Riesgo de mercado y por cuenta propia
"Al poder negociar por cuenta propia y asegurar emisiones, la sociedad de valores concentra riesgo de mercado y de contraparte: exige el capital inicial más alto y un marco de riesgos robusto."
Diseñamos y reforzamos el marco de gestión de riesgos de tu empresa de servicios de inversión (ESI) ante la CNMV: mapa de riesgos, unidad y comité de riesgos, función de cumplimiento, auditoría interna, marco prudencial IFR/IFD y reporting supervisor. Un modelo coherente, proporcional y defendible.
Consulta gratuita
Te respondemos en menos de 24 h
Seis bloques que conforman un marco de gestión de riesgos coherente, proporcional y defendible ante la CNMV para cualquier empresa de servicios de inversión.
Identificamos y clasificamos los riesgos relevantes de tu entidad —crédito, mercado, liquidez, operacional, concentración, tecnológico y de cumplimiento— y los traducimos a un perfil de riesgo alineado con el enfoque RtC/RtM/RtF del marco prudencial.
Diseñamos la función de gestión de riesgos independiente, el comité de riesgos y su reporte al órgano de administración conforme al Real Decreto 813/2023 y a la Ley 6/2023 (LMVSI), con un alcance proporcional al tamaño de la entidad.
Implantamos la función de cumplimiento (compliance) exigida por MiFID II: control de conducta, idoneidad, conflictos de interés, gobernanza de productos y reporting al supervisor.
Definimos la tercera línea de defensa: plan anual de auditoría interna, revisión independiente de controles y seguimiento de recomendaciones y hallazgos.
Analizamos los requisitos de fondos propios por factores K, el capital inicial y la clasificación de tu ESI bajo el Reglamento (UE) 2019/2033 (IFR) y la Directiva (UE) 2019/2034 (IFD).
Integramos el riesgo tecnológico en el marco de la ESI: gestión del riesgo TIC, continuidad, notificación de incidentes y control de proveedores críticos conforme a DORA.
Sociedades de valores, agencias de valores, sociedades gestoras de carteras o empresas de asesoramiento financiero: cada figura tiene su perfil de riesgo, su capital y sus exigencias de organización interna ante la CNMV.
"Al poder negociar por cuenta propia y asegurar emisiones, la sociedad de valores concentra riesgo de mercado y de contraparte: exige el capital inicial más alto y un marco de riesgos robusto."
"La agencia de valores opera por cuenta ajena. El foco de riesgo se desplaza hacia el operacional, la custodia de fondos e instrumentos y el riesgo de cumplimiento."
"La sociedad gestora de carteras gestiona de forma discrecional: el control se centra en idoneidad, conflictos de interés, mejor ejecución y riesgo reputacional."
"La empresa de asesoramiento financiero tiene un perfil de riesgo bajo, pero sigue obligada a un marco de riesgos y de cumplimiento proporcional a su actividad ante la CNMV."
Un marco de riesgos débil o meramente formal se traduce en requerimientos de la CNMV, exigencias adicionales de capital, sanciones y deterioro reputacional que condicionan la actividad de la entidad.
El error más habitual: tratar la función de riesgos como un documento y no como una función viva. Cuando el comité de riesgos no reúne evidencias, actas ni seguimiento, el modelo no aguanta una revisión supervisora.
La CNMV evalúa la organización interna, no solo el papel: si el mapa de riesgos, el gobierno, la función de cumplimiento y la auditoría interna no encajan entre sí, el proceso de revisión supervisora detecta las brechas.
El marco prudencial es proporcional pero exigente: con IFR/IFD, los fondos propios se calculan por factores K y la CNMV puede imponer requisitos adicionales de capital si la evaluación de riesgos resulta insuficiente.
Si la CNMV considera que los riesgos no están suficientemente cubiertos, puede exigir fondos propios adicionales por encima del requisito de IFR.
Las deficiencias de organización interna y gestión de riesgos están tipificadas en la LMVSI y pueden derivar en sanciones y responsabilidad de los administradores.
Un incidente de control o una amonestación pública erosiona la relación con clientes, contrapartes y entidades depositarias, afectando al negocio.
Antes de una inspección o de una autorización conviene revisar el mapa de riesgos, el gobierno interno, las funciones de control y el cálculo de fondos propios para asegurar que el modelo aguanta la revisión supervisora.
Es el conjunto de políticas, funciones y procedimientos que una empresa de servicios de inversión implanta para identificar, medir, vigilar y mitigar los riesgos derivados de su actividad. Incluye la función de gestión de riesgos, el comité de riesgos, la función de cumplimiento y la auditoría interna.
