Art. 5 · Información sobre el marco de control interno

Art. 5

Información sobre el marco de control interno

En vigor desde 5 jun 2025
Artículo 5 Información sobre el marco de control interno 1.   La solicitud de autorización contendrá una descripción exhaustiva del marco de control interno del emisor solicitante, que incluirá todos los elementos siguientes: a) una descripción exhaustiva de la función interna de cumplimiento normativo como parte del mecanismo de control interno previsto con arreglo al artículo 34, apartado 10, del Reglamento (UE) 2023/1114, con autoridad, rango y recursos suficientes y con acceso directo al órgano de dirección; b) una descripción exhaustiva del marco de gestión de riesgos y de la función de gestión de riesgos allí donde esté establecida, o de los acuerdos celebrados con terceros cuando esta labor se confíe a un proveedor tercero de acuerdo con el artículo 4, apartado 2, de conformidad con la proporcionalidad en términos de tamaño, complejidad y perfil de riesgo; c) una descripción exhaustiva de los sistemas y controles de gestión de riesgos, en la que se explique la estrategia del emisor solicitante para detectar, evaluar, supervisar, mitigar y notificar todos los riesgos a los que esté o pueda estar expuesto el emisor solicitante, incluidos los riesgos para los titulares de una ficha referenciada a activos, los riesgos de mercado, liquidez, concentración, operaciones, TIC, reputación, legalidad, conducta y cumplimiento normativo, los riesgos ambientales, sociales y de gobernanza (ASG), de blanqueo de capitales y financiación del terrorismo, así como los riesgos estratégicos; d) una descripción exhaustiva de la función de auditoría interna como parte del mecanismo de control interno de conformidad con el artículo 34, apartado 10, del Reglamento (UE) 2023/1114, cuando se establezca dicho mecanismo, o una descripción exhaustiva de los acuerdos con terceros, que incluirá todos los elementos a que se refiere el artículo 4, apartado 2, letras a) a g), del presente Reglamento, así como el nombre y los datos de contacto del auditor externo designado, cuando se haya encomendado dicho mecanismo a un proveedor tercero, de conformidad con la proporcionalidad en términos de tamaño, complejidad y perfil de riesgo de las actividades del emisor solicitante; e) una explicación de los sistemas de gobernanza implantados para garantizar la separación y la adecuada segregación de responsabilidades de las líneas y unidades de negocio con respecto a las funciones de control interno como parte del mecanismo de control interno con arreglo al artículo 34, apartado 10, del Reglamento (UE) 2023/1114, y una explicación de los mecanismos implantados para garantizar la independencia de las funciones de control interno, en particular mediante su acceso directo al órgano de dirección en su función de dirección y supervisión. A efectos de lo dispuesto en la letra c), la descripción incluirá también la declaración de apetito de riesgo del emisor solicitante y su tolerancia al riesgo, incluidos los procedimientos y medidas previstos para gestionar los riesgos detectados dentro del apetito de riesgo. 2.   La solicitud de autorización contendrá una descripción de los mecanismos y los recursos humanos y de TIC asignados para garantizar que el emisor solicitante cumpla lo dispuesto en el Reglamento (UE) 2022/2554, incluida toda la información siguiente en relación con los sistemas, protocolos y herramientas de TIC del emisor solicitante: a) documentación técnica detallada que incluya una descripción del marco de gestión del riesgo relacionado con las TIC de conformidad con el artículo 6, apartado 1, del Reglamento (UE) 2022/2554, que demuestre la capacidad del emisor solicitante para hacer frente al riesgo relacionado con las TIC de manera rápida, eficiente y exhaustiva y para asegurar un alto nivel de resiliencia operativa digital; b) detalles que demuestren que el emisor solicitante mantiene sistemas, protocolos y herramientas de TIC actualizados que son adecuados, fiables, dotados de capacidad suficiente para tratar con exactitud los datos necesarios para el desempeño de las actividades y la prestación de servicios a tiempo, y resilientes desde el punto de vista