2.1. Principales características del proceso de identificación de riesgos

El proceso de identificación de riesgos se encuentra documentado en el “Procedimiento de Gestión de Riesgos sobre la Información Financiera”. El objetivo de este procedimiento es describir los mecanismos de identificación y evaluación anual de los riesgos que pudieran producir errores materiales en la elaboración de la información financiera.

El mencionado proceso de gestión de riesgos se sustenta en cinco fases:

1. Recopilación de la información financiera.
2. Identificación de los ciclos operativos con impacto en la información financiera.
3. Evaluación de riesgos por unidad de reporting de los estados financieros.
4. Priorización de la criticidad de las cuentas.
5. Cruce de riesgos con ciclos operativos.

Como resultado del proceso, anualmente, se actualiza la matriz de riesgos de información financiera (Matriz de Riesgos del SCIIF). Esta matriz permite la identificación de los epígrafes materiales de los estados financieros, las aserciones u objetivos de la información financiera en las que puedan existir riesgos y la priorización de los procesos operativos con impacto en la información financiera.

El proceso de evaluación cubre la totalidad de objetivos de la información financiera: (i) existencia y ocurrencia; (ii) integridad; (iii) valoración; (iv) presentación y desglose; (v) derechos y obligaciones.

Una vez identificados los potenciales riesgos, la evaluación de los mismos se realiza, anualmente, a partir del conocimiento y entendimiento que la dirección tiene del negocio y de criterios de materialidad.

Los criterios de evaluación se establecen (i) desde el punto de vista cuantitativo en función de parámetros tales como la cifra de negocios, el volumen de activos, y el beneficio antes de impuestos y (ii) desde el punto de vista cualitativo en función de diferentes aspectos, tales como la estandarización de las operaciones y automatización de los procesos, composición, cambios respecto al ejercicio anterior, complejidad contable, posibilidad de fraude o error o grado de uso de estimaciones en la contabilización.

El Grupo dispone de un Maestro de Sociedades Corporativo en donde se integran la totalidad de las entidades que integran el mismo. La gestión y actualización del maestro se realiza de acuerdo al “Procedimiento de Constitución y Financiación de Sociedades”.

En el citado maestro figuran, por un lado, datos generales de las sociedades tales como razón social, fecha de cierre contable y moneda y por otro, información jurídica como fecha de constitución, cifra de capital, relación de accionistas, porcentajes de participación, y resto de información relevante. La responsabilidad de la actualización del maestro, en lo que a información jurídica se refiere, es del Departamento Jurídico.

Mensualmente el área de Reporting Externo dependiente del Departamento de Planificación y Control de Gestión determina el conjunto de entidades que configuran el Perímetro de Consolidación, así como los métodos de consolidación aplicables a cada una de las sociedades que integran el citado perímetro.

En el proceso de evaluación de los riesgos de información financiera, además de los factores cuantitativos y cualitativos mencionados anteriormente, también se consideran los principales riesgos identificados en el Mapa general de Riesgos Críticos del Grupo Inditex.

Los potenciales riesgos identificados a través de la Matriz de Riesgos de SCIIF se tienen en cuenta a la hora de elaborar el Mapa de Riesgos Críticos del Grupo. Dicho Mapa se actualiza anualmente por el Departamento de Gestión de Riesgos (dependiente de DGF) con la colaboración de todas las áreas implicadas de la organización. De esta forma el Grupo puede considerar el impacto que el resto de riesgos clasificados en las categorías de Entorno de Negocio, Reputación, Normativo y Regulatorio, Recursos Humanos, Operaciones, Financieros, Información para la toma de decisiones, Tecnología y Sistemas de Información y Gobierno Corporativo, puedan tener sobre los estados financieros.

Todo el proceso es supervisado y aprobado anualmente por la Comisión de Auditoría y Control.