48
La estructura de la matriz de riesgos financieros incluye la siguiente información:
• Proceso y Subproceso.
• Riesgo, como el posible evento o acción que pudiera afectar a la capacidad empresarial para cumplir los objetivos de la información financiera
y/o implementar estrategias con éxito.
• Descripción de control, como la definición de las actividades de control incluidas en las políticas, procedimientos y prácticas aplicadas por el
Grupo a fin de asegurar que se cumplan los objetivos de control y el riesgo sea mitigado.
• Evidencias, como la documentación mantenida por el responsable del control (personal de la empresa), para que todo el modelo puede ser
supervisado y auditado de manera periódica.
• Tipo de Control: Si el control es clave o no, preventivo o detectivo, y manual o automático, según cómo se pueda realizar su seguimiento
mediante datos extraídos de herramientas automáticas.
• Responsables de los controles: para cada actividad de control.
• Frecuencia: según la ejecución del mismo.
El modelo SCIIF fue modificado substancialmente durante el ejercicio 2014 como consecuencia de la externalización de la función de
Administración desde el 1 de Enero de 2014, adaptando los controles a los nuevos procesos y subprocesos definidos. Así, se definieron controles
a ser ejecutados por personal del Centro de Servicios Compartidos, la función retenida de administración y personal corporativo. Además
durante 2015 el modelo se ha extendido a las unidades de negocio de Holanda, Bélgica y Alemania.
F.3.2 Políticas y procedimientos de control interno sobre los sistemas de información (entre otras, sobre seguridad de acceso, control de
cambios, operación de los mismos, continuidad operativa y segregación de funciones) que soporten los procesos relevantes de la entidad
en relación a la elaboración y publicación de la información financiera.
Control interno sobre los sistemas de información
Existe un modelo de control interno para los sistemas de información del Grupo, que cubre los distintos procesos de TI y está basado en sus
riesgos asociados. Este modelo (basado en COSO y COBIT) incluye una matriz controles generales (115 controles) de sistemas de información
(GITC por sus siglas en inglés), así como las políticas y procedimientos relacionados con la seguridad necesaria de los sistemas de información.
El modelo de control interno cubre los sistemas que contribuyen a elaborar los estados financieros consolidados del Grupo, y así asegurar la
integridad, disponibilidad, validez y calidad de la información comunicada a los mercados.
La matriz de GITC está alineada con los modelos de control para otros ciclos de negocios elaborados por el Grupo NH y estructurado en los
siguientes procesos:
Acceso a los programas y los datos
Existen políticas y procedimientos que establecen controles sobre:
• Restricción de acceso a los sistemas, evitando así accesos no autorizados o modificaciones de programas que puedan afectar a la integridad,
completitud y fiabilidad de la información financiera.
• Una correcta segregación de funciones, con el fin de garantizar un acceso seguro a los sistemas de información contable.
• Seguridad en las instalaciones que albergan los sistemas, garantizando que el acceso a las mismas está limitado a personal autorizado.
Operaciones
Existen políticas y procedimientos que establecen controles sobre:
• Una correcta gestión de las incidencias que permitan una rápida solución y minimicen su impacto.
• Que las operaciones son monitorizadas, asegurando que se ejecutan de forma íntegra y en tiempo. Y en caso de incidencia, estas son resueltas
permitiendo que los trabajos vuelvan a lanzarse y ejecutarse de forma correcta.
Desde el año 2011, el Grupo dispone de un área de Seguridad de la Información dependiente del área de sistemas cuyo propósito es velar por la
seguridad en todos los procesos de TI asegurando la disponibilidad, confiabilidad e integridad de la información.
Política de seguridad
La política de seguridad, es el marco de referencia que define las directrices a seguir por todos los empleados y que permite garantizar la
seguridad de los sistemas de información y por tanto de todos los procesos de negocio. Dicha política, ha sido revisada durante el ejercicio 2015.
Durante el ejercicio 2014, se abordó un proyecto de Plan Director de Seguridad de la Información que definió la estrategia a seguir en este
campo por la compañía, definiendo un plan de proyectos exhaustivo que se pretende implementar dentro del marco de una Oficina Técnica de
Seguridad durante los próximos tres años.
F.3.3 Políticas y procedimientos de control interno destinados a supervisar la gestión de las actividades subcontratadas a terceros, así como de
aquellos aspectos de evaluación, cálculo o valoración encomendados a expertos independientes, que puedan afectar de modo material a
los estados financieros.
Desde el 1 de Enero de 2014, la función de Administración fue externalizada a un tercero en las sociedades incluidas en el alcance del SCIIF. Dicha
externalización, fue definida como un proceso con impacto relevante en el proceso de elaboración de la información financiera.
El Grupo NH ha implementado un modelo de control interno sobre el Centro de Servicios Compartidos (CSC) alineado con los modelos de
control definidos para los otros ciclos de negocio.
Así, se ha definido una matriz con 6 subprocesos y 28 actividades de control que incluyen controles relativos a la etapa de traspaso de la función
administrativa al CSC, la etapa de estabilización, la prestación del servicio, el cumplimiento regulatorio, la continuidad del servicio y el modelo
de gobierno del contrato de externalización.
Además se le ha solicitado al proveedor la obtención de un informe ISAE 3402 “International Standard on Assurance Engagements” el cual
permite al Grupo NH comprobar si los objetivos de control del proveedor de los servicios y las actividades de control que los sustentan han
funcionado o no durante el período de tiempo correspondiente.
INFORME ANUAL DE GOBIERNO CORPORATIVO