tecnológico de conformidad con el artículo 7 del Reglamento (UE) 2022/2254; c) una descripción detallada de la política de seguridad que demuestre que los sistemas y procedimientos del emisor solicitante son capaces de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos, los activos de información y los activos de TIC, incluidos los de sus clientes, de conformidad con el artículo 9, apartado 4, del Reglamento (UE) 2022/2554; d) una descripción exhaustiva del proceso y los sistemas de TIC que muestre la capacidad de proporcionar al emisor solicitante información y datos fiables para contribuir al cumplimiento de los requisitos de comunicación de datos. 3.   La solicitud de autorización contendrá una descripción del plan y la política de continuidad de la actividad que garanticen la capacidad del emisor solicitante para operar de forma continua y para limitar las pérdidas en caso de perturbación grave de la actividad. A tal fin, el plan de continuidad de la actividad incluirá: a) un esquema de los datos y funciones esenciales; b) una descripción general de los sistemas de copia de seguridad y recuperación disponibles; c) una descripción de la disponibilidad de personal clave en situaciones de continuidad de la actividad de conformidad con el artículo 34, apartado 8, del Reglamento (UE) 2023/1114 y el artículo 11, apartado 1, del Reglamento (UE) 2022/2554. 4.   Cuando las fichas referenciadas a activos se emitan, almacenen y transfieran utilizando una TRD propia o una tecnología similar explotada por el emisor solicitante o por un tercero que actúe en su nombre, la solicitud de autorización demostrará el funcionamiento de la TRD o de una tecnología similar exponiendo todos los elementos siguientes: a) la descripción del título jurídico del emisor solicitante respecto de la TRD u otra tecnología similar, si se trata de un derecho de propiedad u otras relaciones contractuales que permitan el control de la tecnología de registro distribuido o de la tecnología similar al emisor solicitante, con independencia de que la TRD esté gestionada por una empresa diferente; b) el nombre y los datos de contacto del operador o los operadores de la TRD, si difieren de los del emisor solicitante; c) el plan del emisor solicitante o del operador tercero con respecto a la detección, el seguimiento, la evaluación, la mitigación y la prevención de riesgos, teniendo también en cuenta los posibles efectos indirectos sobre otros criptoactivos emitidos, transferidos o almacenados en dicha TRD y los proveedores de servicios de criptoactivos relacionados, y el plan referente al mantenimiento tecnológico periódico y la actualización de la TRD u otra tecnología similar; d) un informe de auditoría técnica y de seguridad sobre la coherencia del funcionamiento de la TRD con las normas de calidad utilizadas en el mercado, y sobre la idoneidad y adecuación de los planes a que se refiere la letra c); e) en caso de que se autorice la TRD propia, una descripción detallada de los mecanismos de transparencia. 5.   Cuando se prevea celebrar acuerdos de cooperación entre el emisor solicitante y determinados proveedores de servicios de criptoactivos, la solicitud de autorización contendrá una descripción detallada de los mecanismos y procedimientos de control interno actuales del proveedor de servicios de criptoactivos que garanticen el cumplimiento de las obligaciones relativas a la prevención del blanqueo de capitales y la financiación del terrorismo en virtud de la Directiva (UE) 2015/849 y, en su caso, del Reglamento (UE) 2023/1113. Dicha descripción detallada incluirá una evaluación prospectiva del cumplimiento continuo de dicha obligación en el horizonte temporal de tres años del plan de negocio del emisor solicitante. La autoridad competente podrá intercambiar la descripción y la evaluación prospectiva elaboradas por el proveedor de servicios de criptoactivos específico con las autoridades competentes en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, así como con las unidades de inteligencia financiera u otros organismos públicos, de conformidad con el artículo 20, apartado 2, párrafo segundo, del Reglamento (UE) 2023/1114.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2025:1125:oj#art-5