Por medio de su Circular 1/2014, de 26 de febrero, la CNMV impone a las empresas de servicios de inversión españolas, incluyendo a las Empresas de Asesoramiento Financiero (EAFIs), establecer y mantener una estructura organizativa adecuada y organizarse de tal manera que tengan unidades de control interno que asuman las siguientes funciones:
(i) función de cumplimiento normativo;
(ii) función de auditoría interna; y
(iii) función de gestión de riesgos.
Aunque esta obligación exige a las EAFIs destinar recursos personales y materiales importantes para cumplir dichas funciones, las buenas noticias son que las EAFIs pueden concentrar estas tres funciones en una sola unidad, salvo cuando no resulte proporcionado a la vista de la dimensión y complejidad de la actividad realizada, y pueden externalizarlas en un tercero, sin desentenderse de la supervisión de esas funciones delegadas y la gestión de los riesgos asociados a la delegación (tal como exige el Real Decreto 217/2008).
Por su parte, las EAFIs personas físicas están exentas de esta obligación al considerarse satisfecha con la remisión obligatoria a la CNMV del informe anual de su actividad, elaborado por un experto independiente.
Con carácter general, se exige que la unidad de control interno en cuestión informe a la alta dirección sobre el resultado de sus trabajos, al menos, una vez al trimestre, así como la elaboración de un informe anual sobre dichos trabajos que debe ser remitido a la alta dirección dentro de los cuatro primeros meses de cada ejercicio.
No obstante, cuando exista una única unidad que desempeñe todas las funciones de control interno señaladas, podrá elaborarse un único informe con carácter anual, en el que se encuentren perfectamente separados e identificados los resultados de las actividades de las funciones de cumplimiento normativo, gestión de riesgos y auditoría interna.
En todo caso, los citados informes anuales deberán estar a disposición de la CNMV. Sólo en relación con la función de auditoría interna, se deberá presentar dicho informe a la CNMV a través del servicio CIFRADOC en el mismo plazo de rendición que las cuentas anuales auditadas (antes del 15 de mayo).
Además, se exige contar con manuales internos en los que se detallen las políticas y procedimientos de control señalados en la normativa sectorial.