1. Les entitats operatives del sistema financer han de tenir, quan resulti proporcionat d’acord amb la naturalesa, l’escala i la complexitat de la seva activitat, dels riscos als quals estan exposades i de la naturalesa i la tipologia dels productes i els serveis prestats, un òrgan que, actuant amb independència, desplegui la funció d’auditoria interna amb l’objecte d’examinar, avaluar i supervisar l’adequació i l’eficàcia del sistema de control intern, formular conclusions i recomanacions i verificar-ne la implantació per contribuir a la millora del sistema de control intern i del govern corporatiu. A aquest efecte, han d’elaborar, mantenir i executar un pla d’auditoria basat en riscos.
2. En el cas que l’obligació inclosa a l’apartat 1 sigui aplicable, s’ha de nomenar una persona de l’entitat com a responsable de l’òrgan d’auditoria interna, amb suficient experiència, coneixements i autoritat per promoure la independència i el correcte funcionament de la funció d’auditoria interna, així com l’adequada consideració de les comunicacions dels treballs realitzats i de les accions apropiades sobre les recomanacions efectuades.
Aquesta persona és responsable del desenvolupament de la funció, de l’elaboració dels corresponents informes periòdics a l’alta direcció, els quals han de destacar les conclusions i les recomanacions més significatives, i del seguiment de l’efectivitat de les mesures adoptades.
Així mateix, la funció d’auditoria interna ha d’elaborar anualment un informe que reculli l’opinió d’auditoria interna en relació amb el disseny i l’efectivitat operativa del sistema de control intern i de gestió de riscos de l’entitat. Aquest informe ha d’anar destinat a l’alta direcció perquè l’avaluï i porti a terme l’actuació corresponent, si escau. Una còpia d’aquest informe anual ha de ser tramesa a l’AFA en el decurs del primer semestre següent al tancament de l’exercici de referència.
La unitat que garanteix el desenvolupament de la funció d’auditoria interna ha d’estar dotada dels recursos tècnics i humans amb l’experiència necessària per al correcte desenvolupament de les seves funcions.
3. L’univers que ha d’auditar l’òrgan d’auditoria interna ha d’incloure:
a) Les funcions externalitzades en terceres entitats.
b) Les activitats autoritzades efectuades per agents de l’entitat, en especial les activitats en relació amb els procediments de comercialització així com amb el compliment de les obligacions d’informació i de les normes ètiques i de conducta que resultin aplicables.
4. En el cas d’entitats pertanyents a un grup, el compliment de l’obligació continguda en aquest article es pot assolir en l’àmbit del grup prèvia autorització de l’AFA.