45
La Comisión de Auditoría y Control, revisa en sus sesiones, de forma periódica dicha información financiera y requiere, cuando así lo estima
oportuno, la presencia tanto de los auditores externos como internos.
Los Estados Financieros se elaboran en base a un calendario de reporting de acuerdo con los requerimientos legales y son compartidos entre
las áreas implicadas en la elaboración de los mismos.
Control interno de la información financiera:
NH tiene un sistema de control interno sobre la información financiera (SCIIF) basado en el modelo COSO (Committee of Sponsoring
Organisations of the Treadway Commission). El modelo tiene los siguientes objetivos:
• Efectividad y eficiencia de las operaciones
• Salvaguarda de los activos
• Confiabilidad de la información financiera
• Cumplimiento de leyes y regulaciones aplicables El modelo SCIIF incluye la revisión de los Controles a nivel de Entidad de la Sociedad.
El modelo SCIIF del Grupo contiene una matriz de riesgos y controles financieros que incluye los siguientes ciclos de negocio (para España y
Corporativo) relevantes para la elaboración de los estados financieros del Grupo:
- Programa de Fidelización
- Compras y Proveedores
- Ventas y Clientes
- Tesorería
- Financiación
- Activos fijos
- Intercompañías
- Impuestos
- Recursos Humanos
- Provisiones y contingencias
- Proceso de cierre contable y consolidación
- Centro de Servicios Compartido
- Controles de Tecnologías de la Información
La totalidad de los ciclos de negocio incluyen 22 procesos y 69 sub-procesos. A fin de alcanzar los objetivos relacionados con la fiabilidad
e integridad de la información financiera se han definido un total de 428 controles para prevenir, detectar, mitigar, compensar o corregir su
impacto potencial.
La estructura de la matriz de riesgos financieros incluye la siguiente información:
• Proceso y Subproceso.
• Riesgo, como el posible evento o acción que pudiera afectar a la capacidad empresarial para cumplir los objetivos de la información financiera
y/o implementar estrategias con éxito.
• Descripción de control, como la definición de las actividades de control incluidas en las políticas, procedimientos y prácticas aplicadas por la
Sociedad a fin de asegurar que se cumplan los objetivos de control y el riesgo sea mitigado.
• Evidencias, como la documentación mantenida por el responsable del control (personal de la empresa), para que todo el modelo pueda ser
supervisado y auditado de manera periódica.
• Tipo de control: Si el control es clave o no, preventivo o detectivo, y manual o automático, según cómo se pueda realizar su seguimiento
mediante datos extraídos de herramientas automáticas.
• Responsables de los controles: para cada actividad de control.
• Frecuencia según la ejecución del mismo. El modelo SCIIF ha sido modificado substancialmente durante el ejercicio 2014 como consecuencia
de la externalización de la función de Administración desde el 1 de Enero de 2014, adaptando los controles a los nuevos procesos y
subprocesos definidos. Así, se han definido controles a ser ejecutados por personal del Centro de Servicios Compartidos, la función retenida
de administración y personal corporativo.
F.3.2 Políticas y procedimientos de control interno sobre los sistemas de información (entre otras, sobre seguridad de acceso, control de
cambios, operación de los mismos, continuidad operativa y segregación de funciones) que soporten los procesos relevantes de la entidad
en relación a la elaboración y publicación de la información financiera.
Control interno sobre los sistemas de información
Existe un modelo de control interno para los sistemas de información del Grupo, que cubre los distintos procesos de TI y está basado en sus
riesgos asociados. Este modelo (basado en COSO y COBIT) incluye una matriz controles generales (cien controles) de sistemas de información
(GITC por sus siglas en inglés), así como las políticas y procedimientos relacionados con la seguridad necesaria de los sistemas de información.
El modelo de control interno cubre los sistemas que contribuyen a elaborar los estados financieros consolidados del Grupo, y así asegurar la
integridad, disponibilidad, validez y calidad de la información comunicada a los mercados.
La matriz de GITC está alineada con los modelos de control para otros ciclos de negocios elaborados por el Grupo NH y estructurado en los
siguientes procesos:
Acceso a los programas y los datos
Existen políticas y procedimientos que establecen controles sobre:
• Restricción de acceso a los sistemas, evitando así accesos no autorizados o modificaciones de programas que puedan afectar a la integridad,
completitud y fiabilidad de la información financiera.
• Una correcta segregación de funciones, con el fin de garantizar un acceso seguro a los sistemas de información contable.
• Seguridad en las instalaciones que albergan los sistemas, garantizando que el acceso a las mismas está limitado a personal autorizado.
Operaciones
Existen políticas y procedimientos que establecen controles sobre:
• La disponibilidad de la información, asegurando que los datos financieros sean completos, válidos y exactos.
• Una correcta gestión de las incidencias que permitan una rápida solución y minimicen su impacto.
• Que las operaciones son monitorizadas, asegurando que se ejecutan de forma íntegra y en tiempo. Y en caso de incidencia, estas son resueltas
permitiendo que los trabajos vuelvan a lanzarse y ejecutarse de forma correcta.
Desde el año 2011, el Grupo dispone de un área de Seguridad de la Información dependiente del área de sistemas cuyo propósito es velar por la
seguridad en todos los procesos de TI asegurando la disponibilidad, confiabilidad e integridad de la información.
INFORME ANUAL DE GOBIERNO CORPORATIVO
