3. Actividades de control
3.1. Procedimientos de revisión y autorización de la información financiera y la descripción del SCIIF
De acuerdo con el Reglamento del Consejo de Administración es responsabilidad, entre otros, de la Comisión de Auditoría y Control revisar las cuentas anuales y la información periódica que deba suministrar el Consejo de Administración a los mercados y a sus órganos de supervisión, vigilando en todo momento el cumplimiento de los requerimientos legales y de la correcta aplicación en su elaboración de los principios de contabilidad generalmente aceptados.
Igualmente, el mencionado Reglamento señala que la citada Comisión se reunirá trimestralmente a fin de revisar la información financiera periódica que haya de remitirse a las autoridades bursátiles así como la información que el Consejo de Administración ha de aprobar e incluir dentro de su documentación pública anual.
El Grupo tiene mecanismos de revisión y autorización a distintos niveles de la información financiera:
- Un primer nivel de revisión realizado por las distintas estructuras organizativas locales.
- Un segundo nivel corporativo realizando revisiones analíticas de la información financiera reportada por dichas estructuras.
- Un tercer nivel de control del cumplimiento de los procedimientos de control interno de la información financiera.
Con anterioridad a la formulación de las cuentas anuales y a la aprobación de los estados financieros semestrales, la DGF y los Auditores Externos se reúnen, a los efectos de analizar y evaluar la información financiera como paso previo a su remisión al Consejo de Administración.
La Comisión de Auditoría y Control remite esta información al Consejo de Administración, que es el responsable último de su aprobación para su posterior publicación al mercado.
El Grupo tiene documentados a través de procedimientos aquellos procesos que considera con riesgo de impacto material en la elaboración de la información financiera.
Estos procedimientos describen los controles que permiten responder adecuadamente a los riesgos asociados al logro de los objetivos relacionados con la fiabilidad e integridad de la información financiera de tal forma que permiten prevenir, detectar, mitigar y corregir el riesgo de que se produzcan errores con la antelación necesaria.
Adicionalmente, y a efectos esquemáticos, dichos procesos se representan a través de flujogramas y matrices de riesgos y controles, en las cuales se identifican las actividades de control relevantes. Cada actividad de control cuenta con su respectivo responsable y la periodicidad sistemática de realización. La divulgación de los procedimientos, flujogramas y matrices entre el personal involucrado en la elaboración de la información financiera, se realiza a través del portal específico de la DGF en el portal INET del Grupo, permaneciendo disponible para su consulta por cualquier miembro del equipo financiero, constituyendo una herramienta más de trabajo.
Cada uno de los procedimientos tiene asignado un responsable cuya función es revisarlos y actualizarlos. Dichas actualizaciones son oportunamente revisadas y autorizadas por la dirección del área antes de su publicación.
Entre los distintos procedimientos conviene destacar por su relevancia, atendiendo a la naturaleza del negocio, los siguientes:
- Cuentas a pagar.
- Tesorería.
- Ventas en tienda.
- Gestión de existencias.
- Inmovilizado material.
- Impuestos.
- Cierre contable.
El Grupo cuenta también con procedimientos que regulan el cierre contable de las filiales, y la preparación de los estados financieros consolidados. Este último procedimiento contiene un apartado relativo a “Provisiones, Juicios y Estimaciones” en donde se definen las principales provisiones, juicios y estimaciones a nivel consolidado, así como su análisis y aprobación por parte de la Dirección General de Finanzas (DGF).
El modelo de control interno del Grupo se sustenta en la herramienta SAP GRC Process Control.
La DGF cuenta con otra herramienta de control que complementa los distintos procedimientos documentados. Dicha herramienta consiste en una serie de indicadores (KPIS, “key performance indicators”) cuyo objetivo es medir la calidad de la información financiera reportada por los responsables financieros de las sociedades que componen el Grupo. Dicha herramienta está a disposición de las distintas unidades generadoras de información. Miembros de los distintos departamentos financieros de las sociedades realizan periódicamente un análisis de los KPIS proponiendo, en su caso, medidas correctoras así como planes de acción específicos y su seguimiento.