No es un trámite documental: la CNMV valora que exista una organización interna real y proporcional capaz de sostener la actividad con controles ejecutados y evidencias.
El marco principal es la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI) y su desarrollo, el Real Decreto 813/2023, de 8 de noviembre, que derogó el RD 217/2008.
A ello se suma MiFID II (Directiva 2014/65/UE) y el Reglamento Delegado (UE) 2017/565, y el marco prudencial IFR/IFD: Reglamento (UE) 2019/2033 y Directiva (UE) 2019/2034.
La LMVSI regula la gestión del riesgo y el comité de riesgos y, como novedad frente al régimen anterior, extiende esta exigencia también a las ESI pequeñas y no interconectadas (ESIPNI), remitiendo a un desarrollo reglamentario proporcional.
En la práctica, el alcance y la formalización del comité se gradúan según el tamaño, la naturaleza y la complejidad de la entidad. Analizamos qué configuración corresponde a tu ESI.
Es el régimen prudencial específico de las empresas de servicios de inversión, formado por el Reglamento (UE) 2019/2033 (IFR) y la Directiva (UE) 2019/2034 (IFD), incorporada a nuestro derecho por la LMVSI y el RD 813/2023.
Sustituye la aplicación generalizada del marco bancario (CRR/CRD) por un modelo proporcional al riesgo y al tamaño, basado en los factores K.
Es el modelo de control interno de referencia:
La CNMV espera que estas líneas estén claramente diferenciadas y dotadas de independencia y recursos.
La función de gestión de riesgos identifica y mide los riesgos y vela por su control; la función de cumplimiento vigila la observancia de la normativa de conducta (MiFID II) y los conflictos de interés; la auditoría interna revisa de forma independiente que ambas funcionan.
Son funciones separadas y, en la medida en que lo permita la proporcionalidad, independientes entre sí y del negocio.
Revisa la coherencia y suficiencia de la organización interna: mapa y apetito de riesgo, gobierno corporativo, idoneidad de administradores y responsables de funciones clave, políticas de conflictos y remuneraciones, sistema de control y evidencias de su funcionamiento.
Como parte de la revisión supervisora, puede requerir información, exigir medidas correctoras e imponer requisitos adicionales de fondos propios.
Con carácter general: riesgo de crédito y contraparte, de mercado, de liquidez, operacional, de concentración, tecnológico (TIC), de cumplimiento y reputacional.
El marco IFR ordena además el riesgo en tres grandes bloques —riesgo para el cliente (RtC), para el mercado (RtM) y para la propia entidad (RtF)—, que orientan el cálculo de fondos propios por factores K.
Una ESI pequeña y no interconectada: una empresa de servicios de inversión que, por su tamaño y actividad, cumple los umbrales que la eximen de las exigencias más gravosas del marco prudencial (por ejemplo, ingresos por servicios de inversión inferiores a 30 millones de euros de media, entre otros criterios). Se le aplica un régimen simplificado y proporcional.
Son los parámetros que utiliza el Reglamento IFR para calcular los requisitos de fondos propios de las ESI en función del riesgo que generan. Se agrupan en tres familias: riesgo para el cliente (RtC), riesgo para el mercado (RtM) y riesgo para la propia entidad (RtF), midiendo variables como activos gestionados, órdenes tramitadas o fondos de clientes custodiados.
Las ESI de mayor tamaño e interconexión (con activos consolidados que superan determinados umbrales) pueden quedar sujetas al marco bancario y, en su caso, obligadas a solicitar autorización como entidad de crédito. La CNMV puede además exigir la aplicación de requisitos de CRR a ciertas entidades por su relevancia sistémica.
El Reglamento DORA, aplicable desde enero de 2025, obliga a las ESI a contar con un marco de gestión del riesgo tecnológico: gobernanza TIC, continuidad operativa, registro y notificación de incidentes, pruebas de resiliencia y supervisión de proveedores críticos. Es una pieza más del marco de riesgos, no un compartimento aislado.
Depende del tipo de entidad. Con carácter orientativo bajo el marco IFD/RD 813/2023: 750.000 € para sociedades de valores que negocian por cuenta propia o aseguran emisiones; 150.000 € para agencias de valores; y 75.000 € para sociedades gestoras de carteras y empresas de asesoramiento financiero. El importe exacto debe validarse según los servicios autorizados.
