CTIF

Sección VII

Relación de la comisión con otras instancias del consejo

La efectividad de la comisión depende decisivamente de la calidad de su articulación con el resto de instancias del consejo. La materia tecnológica, por su naturaleza transversal, intersecta materialmente con los perímetros funcionales de otras comisiones especializadas y con la competencia última del consejo en pleno. Una articulación deficiente genera, alternativamente, zonas grises supervisoras o duplicidades ineficientes. Conforme al Principio VII, la delimitación nítida del perímetro funcional, articulada mediante mecanismos formalizados de coordinación, constituye una exigencia material de su efectividad.

VII.2 Relación con el consejo de administración en pleno

La comisión opera bajo delegación del consejo, sin alterar la titularidad última sobre las facultades indelegables. Actúa como órgano preparatorio, supervisor e informador en las materias de su perímetro. Facultades indelegables (art. 529 ter LSC) con dimensión tecnológica que la comisión prepara:

  1. Aprobación del plan estratégico, presupuesto anual, política de inversiones y financiación (letra a).
  2. Determinación de la política de control y gestión de riesgos y supervisión de los sistemas internos de información y control (letra b).
  3. Aprobación de inversiones u operaciones de elevada cuantía o carácter estratégico (letra j).

Mecanismos de articulación:

  • Reporte regular del presidente de la comisión al consejo en cada sesión ordinaria.
  • Dictámenes formales sobre materias indelegables con dimensión tecnológica, con antelación suficiente.
  • Comparecencias específicas del presidente cuando el consejo lo requiera.
  • Informe anual de actividad sometido al consejo e incorporado al IAGC.
  • Información inmediata ante circunstancias materiales sobrevenidas (incidentes ciber, crisis, requerimientos sancionadores).

VII.3 Relación con la comisión de auditoría

La relación más compleja y crítica. La articulación es la pieza supervisora más relevante y la más consultada en la práctica.

Criterio de delimitación. La comisión de auditoría supervisa el marco general de control interno y de gestión de riesgos, considerando el riesgo tecnológico como una categoría desde la perspectiva del control interno agregado. La comisión de tecnología e innovación ejerce la supervisión especializada y de profundidad técnica sobre el subconjunto tecnológico, aportando el criterio técnico cualificado del que aquella no dispone por su mandato y composición.

Operativización:

  1. Visión integrada del mapa de riesgos corporativo en la comisión de auditoría, incluido el riesgo tecnológico como categoría.
  2. Profundidad técnica sobre el riesgo tecnológico en la comisión de tecnología e innovación, trasladada como insumo cualificado.
  3. Decisiones sobre el marco general —apetito de riesgo agregado, sistema de control interno, supervisión del auditor externo y de auditoría interna, supervisión del responsable de gestión de riesgos— permanecen en la comisión de auditoría.
  4. Decisiones sobre el contenido técnico del subconjunto tecnológico —arquitectura técnica de ciberseguridad, gobierno técnico del dato, gobernanza específica de la IA, valoración técnica de proveedores críticos— se elevan a la comisión de tecnología e innovación.
  5. Dictámenes sobre M&A: due diligence financiera y de riesgos en auditoría; due diligence tecnológica especializada en la comisión de tecnología e innovación.

Materias de coordinación específica: mapa corporativo de riesgos, apetito de riesgo tecnológico, incidentes tecnológicos materiales, sistemas críticos para la información financiera, función de auditoría interna sobre sistemas y tecnología, auditor externo en materias tecnológicas, cumplimiento normativo tecnológico.

Mecanismos formales de coordinación:

  1. Reuniones conjuntas periódicas (frecuencia anual mínima recomendada) sobre materias de intersección.
  2. Protocolo escrito de articulación aprobado por el consejo, con delimitación de perímetros, flujos de información mutua y resolución de discrepancias.
  3. Miembros comunes cuando proceda —típicamente consejero con perfil mixto técnico-financiero—, sin comprometer la diversidad de criterio.
  4. Comunicación directa entre presidentes con cauce ágil.
  5. Intercambio sistemático de actas e informes sobre el ámbito de intersección.

