados.
3 líneasControl interno

Tres líneas de defensa

Modelo de control: negocio (1ª), gestión de riesgos y cumplimiento (2ª) y auditoría interna (3ª). Deben estar diferenciadas y dotadas de independencia.

Referencia de organización interna de la CNMV.
ESIPNIProporcionalidad

ESI pequeña y no interconectada

ESI que cumple los umbrales que la eximen de las exigencias más gravosas del marco prudencial. Se le aplica un régimen simplificado y proporcional.

Umbral de referencia: ingresos por servicios < 30 M€ (entre otros).
DORARiesgo TIC

Digital Operational Resilience Act

Reglamento europeo aplicable desde enero de 2025 que exige gestión del riesgo TIC, continuidad, notificación de incidentes y control de proveedores críticos.

Aplica a las ESI autorizadas en la UE.
Estados reservadosReporting

Información reservada

Información periódica que las ESI remiten a la CNMV sobre solvencia, actividad y riesgos, mediante las circulares de la Comisión. Base de la supervisión continua.

Evidencia: envíos periódicos a la CNMV.

Guía: Control de riesgos de las ESI ante la CNMV

Descarga nuestra guía con el marco completo: organización interna, funciones de control, comité de riesgos, marco IFR/IFD y preparación ante la revisión supervisora.

  • Mapa de riesgos, apetito de riesgo y enfoque RtC/RtM/RtF
  • Función de riesgos, comité de riesgos y tres líneas de defensa
  • Clases de ESI y fondos propios por factores K (IFR/IFD)
  • Reporting a la CNMV, DORA y preparación ante inspección
Descargar guía (PDF)

Reserva una llamada

Cuéntanos cómo es tu ESI y te explicamos cómo estructurar o reforzar el marco de control de riesgos ante la CNMV.

Marco regulatorio del control de riesgos de las ESI: LMVSI, RD 813/2023 e IFR/IFD

El control y la gestión de riesgos de las empresas de servicios de inversión se articula en España a partir de la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI) y su desarrollo reglamentario, el Real Decreto 813/2023, de 8 de noviembre, que derogó el RD 217/2008 y completó la transposición de la Directiva (UE) 2019/2034 (IFD). La supervisión corresponde a la CNMV, que evalúa la organización interna, la idoneidad de administradores y responsables de funciones clave y la suficiencia del marco de gestión de riesgos.

Organización interna y funciones de control

El RD 813/2023 desarrolla las medidas de organización interna —gestión de riesgos, unidad de gestión de riesgos, conflictos de interés y registros— y, para las entidades grandes e interconectadas, el gobierno interno y el tratamiento de los riesgos con comité de riesgos. La LMVSI regula la gestión del riesgo y extiende la obligación de comité de riesgos también a las ESI pequeñas y no interconectadas, con un desarrollo proporcional al tamaño y perfil de la entidad.

Marco prudencial: IFR, IFD y factores K

El régimen prudencial de las ESI se rige por el Reglamento (UE) 2019/2033 (IFR) y la Directiva (UE) 2019/2034 (IFD), que sustituyen la aplicación generalizada del marco bancario por un modelo proporcional al riesgo. Los requisitos de fondos propios se calculan por factores K, agrupados en riesgo para el cliente (RtC), para el mercado (RtM) y para la propia entidad (RtF). Las ESI de mayor relevancia sistémica pueden quedar sujetas al marco bancario o requerir autorización como entidad de crédito.

Normas de conducta MiFID II y tres líneas de defensa

Sobre la organización se superpone la normativa de conducta de MiFID II (Directiva 2014/65/UE) y el Reglamento Delegado (UE) 2017/565: idoneidad, conflictos de interés y gobernanza de productos. El modelo de control se apoya en tres líneas de defensa —negocio, funciones de riesgos y cumplimiento, y auditoría interna— que la CNMV espera diferenciadas, independientes y dotadas de recursos.

Revisión supervisora y requisitos adicionales de capital

Como parte de la revisión supervisora, la CNMV puede requerir información, exigir medidas correctoras e imponer requisitos adicionales de fondos propios cuando considere que los riesgos no están suficientemente cubiertos. Un marco de riesgos coherente y con evidencias reduce el riesgo de requerimientos y de expedientes sancionadores.

LMVSI (Ley 6/2023) RD 813/2023 MiFID II IFR IFD Factores K CNMV DORA