El Fondo de Garantía de Inversiones cubre a los clientes de las ESI ante situaciones de insolvencia de la entidad, dentro de los límites legales. La adhesión y el régimen de aportaciones dependen del tipo de ESI; determinadas EAF y EAFN tienen un régimen específico conforme a la LMVSI.
No todas las empresas de servicios de inversión tienen el mismo perfil de riesgo ni las mismas exigencias. El capital inicial y el alcance del marco de control dependen de los servicios que preste la entidad.

El esfuerzo de control depende de dos bloques: el perfil de riesgo derivado de los servicios autorizados y el marco prudencial aplicable (clase de ESI bajo IFR/IFD).
Antes de implantar nada cerramos el diagnóstico del perfil de riesgo y de la clase de ESI. Así el marco es proporcional: ni sobredimensionado ni insuficiente ante la CNMV.
| Tipo de ESI | Sociedad de valores | Agencia de valores | Gestora de carteras | EAFN |
|---|---|---|---|---|
| Capital inicial (orientativo) | 750.000 € | 150.000 € (75.000 € si no custodia) | 75.000 € | 75.000 € |
| Negocia por cuenta propia | Sí | No | No | No |
| Custodia fondos e instrumentos | Sí | Posible | No | No |
| Riesgo predominante | Mercado y contraparte | Operacional y custodia | Conflictos e idoneidad | Cumplimiento (bajo) |
| Comité y función de riesgos | Sí | Sí | Sí | Proporcional |
| Supervisor | CNMV | CNMV | CNMV | CNMV |
Cifras orientativas a efectos comparativos. El capital inicial exacto, la clase prudencial y el alcance del marco de riesgos dependen de los servicios de inversión concretos que preste la entidad y deben validarse caso a caso conforme a la LMVSI, el RD 813/2023 e IFR/IFD.
Un marco de riesgos eficaz no es un manual: es un sistema que demuestra coherencia entre gobierno, funciones de control, capital y evidencias. La clave es construir algo proporcional que aguante la revisión supervisora de la CNMV.
El supervisor analiza si la organización interna sostiene la actividad: administradores idóneos, funciones clave dotadas de independencia, políticas coherentes y evidencias de que los controles se ejecutan de verdad.
El mapa de riesgos, el apetito de riesgo y el reporte del comité al órgano de administración deben diseñarse antes que el capital. Sin ellos, el cálculo de fondos propios pierde fundamento.
Cumplimiento, auditoría interna, reporting de estados reservados y DORA deben sostenerse en el tiempo, no solo para pasar la autorización o una inspección puntual.
Si quieres estructurar o revisar el marco de riesgos de tu ESI, consulta nuestros servicios de regulación del mercado de valores o el área de corporate compliance.
Un marco de riesgos eficaz no es un dossier: es un conjunto de decisiones coherentes (mapa de riesgos, gobierno y funciones de control, fondos propios y reporting) que se demuestran con trazabilidad. Aquí tienes un panel para entender cómo se aterriza.

1) Mapa de riesgosEl objetivo no es rellenar una plantilla: es identificar los riesgos reales de la entidad y fijar un apetito de riesgo que condicione decisiones y capital.
2) GobiernoLa función de riesgos, el comité de riesgos y su reporte al órgano de administración deben encajar con cumplimiento y auditoría interna, sin solapes ni vacíos.
3) CapitalEl cálculo por factores K y el capital inicial deben ser coherentes con el perfil de riesgo. Un cálculo débil deriva en requerimientos de la CNMV.
4) Control continuoCumplimiento, auditoría interna, DORA, reporting y seguimiento convierten el marco en una función real: revisión, correcciones y evidencias vivas desde el primer día.
Decisión rápidaESI grande e interconectada: puede quedar sujeta al marco bancario (CRR/CRD) o requerir licencia de entidad de crédito.
ESI estándar: fondos propios por factores K, comité de riesgos y organización interna completa.
ESI pequeña y no interconectada: régimen simplificado y proporcional, sin dejar de controlar sus riesgos.
Identificación de riesgos relevantes y límites coherentes con el modelo de negocio y la clase de ESI.
Documento de apetito de riesgo, mapa de riesgos y políticas por categoría de riesgo.
Función independiente que mide, vigila y reporta los riesgos al órgano de administración.
Nombramiento del responsable, informes de riesgos y reporte periódico al consejo.
Órgano con la composición y periodicidad proporcionales que asesora sobre la estrategia de riesgo.
Reglamento del comité, actas, orden del día y seguimiento de acuerdos.
