Gobernanza y Organización

El modelo de gobernanza de Iberpay está diseñado para garantizar una estructura corporativa sólida, transparente y profesional, que asegure una supervisión eficaz, una gestión responsable y una adecuada toma de decisiones en su condición de infraestructura crítica del sistema financiero español. Este marco de gobernanza integra los requisitos establecidos en la normativa nacional aplicable y se alinea con las expectativas europeas de buen gobierno y de gestión responsable del riesgo tecnológico y operativo, en coherencia con los principios recogidos en el Reglamento DORA para los proveedores de servicios TIC críticos.

 

Requisitos DORA aplicables y referencias normativas

El Reglamento (UE) 2022/2554, conocido como DORA, exige que los proveedores de servicios TIC críticos dispongan de un marco sólido de gobernanza y organización, que permita una supervisión efectiva de los riesgos tecnológicos, una gestión responsable de los servicios prestados al sector financiero y una adecuada interlocución con las autoridades designadas para su supervisión.

En este marco, DORA establece que los proveedores TIC críticos deben contar con:

  • Una estructura organizativa clara, con roles y responsabilidades definidos para la gestión y supervisión del riesgo tecnológico y operativo.
  • Un órgano de administración que supervise de forma adecuada los aspectos esenciales relacionados con la resiliencia operativa digital.
  • Políticas y procedimientos internos que permitan identificar, evaluar y gestionar los riesgos TIC asociados a los servicios que prestan al sector financiero.
  • Capacidad suficiente para supervisar servicios externalizados, garantizando que la externalización no debilita la gobernanza interna ni la capacidad de gestión del riesgo.
  • Transparencia organizativa, facilitando a autoridades competentes y entidades financieras la información relevante sobre la estructura, operaciones críticas y responsables clave.

Estos elementos se complementan con el marco jurídico español aplicable a Iberpay, especialmente:

  • Ley 41/1999, de sistemas de pagos y liquidación de valores.
  • Ley de Sociedades de Capital y normativa sobre gobierno corporativo.
  • Buenas prácticas de referencia en materia de gobierno corporativo en España.
  • Asimismo, se apoyan en el marco interno de Iberpay, que incluye los Estatutos Sociales, el Reglamento del Consejo de Administración, el Estatuto del Consejero y la información corporativa publicada en el Informe Anual.

 

Controles y procesos implementados en Iberpay

La gobernanza de Iberpay se articula en torno a dos órganos principales:

La Junta General de Accionistas, en la que están representadas las entidades participantes, constituye el máximo órgano de decisión y es responsable de nombrar a los administradores, aprobar las cuentas anuales y adoptar las decisiones estratégicas más relevantes.

El Consejo de Administración, compuesto por 13 miembros —incluyendo un presidente independiente— asume la dirección estratégica, la supervisión y el control de la gestión. Sus miembros cuentan con perfiles profesionales diversos y una amplia experiencia en el sector financiero y tecnológico, cumpliendo los requisitos de idoneidad, disponibilidad y honorabilidad establecidos en la normativa aplicable.

Para reforzar la especialización y la transparencia, el Consejo cuenta con varias comisiones de apoyo:

  • Comisión Ejecutiva, con funciones ejecutivas delegadas.
  • Comisión de Auditoría y Riesgos, encargada de supervisar la gestión de riesgos y los sistemas de control interno.
  • Comisión de Nombramientos y Retribuciones, responsable de los procesos de designación y evaluación de consejeros y directivos.
  • Comisión de Sostenibilidad.
  • Comisión de Relaciones con los Accionistas.

Junto a estas comisiones, Iberpay dispone de órganos sectoriales, como el Comité Técnico Asesor del SNCE y otros comités especializados, que canalizan la participación de las entidades en la evolución normativa y operativa del sistema de pagos.

La gobernanza del riesgo tecnológico y la resiliencia operativa se refuerza mediante comités internos específicos, entre los que destaca el Comité de Resiliencia Operativa, encargado de supervisar la implantación del marco de resiliencia, coordinar los planes de continuidad, revisar los avances y mejorar la capacidad de respuesta ante incidentes. El Comité de Dirección aborda de forma periódica los aspectos clave relacionados con la resiliencia operativa, incluyendo los derivados del marco regulatorio europeo.

La Comisión de Auditoría y Riesgos recibe información periódica sobre el estado de la resiliencia operativa, la gestión de riesgos TIC y el cumplimiento normativo, lo que permite una supervisión continua del nivel de control interno.

El funcionamiento de todos estos órganos se basa en criterios de transparencia, publicación anual de su composición y actividades, evaluación periódica, reglas estrictas de gestión de conflictos de interés y un deber de confidencialidad especialmente reforzado dada la naturaleza crítica de Iberpay.

 

Impacto para las entidades participantes

El modelo de gobernanza de Iberpay aporta seguridad y confianza a las entidades conectadas al sistema, ya que ofrece un marco sólido, transparente y alineado con las mejores prácticas del sector financiero. La organización publica información relevante sobre su estructura de gobierno y la composición de sus órganos, lo que permite a las entidades conocer los criterios de selección, evaluación y renovación de los consejeros.

La existencia de órganos sectoriales facilita la participación activa de las entidades en la gobernanza funcional del sistema, así como su contribución a la toma de decisiones operativas y evolutivas. Iberpay mantiene canales de comunicación permanentes y directos para cuestiones operativas, regulatorias y de resiliencia, asegurando una interlocución fluida y alineada con las necesidades del ecosistema financiero.

La estructura de gobierno y los procesos internos implantados permiten a Iberpay supervisar adecuadamente la gestión de riesgos TIC, la ciberseguridad y la continuidad de negocio, aspectos que resultan esenciales para que las entidades participantes puedan cumplir sus propios requisitos regulatorios en materia de resiliencia digital.

 

Referencias