Idea clave. La supervisión en dos niveles —visión integrada en auditoría, profundidad técnica en la comisión de tecnología e innovación— evita la duplicidad sin generar zonas grises.

VII.4 Relación con la comisión de nombramientos y retribuciones

Afecta a las capacidades tecnológicas del consejo y de la alta dirección, conforme a V.5, y a la incorporación de indicadores tecnológicos en retribuciones. La competencia decisoria corresponde a la comisión de nombramientos y retribuciones (Guía Técnica 1/2019 CNMV). La comisión de tecnología e innovación aporta criterio técnico cualificado sin invadir esa competencia.

Materias de coordinación:

  1. Matriz de capacidades del consejo: la comisión de tecnología e innovación aporta la identificación de las capacidades tecnológicas que la matriz debe contemplar, definición sustantiva, criterios de acreditación y evaluación del gap.
  2. Perfil del experto en tecnología (apartado IV.4.a): definición, criterios de acreditación y evaluación de candidatos por la comisión de nombramientos y retribuciones con criterio técnico aportado.
  3. Capacidades tecnológicas de la alta dirección (consejero delegado, CFO, CIO, CISO, DPO): supervisión por la comisión de nombramientos y retribuciones con criterio sobre perfil técnico requerido e idoneidad de candidatos.
  4. Planificación de la sucesión de posiciones técnicas clave del comité de dirección, horizonte plurianual.
  5. Idoneidad técnica en entidades reguladas (fit & proper), particularmente en entidades financieras, con aportación técnica conforme a las directrices sectoriales.
  6. Política de retribuciones y métricas tecnológicas: criterio sobre pertinencia, calibración y verificabilidad de objetivos de transformación digital, ciberseguridad, adopción o innovación.
  7. Retribución específica de equipos técnicos críticos en operaciones de M&A (V.2.6).
  8. Programas de formación continua del consejo y la alta dirección en materias tecnológicas.

VII.5 Relación con la comisión de sostenibilidad o equivalente

Intersección entre materia tecnológica y factores ESG, con entidad propia tras la aplicación de la CSRD y los estándares ESRS:

  1. Gobernanza tecnológica como factor ESG: ESRS exige información específica sobre gobernanza tecnológica, ciberseguridad, gestión del dato y uso responsable de la IA. Caracterización sustantiva por la comisión de tecnología e innovación; integración en información de sostenibilidad por la de sostenibilidad.
  2. Impactos sociales de la IA: supervisión técnica en la comisión de tecnología e innovación; impactos sociales agregados en la de sostenibilidad.
  3. Huella ambiental de la actividad digital: consumo energético de infraestructura, impacto de centros de datos, huella de carbono del entrenamiento de modelos, sostenibilidad de la cadena de suministro tecnológico. Dimensión tecnológica supervisada en la comisión de tecnología e innovación; integración en estrategia y reporte ESG en la de sostenibilidad.
  4. Brecha digital y accesibilidad: inclusión digital de personas afectadas (clientes mayores, personas con discapacidad, colectivos vulnerables), coordinación entre ambas.
  5. Ética digital aplicada a grupos vulnerables: uso del dato y de la IA cuando afecte a colectivos vulnerables.
  6. Información de sostenibilidad en su dimensión tecnológica: aportación coordinada de ambas comisiones; supervisión última del proceso de elaboración y aseguramiento en la comisión de auditoría.

VII.6 Relación con la comisión ejecutiva o delegada, cuando exista

Diferencia funcional sustantiva: la comisión ejecutiva ejerce competencias decisorias delegadas sobre la marcha ordinaria; la comisión de tecnología e innovación ejerce competencias supervisoras especializadas sin atribución decisoria propia más allá de su perímetro funcional interno. Evita que el carácter decisorio de la comisión ejecutiva absorba el ejercicio de la función supervisora especializada.

