47
La Comisión de Auditoría y Control es informada anualmente por el SVP de Auditoría Interna sobre su evaluación de la eficacia del modelo de
SCIIF, de las debilidades detectadas en el curso de la labor de auditoría interna y de los planes o las acciones ya emprendidas para remediar
las debilidades detectadas.
La Comisión apoya y supervisa la ejecución de la función de auditoría interna en su función de evaluar el SCIIF. La Comisión propone la selección,
designación y sustitución del responsable de los servicios de auditoría interna, valida y aprueba el plan de auditoría interna y los objetivos para
el año y es responsable de evaluar el desempeño del Departamento de Auditoría Interna.
El plan de auditoría interna para la evaluación del SCIIF es presentado a la Comisión de Auditoría y Control para la validación final y su
aprobación antes de su ejecución, a fin de que incluya todas las consideraciones de la Comisión a este respecto. Los procedimientos de la
Comisión de Auditoría y Control están documentados en el acta correspondiente a las reuniones mantenidas.
Función de auditoría interna
La actividad de auditoría interna se lleva a cabo por el Departamento de Auditoría Interna del Grupo, que depende funcionalmente del Secretario
General y jerárquicamente de la Comisión de Auditoría y Control. Esta estructura jerárquica está diseñada para permitir que Auditoría Interna
permanezca estructuralmente independiente y fomenta la comunicación directa hacia y desde la Comisión de Auditoría y Control.
La función de auditoría interna asegura razonablemente el funcionamiento eficaz del sistema de control interno, supervisando y evaluando el
diseño y la eficacia del sistema de gestión de riesgos aplicado a la empresa, incluyendo auditorías específicas de tecnologías de la información
(“TI”).
Esta función cuenta con unos estatutos de auditoría interna que han sido aprobados formalmente por la Comisión de Auditoría y Control y un
manual de auditoría interna que recoge la metodología de trabajo del Departamento.
En relación con las actividades de vigilancia del SCIIF, es responsabilidad del Departamento de Auditoría Interna:
• Realizar evaluaciones independientes del modelo de control interno para el reporting de la información financiera.
• Realizar pruebas sobre las aserciones tomadas por la Dirección.
• Realizar pruebas de efectividad de controles internos de las sociedades en el ámbito de aplicación en un plazo máximo de un año, para
controles clave y tres años para controles no clave.
• Ayudar en la identificación de debilidades de control y revisar los planes de acción para corregir deficiencias de control.
• Realizar exámenes de seguimiento para determinar si se han abordado adecuadamente las debilidades de control.
• Actuar como coordinador entre la Dirección y el auditor externo para posibles aclaraciones sobre el alcance y los planes de testeo.
Alcance del SCIIF 2014
A la fecha de este informe, el Grupo NH ha desarrollado e implantado su sistema de control interno sobre la información financiera en el área
geográfica de España y controles Corporativos, estando previsto su desarrollo e implantación en el resto de áreas geográficas en los próximos
ejercicios.
Como se ha explicado previamente el modelo del SCIIF del Grupo abarca las 2 principales sociedades ubicadas en España: NH Hotel Group, S.A.
y NH Hoteles España, S.A. y 13 ciclos de negocios con gran relevancia en la presentación de informes financieros.
Se han definido un total de 428 actividades de control, divididos entre reporte financiero y sistemas TI, y clasificados entre controles clave y
no-clave. Para cada uno de ellos, se han definido los responsables de los controles a nivel Corporativo, Unidad de Negocio y Centro de Servicios
Compartidos.
Desde Octubre de 2014, se ha definido un calendario de reporte de control interno de carácter mensual donde a la finalización del mismo, cada
responsable procede a realizar una autoevaluación de los controles bajo su responsabilidad. Dicha autoevaluación culmina con un proceso de
certificación a nivel SVP de Administración.
Durante el año 2014, el Departamento de Auditoría Interna ha supervisado el proceso de autoevaluación realizado y las evidencias cargadas en
un repositorio común compartido por el Centro de Servicios Compartidos, Administración y el Departamento de auditoría.
En el proceso de evaluación de 2014 se han analizado para el área geográfica de España y los controles a nivel Corporativo, un total de 360
controles. La evaluación de dichos controles ha seguido las pautas incluidas en el “Procedimiento de Evaluación del SCIIF”, la cuales se resumen
a continuación:
• Sobre los controles que mensualmente son evaluados (aquellos correspondientes a Administración y al Centro de Servicios Compartidos)
se han ejecutado dos tipos de revisiones, una basada en la supervisión de la evaluación realizada por los propietarios de los controles y otra
donde el objetivo ha sido volver a realizar las pruebas y validaciones ejecutadas sobre la efectividad del control.
• Para el resto de controles se han obtenido las evidencias y realizado las pruebas necesarias para concluir sobre la efectividad del mismo.
• Se han identificado aquellos ficheros a nivel de usuario (UDA por sus siglas en inglés) con impacto en la elaboración de la información
financiera sobre los que se ha verificado la existencia de controles de integridad, disponibilidad y seguridad.
En la revisión realizada se han detectado debilidades de control interno y oportunidades de mejora para ciertos procesos que no tienen un
impacto significativo sobre la calidad de la información financiera, y se han propuesto los planes de acción acordados con los responsables de
los controles. El Departamento de Auditoría Interna comprobará durante las pruebas periódicas del SCIIF, la implantación de dichos planes de
acción.
F.5.2 Si cuenta con un procedimiento de discusión mediante el cual, el auditor de cuentas (de acuerdo con lo establecido en las NTA), la función
de auditoría interna y otros expertos puedan comunicar a la alta dirección y al comité de auditoría o administradores de la entidad las
debilidades significativas de control interno identificadas durante los procesos de revisión de las cuentas anuales o aquellos otros que
les hayan sido encomendados. Asimismo, informará de si dispone de un plan de acción que trate de corregir o mitigar las debilidades
observadas.
La Comisión de Auditoría se reúne periódicamente, para revisar la información financiera periódica. Además se discuten temas relacionados con
el control interno y/o otras iniciativas en curso.
La Dirección Financiera, a través del Chief Financial Officer, es responsable de comunicar cualquier aspecto relevante relacionado con el SCIIF
y/o la información financiera a la alta dirección a través de las reuniones celebradas por el Comité de Dirección, que son atendidas por el CEO
y en algunas ocasiones por el SVP del Departamento de Auditoría Interna.
INFORME ANUAL DE GOBIERNO CORPORATIVO
