5. Supervisión del funcionamiento del sistema
5.1. Las actividades de supervisión del SCIIF realizadas por la Comisión de Auditoría
De forma específica, en relación con las actividades de supervisión del SCIIF, la Comisión de Auditoría y Control, éste ha desarrollado, entre otras, las siguientes actividades durante el ejercicio:
- Ha revisado las cuentas anuales consolidadas del Grupo y la información financiera periódica, trimestral y semestral, que debe suministrar el Consejo de Administración a los mercados y a sus órganos de supervisión, vigilando el cumplimiento de los requerimientos legales y la correcta aplicación en su elaboración de los principios de contabilidad generalmente aceptados.
- Ha propuesto al Consejo de Administración las condiciones de contratación de los auditores de cuentas, el alcance de su mandato profesional y, en su caso, su revocación o renovación, supervisando el cumplimiento del contrato y evaluando sus resultados periódicamente.
- En las labores de supervisión del Departamento de Auditoría Interna, ha aprobado el informe anual de actividades, su presupuesto y el plan de auditoría anual.
- Ha analizado el plan de auditoría anual de los auditores externos, que incluye los objetivos de auditoría basados en la evaluación de riesgos de información financiera, así como las principales áreas de interés o transacciones significativas objeto de revisión en el ejercicio.
- Ha revisado con los auditores externos y con Auditoría Interna las debilidades del sistema de control interno observadas, en su caso, en el desarrollo de los distintos trabajos de auditoría y revisión. A su vez, tanto los auditores externos como Auditoría Interna han informado periódicamente a la Comisión de Auditoría y Control del grado de implantación de las recomendaciones puestas de manifiesto en la realización de sus trabajos.
- Ha mantenido reuniones periódicas con otros departamentos corporativos del Grupo INDITEX, con el objetivo de supervisar la eficacia de los sistemas de control interno del Grupo, incluido el SCIIF, comprobando la adecuación e integridad de los mismos y el grado de implantación de los planes de acción para cumplimentar las recomendaciones de auditoría.
Auditoría Interna es una función corporativa que se encuadra en la actual estructura organizativa, mediante la vinculación directa con el Consejo de Administración, lo que le permite garantizar la plena independencia en sus actuaciones. Dicha vinculación se articula a través de la dependencia funcional de la Comisión de Auditoría y Control.
El área se gestiona de forma centralizada desde la sede corporativa y cuenta con representantes en aquellas zonas geográficas donde la presencia del Grupo Inditex lo justifique. Adicionalmente, se organiza por áreas de especialización, lo que permite obtener un conocimiento más profundo de los riesgos y procesos.
La Comisión de Auditoría y Control aprueba anualmente el presupuesto que habilita los medios, humanos y materiales, internos y externos del área de Auditoría Interna.
Entre los objetivos de la función de Auditoría Interna se encuentra la evaluación de las exposiciones al riesgo y la adecuación y eficacia de los controles en respuesta a los riesgos identificados y, en concreto los relacionados con la fiabilidad e integridad de la información financiera y operativa.
En base a la Matriz de Riesgos del SCIIF, Auditoría Interna elabora un plan plurianual de revisión periódica del SCIIF que es presentado y aprobado por la Comisión de Auditoría y Control con carácter anual.
Este plan plurianual conlleva la realización de revisiones del SCIIF para los procesos y componentes significativos en los estados financieros del Grupo, estableciéndose prioridades de revisión en función de los riesgos identificados. La ejecución de este plan se materializa a través de planificaciones anuales que determinan el alcance de las revisiones anuales del SCIIF. La adecuación de este plan se revalúa cada año tras realizarse la actualización del proceso de identificación y evaluación de riesgos de información financiera.
En particular, son objeto de revisión el diseño y el funcionamiento efectivo de los controles claves transaccionales y de los controles generales sobre las principales aplicaciones informáticas intervinientes en la elaboración de la información financiera, así como una revisión del entorno general de control.
Adicionalmente, esta revisión se complementa con la ejecución y análisis de indicadores clave de riesgos (KRI, key risk indicators) que Auditoría Interna ha definido sobre las áreas de riesgos más críticas y que han sido diseñados para detectar y mitigar la probabilidad de riesgos y errores, incluidos los de naturaleza financiera y fraude. Estos indicadores clave de riesgo se ejecutan a nivel centralizado para las diferentes unidades de negocio y localizaciones geográficas incluidas en el plan de auditoría.
Para el desarrollo de sus actividades, Auditoría Interna utiliza distintas técnicas de auditoría, fundamentalmente entrevistas, revisiones analíticas, pruebas específicas de controles, revisando tanto la eficacia del diseño como el funcionamiento efectivo del mismo, revisiones de la eficacia de los sistemas informáticos y pruebas sustantivas.
Asimismo, Auditoría Interna realiza determinados procedimientos limitados de revisión analítica de los estados financieros consolidados del primer y tercer trimestre del año sobre la información consolidada.
Los resultados de los trabajos, junto con las medidas correctoras propuestas en su caso, se reportan a la DGF y a la Comisión de Auditoría y Control. La implantación de estas medidas son objeto de un posterior seguimiento por parte de Auditoría Interna y de reporte a la Comisión de Auditoría y Control.
5.2. Procedimiento de discusión entre el auditor de cuentas, la función de auditoría interna y otros expertos para comunicar las debilidades significativas de control interno identificadas y plan de acción
Auditoría Interna comunica periódicamente a la DGF y a la Comisión de Auditoría y Control las debilidades de control interno identificadas en las revisiones llevadas a cabo, así como el seguimiento de los planes de acción establecidos para su resolución o mitigación.
A su vez, el Auditor Externo mantiene reuniones periódicas con la DGF y Auditoría Interna, tanto para la obtención de información como para comunicar las potenciales debilidades de control que fuesen detectadas, en su caso, en el desarrollo de su actividad.
La Comisión de Auditoría y Control trata en sus reuniones las eventuales debilidades de control que pudieran afectar a los estados financieros, requiriendo, en su caso, a las áreas afectadas la información necesaria, para así evaluar los efectos que pudieran producirse sobre los estados financieros.
El artículo 45.5 del Reglamento del Consejo de Administración dispone que: “El Consejo de Administración procurará formular definitivamente las cuentas de manera tal que no haya lugar a salvedades por parte del auditor. No obstante, cuando el Consejo de Administración considere que debe mantener su criterio, explicará públicamente el contenido y el alcance de la discrepancia.”
Al objeto de cumplir con lo dispuesto en dicho artículo 45.5, en las reuniones mantenidas entre la Comisión de Auditoría y Control y los auditores externos se anticipa cualquier discusión o diferencia de criterio existente. A su vez, el auditor externo informa, en su caso, de los principales aspectos de mejora sobre control interno que haya identificado como consecuencia de su trabajo. Adicionalmente, la Dirección informa sobre el grado de implantación de los correspondientes planes de acción establecidos para corregir o mitigar los aspectos identificados.
Por otra parte, la Comisión de Auditoría y Control se reúne con los auditores de las cuentas individuales y consolidadas a fin de revisar, por un lado, las cuentas anuales del Grupo y, por otro, determinada información financiera periódica semestral que debe suministrar el Consejo de Administración a los mercados y a sus órganos de supervisión, vigilando el cumplimiento de los requerimientos legales y la correcta aplicación en su elaboración de los principios de contabilidad generalmente aceptados.
Durante el ejercicio 2015, Auditoría Interna ha estado presente en las 5 sesiones mantenidas por la Comisión de Auditoría y Control y el Auditor Externo en un total de cuatro sesiones.