50
Función de Auditoría interna
La actividad de auditoría interna se lleva a cabo por el Departamento de Auditoría Interna del Grupo, que depende funcionalmente del Secretario
General y jerárquicamente de la Comisión de Auditoría y Control. Esta estructura jerárquica está diseñada para permitir que Auditoría Interna
permanezca estructuralmente independiente y fomenta la comunicación directa hacia y desde la Comisión de Auditoría y Control.
La función de auditoría interna, a través de un equipo formado por 9 auditores ubicados tanto en Corporativo como en las unidades de negocio,
asegura razonablemente el funcionamiento eficaz del sistema de control interno, supervisando y evaluando el diseño y la eficacia del sistema de
gestión de riesgos aplicado a la empresa, incluyendo auditorías específicas de tecnologías de la información (“TI”).
Esta función cuenta con unos estatutos de auditoría interna que han sido aprobados formalmente por la Comisión de Auditoría y Control y un
manual de auditoría interna que recoge la metodología de trabajo del Departamento.
En relación con las actividades de vigilancia del SCIIF, es responsabilidad del Departamento de Auditoría Interna:
• Realizar evaluaciones independientes del modelo de control interno para el reporting de la información financiera.
• Realizar pruebas sobre las aserciones tomadas por la Dirección.
• Realizar pruebas de efectividad de controles internos de las sociedades en el ámbito de aplicación en un plazo máximo de un año, para
controles clave y tres años para controles no clave.
• Ayudar en la identificación de debilidades de control y revisar los planes de acción para corregir deficiencias de control.
• Realizar exámenes de seguimiento para determinar si se han abordado adecuadamente las debilidades de control.
• Actuar como coordinador entre la Dirección y el auditor externo para posibles aclaraciones sobre el alcance y los planes de testeo.
Alcance del SCIIF 2015
El modelo del SCIIF del Grupo abarca las unidades de negocio de España, Holanda, Bélgica y Alemania que comprende 251 hoteles en el alcance
y 13 ciclos de negocios con gran relevancia en la presentación de informes financieros.
Se han definido un total de 416 actividades de control, divididos entre reporte financiero y sistemas TI, y clasificados entre controles clave y
no-clave. Para cada uno de ellos, se han definido los responsables de los controles a nivel Corporativo, Unidad de Negocio y Centro de Servicios
Compartidos.
Desde Octubre de 2014, se ha definido un calendario de reporte de control interno de carácter mensual donde a la finalización del mismo, cada
responsable procede a realizar una autoevaluación de los controles bajo su responsabilidad. Dicha autoevaluación culmina con un proceso de
certificación a nivel SVP de Administración.
Durante el año 2015, el Departamento de Auditoría Interna ha supervisado el proceso de autoevaluación realizado y las evidencias cargadas en
un repositorio común compartido por el Centro de Servicios Compartidos, Administración y el Departamento de auditoría.
En el proceso de evaluación de 2015 se han analizado para el área geográfica de España, Holanda, Bélgica, Alemania y los controles a nivel
Corporativo, un total de 350 controles que suponen un alcance del 84% de la totalidad de los mismos. La evaluación de dichos controles ha
seguido las pautas incluidas en el “Procedimiento de Evaluación del SCIIF”, la cuales se resumen a continuación:
• Sobre los controles que mensualmente son evaluados (aquellos correspondientes a Administración y al Centro de Servicios Compartidos)
se han ejecutado dos tipos de revisiones, una basada en la supervisión de la evaluación realizada por los propietarios de los controles y otra
donde el objetivo ha sido volver a realizar las pruebas y validaciones ejecutadas sobre la efectividad del control.
• Para el resto de controles se han obtenido las evidencias y realizado las pruebas necesarias para concluir sobre la efectividad del mismo.
• Se han identificado aquellos ficheros a nivel de usuario (UDA por sus siglas en inglés) con impacto en la elaboración de la información
financiera sobre los que se ha verificado la existencia de controles de integridad, disponibilidad y seguridad.
En la revisión realizada se han detectado debilidades de control interno y oportunidades de mejora para ciertos procesos acordados con los
responsables de los controles. El Departamento de Auditoría Interna comprobará durante las pruebas periódicas del SCIIF, la implantación de
dichos planes de acción. F.5.2. Si cuenta con un procedimiento de discusión mediante.
F.5.2 Si cuenta con un procedimiento de discusión mediante el cual, el auditor de cuentas (de acuerdo con lo establecido en las NTA), la función
de auditoría interna y otros expertos puedan comunicar a la alta dirección y al comité de auditoría o administradores de la entidad las
debilidades significativas de control interno identificadas durante los procesos de revisión de las cuentas anuales o aquellos otros que
les hayan sido encomendados. Asimismo, informará de si dispone de un plan de acción que trate de corregir o mitigar las debilidades
observadas.
La Comisión de Auditoría se reúne periódicamente, para revisar la información financiera periódica. Además se discuten temas relacionados con
el control interno y/o otras iniciativas en curso.
La Dirección Financiera, a través del Chief Financial Officer, es responsable de comunicar cualquier aspecto relevante relacionado con el SCIIF
y/o la información financiera a la alta dirección a través de las reuniones celebradas por el Comité de Dirección, que son atendidas por el CEO
y en algunas ocasiones por el SVP del Departamento de Auditoría Interna.
Todas las deficiencias detectadas por el Departamento de Auditoría Interna durante el curso de su trabajo están sujetas a recomendaciones
y planes de acción que son acordados con el auditado. El Departamento de Auditoría Interna supervisa la implementación de las acciones
acordadas y reporta su estado a los diversos órganos de gobierno del Grupo NH (principalmente la Comisión de Auditoría).
El auditor externo comunica a la Comisión de Auditoría y Control las conclusiones resultantes de la ejecución de sus procedimientos de
auditoría, así como cualesquiera otras cuestiones que podrían considerarse de importancia. Además, el auditor externo tiene concedido acceso
a la Comisión de Auditoría y Control para compartir, comentar o informar de aquellos aspectos que consideren necesarios o pertinentes. El
auditor externo, sin violar su independencia, se involucra en el diálogo con la Dirección.
F.6 Otra información relevante.
Ninguna.
INFORME ANUAL DE GOBIERNO CORPORATIVO