Vigilancia de la conducta MiFID II, conflictos de interés y gobernanza de productos.
Manual de cumplimiento, informe anual, registro de conflictos y evidencias de control.
Revisión independiente de la eficacia de la gestión de riesgos y del cumplimiento.
Plan anual de auditoría, informes de revisión y seguimiento de recomendaciones.
Cálculo por factores K, capital inicial y cobertura suficiente del perfil de riesgo.
Memoria de cálculo de fondos propios, estados reservados y evaluación de capital.
Detéctalos antes de una autorización o de una inspección para evitar requerimientos y medidas correctoras.
Si estás estructurando el marco de riesgos de una empresa de servicios de inversión, estos términos aparecen en las políticas internas, en los informes y en la relación con la CNMV.
Entidad autorizada por la CNMV para prestar servicios de inversión: sociedades de valores, agencias de valores, sociedades gestoras de carteras y empresas de asesoramiento financiero.
Función independiente que identifica, mide y vigila los riesgos de la entidad y reporta al órgano de administración. Puede apoyarse en una unidad de gestión de riesgos.
Órgano que asesora al consejo sobre la estrategia y el apetito de riesgo. La LMVSI lo exige de forma proporcional, alcanzando también a las ESIPNI.
Reglamento (UE) 2019/2033 (IFR) y Directiva (UE) 2019/2034 (IFD): régimen prudencial proporcional al riesgo y al tamaño de la ESI, distinto del marco bancario.
Parámetros del IFR para calcular los fondos propios según el riesgo: para el cliente (RtC), para el mercado (RtM) y para la propia entidad (RtF).
Modelo de control: negocio (1ª), gestión de riesgos y cumplimiento (2ª) y auditoría interna (3ª). Deben estar diferenciadas y dotadas de independencia.
ESI que cumple los umbrales que la eximen de las exigencias más gravosas del marco prudencial. Se le aplica un régimen simplificado y proporcional.
Reglamento europeo aplicable desde enero de 2025 que exige gestión del riesgo TIC, continuidad, notificación de incidentes y control de proveedores críticos.
Información periódica que las ESI remiten a la CNMV sobre solvencia, actividad y riesgos, mediante las circulares de la Comisión. Base de la supervisión continua.
Descarga nuestra guía con el marco completo: organización interna, funciones de control, comité de riesgos, marco IFR/IFD y preparación ante la revisión supervisora.
El control y la gestión de riesgos de las empresas de servicios de inversión se articula en España a partir de la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI) y su desarrollo reglamentario, el Real Decreto 813/2023, de 8 de noviembre, que derogó el RD 217/2008 y completó la transposición de la Directiva (UE) 2019/2034 (IFD). La supervisión corresponde a la CNMV, que evalúa la organización interna, la idoneidad de administradores y responsables de funciones clave y la suficiencia del marco de gestión de riesgos.
El RD 813/2023 desarrolla las medidas de organización interna —gestión de riesgos, unidad de gestión de riesgos, conflictos de interés y registros— y, para las entidades grandes e interconectadas, el gobierno interno y el tratamiento de los riesgos con comité de riesgos. La LMVSI regula la gestión del riesgo y extiende la obligación de comité de riesgos también a las ESI pequeñas y no interconectadas, con un desarrollo proporcional al tamaño y perfil de la entidad.
El régimen prudencial de las ESI se rige por el Reglamento (UE) 2019/2033 (IFR) y la Directiva (UE) 2019/2034 (IFD), que sustituyen la aplicación generalizada del marco bancario por un modelo proporcional al riesgo. Los requisitos de fondos propios se calculan por factores K, agrupados en riesgo para el cliente (RtC), para el mercado (RtM) y para la propia entidad (RtF). Las ESI de mayor relevancia sistémica pueden quedar sujetas al marco bancario o requerir autorización como entidad de crédito.
Sobre la organización se superpone la normativa de conducta de MiFID II (Directiva 2014/65/UE) y el Reglamento Delegado (UE) 2017/565: idoneidad, conflictos de interés y gobernanza de productos. El modelo de control se apoya en tres líneas de defensa —negocio, funciones de riesgos y cumplimiento, y auditoría interna— que la CNMV espera diferenciadas, independientes y dotadas de recursos.
Como parte de la revisión supervisora, la CNMV puede requerir información, exigir medidas correctoras e imponer requisitos adicionales de fondos propios cuando considere que los riesgos no están suficientemente cubiertos. Un marco de riesgos coherente y con evidencias reduce el riesgo de requerimientos y de expedientes sancionadores.