Materias de coordinación: decisiones ejecutivas sobre materia tecnológica adoptadas con conocimiento del criterio supervisor previo cuando la materialidad lo aconseje; reporte recíproco; coordinación en operaciones complejas (M&A tecnológico de elevada cuantía).

VII.7 Resolución de discrepancias entre comisiones

A pesar de los mecanismos formalizados, pueden producirse discrepancias materiales. Cauce recomendado:

  1. Diálogo directo entre presidentes de las comisiones afectadas como primer cauce.
  2. Reunión conjunta cuando el diálogo entre presidentes no alcance acuerdo, con elevación al consejo cuando proceda.
  3. Resolución por el consejo como instancia última, mediante decisión motivada que zanje la discrepancia y, en su caso, articule criterios generales aplicables.
  4. Constancia formal de las discrepancias materiales en las actas afectadas y en el reporte al consejo, sin perjuicio de la posición colegiada final.

VII.8 Articulación con las funciones ejecutivas

Acceso directo, regular y sin intermediación (Principio VI), en términos análogos a los previstos por la Guía Técnica 3/2017 de la CNMV para la relación entre la comisión de auditoría y la función de auditoría interna. Responsables ejecutivos cuyo acceso directo se garantiza:

  1. Director de sistemas de información (CIO) o función equivalente.
  2. Director de tecnología (CTO) o equivalente, cuando exista.
  3. Director de seguridad de la información (CISO).
  4. Responsable de protección de datos (DPO).
  5. Responsable de gobernanza del dato y de la IA, cuando exista.
  6. Responsable de innovación o de transformación digital, cuando exista.

Modalidades: asistencia regular a sesiones; comparecencias específicas a solicitud del presidente; comunicación directa con la comisión cuando los responsables lo consideren oportuno; acceso recíproco de los miembros a los responsables ejecutivos por el cauce reglamentario.

Independencia funcional. El acceso directo no altera las líneas de reporte jerárquico ordinarias —dependencia funcional del consejero delegado—, sin perjuicio de las especificidades del responsable de protección de datos por exigencia del RGPD. La comisión vela por que la independencia funcional sustantiva —particularmente del CISO y del DPO— no se vea comprometida por presiones organizativas o restricciones de recursos. Cuando identifique este tipo de riesgos, los elevará al consejo.

VII.9 Síntesis del mapa de relaciones

| Instancia | Naturaleza de la relación | Materias principales de coordinación | |---|---|---| | Consejo en pleno | Subordinación jerárquica; función preparatoria y supervisora | Materias indelegables con dimensión tecnológica; dictámenes sobre operaciones estratégicas; reporte regular | | Comisión de auditoría | Coordinación crítica; supervisión en dos niveles | Mapa de riesgos; apetito de riesgo tecnológico; incidentes materiales; sistemas críticos para información financiera; auditoría interna sobre tecnología; cumplimiento normativo tecnológico | | Comisión de nombramientos y retribuciones | Aportación de criterio técnico; competencia decisoria de aquella | Matriz de capacidades del consejo; perfil del experto en tecnología; capacidades de la alta dirección; sucesión técnica; métricas tecnológicas en retribución variable | | Comisión de sostenibilidad | Coordinación sobre intersección ESG-digital | Información de sostenibilidad tecnológica; impactos sociales de la IA; huella ambiental digital; brecha digital; ética digital sobre grupos vulnerables | | Comisión ejecutiva (si existe) | Articulación funcional con diferencia de naturaleza | Decisiones ejecutivas sobre tecnología; reporte recíproco; coordinación en operaciones complejas | | Funciones ejecutivas tecnológicas | Acceso directo sin intermediación; preservación de la independencia funcional | Asistencia regular; comparecencias específicas; comunicación directa; salvaguarda de la independencia |