3.2. Políticas y procedimientos de control interno sobre los sistemas de información que soporten los procesos relevantes de la entidad en relación a la elaboración y publicación de la información financiera
El marco de control interno de los sistemas de información del Grupo se ha definido a partir de un catálogo de procesos de las Tecnologías de la Información (en adelante, TI) que abarca toda la actividad asociada a cada uno de los sistemas, así como un análisis de riesgos básico asociado a estos procesos. De esta forma, el marco de control interno cubre la totalidad de los riesgos asociados a cada uno de estos procesos.
El Grupo dispone de un área de Seguridad Informática, dependiente de la Dirección General de Sistemas, cuyo objetivo es velar por la seguridad en todos los procesos informáticos mediante:
- El establecimiento y difusión de las normas que garantizan la seguridad en aplicación de la Política de Seguridad de la Información (en adelante, PSI).
- La realización de revisiones orientadas a comprobar el cumplimiento de dicha normativa.
La PSI es el marco de referencia que establece las directrices a seguir por el personal de todo el Grupo Inditex, para garantizar la seguridad informática en todos los procesos de negocio y que, por tanto, también dan soporte al SCIIF. Las directrices que se incluyen en la Política de Seguridad se agrupan en los siguientes ámbitos:
- Clasificación y control de activos
- Seguridad frente a acciones humanas
- Seguridad física y del entorno
- Control de Accesos
- Gestión de Sistemas, Comunicaciones y Operaciones
- Desarrollo y Mantenimiento de Sistemas
- Gestión de Continuidad de Negocio
- Gestión de Incidentes de Seguridad de la Información
- Cumplimiento Normativo y Legal.
Adicionalmente, en el diseño e implementación de aplicaciones, el Grupo ha definido un marco metodológico que establece distintos requerimientos orientados a asegurar que la solución desarrollada cumpla las funciones solicitadas por el usuario, y que el nivel de calidad cumpla los estándares de seguridad establecidos.
Del mismo modo el Grupo dispone de los mecanismos y procedimientos de contingencia, tanto técnicos como operativos, que están definidos para garantizar la recuperación de los sistemas de información en caso de falta de disponibilidad.
Durante el ejercicio 2015, se han mantenido reuniones trimestrales del Comité de Seguridad para el cual se han ampliado los asistentes al mismo, incluyendo al área de Comunicación y Relaciones Institucionales así como a E-commerce. El Comité queda compuesto, además, por las siguientes áreas:
- Administración y Finanzas.
- Auditoría Interna.
- Desarrollo Corporativo.
- Internacional.
- Jurídico.
- Logística Corporativa.
- Prevención de Pérdidas.
- Recursos Humanos.
- Secretaría General.
- Seguridad Corporativa.
- Sistemas.
3.3. Políticas y procedimientos de control interno destinados a supervisar la gestión de las actividades subcontratadas a terceros, así como de aquellos aspectos de evaluación, cálculo o valoración encomendados a expertos independientes, que puedan afectar de modo material a los estados financieros
En general, el Grupo Inditex no externaliza procesos con impacto relevante en la información financiera. La política general es no externalizar ninguna actividad que pueda afectar de modo material a los estados financieros.
En el ejercicio 2015, se han subcontratado las siguientes actividades con incidencia en los estados financieros si bien no han tenido un efecto significativo:
- Valoraciones de activos fijos.
- Valoraciones de intangibles.
- Cálculos de estudios actuariales.
- Servicios relacionados con RRHH.
- Valoración de derivados.
La contratación de dichos servicios se realiza por los responsables de las áreas correspondientes, asegurando la competencia, capacitación técnica y legal e independencia de los profesionales contratados.