1. Entorno de control de la entidad

I. Órganos responsables

A continuación se señalan las principales características de los órganos y/o funciones son los responsables de: (i) la existencia y mantenimiento de un adecuado y efectivo SCIIF; (ii) su implantación; y (iii) su supervisión:

1.El Consejo de Administración

Salvo en las materias reservadas a la competencia de la Junta General de Accionistas, el Consejo de Administración se configura como el máximo órgano de decisión, supervisión y control del Grupo, incluida la responsabilidad última de la existencia y mantenimiento de un adecuado y eficaz SCIIF.

El Consejo de Administración tiene encomendadas la dirección, administración, gestión y representación del Grupo, delegando con carácter general la gestión de los negocios ordinarios de INDITEX a favor de los órganos ejecutivos y del equipo de Dirección y concentrando su actividad en la función general de supervisión, que comprende orientar la política del Grupo, controlar las instancias de gestión, evaluar la gestión de los directivos, adoptar las decisiones más relevantes para el Grupo y servir de enlace con los accionistas.

2. La Comisión de Auditoría y Control

Conforme a lo establecido en los Estatutos Sociales, el Reglamento del Consejo de Administración y el Reglamento de la Comisión de Auditoría y Control, y dentro de las funciones de índole financiera y de control, la Comisión de Auditoría y Control asume la función de supervisar el proceso de elaboración y presentación de la información financiera regulada y controlar la eficacia del SCIIF. En este sentido, la Comisión realiza entre otras, las siguientes funciones:

• Supervisar la eficacia del control interno del Grupo, la auditoría interna y los sistemas de gestión de riesgos, incluidos los fiscales, así como analizar con el auditor de cuentas las debilidades significativas del sistema de control interno detectadas, en su caso, en el desarrollo de la auditoría.
• En relación con las competencias relativas al proceso de elaboración de la información financiera regulada:
  • Supervisar el proceso de elaboración y presentación, así como la integridad de la información financiera regulada relativa a la Sociedad y a su Grupo, debiendo asegurarse de que los informes financieros semestrales y las declaraciones trimestrales de gestión se formulan aplicando los mismos criterios contables que los informes financieros anuales, y supervisar la revisión de los estados financieros intermedios solicitada al auditor de cuentas, con el alcance y la periodicidad que sea definido, en su caso.
  • Revisar el cumplimiento de los requerimientos legales, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los principios de contabilidad generalmente aceptados y de las normas internacionales de información financiera que sean de aplicación.
  • Informar al Consejo de Administración de cualquier cambio de criterio contable significativo, así como de los riesgos significativos del balance y de fuera del mismo.
• En relación con la política de control interno y gestión de riesgos:
  • Supervisar la función de control y gestión de riesgos.
  • Revisar periódicamente la política de control interno y gestión de riesgos, incluidos los fiscales.
  • Velar por que la política de control interno y gestión de riesgos comprenda, al menos:
    1. Los distintos tipos de riesgo (entre otros, los operativos, tecnológicos, financieros, legales, reputacionales y fiscales) a los que se enfrenta el Grupo, incluyendo entre los financieros o económicos, los pasivos contingentes y otros riesgos fuera de balance.
    2. La fijación del nivel de riesgo que el Grupo considere aceptable.
    3. Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegaran a materializarse.
    4. Los sistemas de información y control interno que se utilizarán para controlar y gestionar los citados riesgos, incluidos los pasivos contingentes y otros riesgos fuera de balance.
  • Analizar la información relativa a los riesgos a los que se enfrenta el Grupo y a los sistemas de control del riesgo que deban incluirse en el Informe Anual de Gobierno Corporativo, en el informe de gestión que acompaña a las cuentas anuales y los estados financieros intermedios y en cualesquiera otros instrumentos de información del Grupo.
  • Evaluar cualquier cuestión relativa a los riesgos no financieros (incluyendo los operativos, tecnológicos, legales, sociales, medioambientales, políticos y reputacionales) que la política de control y los sistemas de gestión de riesgos deben contener.

La mayoría de los miembros de la Comisión de Auditoría y Control son consejeros independientes. La Comisión se reúne trimestralmente y siempre que lo convoque su Presidente. En el ejercicio social 2016, se ha reunido en 6 ocasiones.

3. Dirección General de Finanzas

La Dirección General de Finanzas (en adelante, la “DGF”) es responsable del diseño, implantación y mantenimiento de un adecuado y efectivo SCIIF tal y como se señala en el Procedimiento de Gestión de Riesgos sobre la Información Financiera. Dicho procedimiento forma parte del Sistema de Gestión de Riesgos cubriendo exclusivamente los riesgos que afectan a la información financiera.

La Dirección General de Finanzas elabora y difunde las políticas, directrices y procedimientos relacionados con la generación de información financiera y se encarga de garantizar su correcta aplicación en el Grupo.

4. Auditoría Interna

Auditoría Interna reporta y está supervisada por la Comisión de Auditoría y Control y, entre otras responsabilidades, le apoya en la labor de supervisión del control interno de los sistemas de información financiera, realizando auditorías periódicas específicas sobre el SCIIF, solicitando planes de acción para la corrección o mitigación de las debilidades detectadas y realizando el seguimiento de la implantación de las recomendaciones propuestas.

Auditoría Interna cuenta con un Estatuto de Auditoría Interna aprobado por la Comisión de Auditoría y Control que regula la misión, autoridad y responsabilidades de la función, de acuerdo con las normas y estándares, tanto nacionales como internacionales, para el ejercicio de la profesión.

Asimismo, posee el certificado de cumplimiento con las “Normas Internacionales para la Práctica Profesional de Auditoría Interna” emitido por el Instituto de Auditores Internos, perteneciente al IIA (Institute of Internal Auditors).

2. Elementos del proceso de elaboración de la información financiera

Además, en relación con el proceso de elaboración de la información financiera, hay una serie de departamentos y/o mecanismos encargados: (i) del diseño y revisión de la estructura organizativa; (ii) de definir claramente las líneas de responsabilidad y autoridad, con una adecuada distribución de tareas y funciones; y (iii) de que existan procedimientos suficientes para su correcta difusión en la entidad.

El diseño y la revisión de la estructura organizativa y de las líneas de responsabilidad y autoridad dentro del Grupo es responsabilidad del Consejo de Administración. En dicha estructura se encuentran los departamentos encargados de la elaboración de la información financiera.

La formulación y revisión de los criterios que deben seguirse para la selección de los altos directivos del Grupo se lleva a cabo por la Comisión de Nombramientos que está integrada en su mayoría por consejeros independientes.

Dentro de las funciones de dicha Comisión figuran, entre otras, informar sobre las propuestas de nombramiento y separación de altos directivos del Grupo, que el primer ejecutivo proponga al Consejo de Administración, de conformidad con el artículo 16.2.(g) del Reglamento del Consejo de Administración.

Los altos directivos junto con el Departamento de Recursos Humanos (en adelante, el “DRRHH”) definen para cada una de las áreas las funciones y responsabilidades. Adicionalmente, el área de Compensación dependiente del DRRHH evalúa periódicamente la clasificación, descripción, y funciones de cada uno de los puestos de trabajo. Dichas funciones se difunden a cada una de las áreas afectadas.

A efectos del proceso de elaboración de la información financiera, el Grupo tiene claramente definidas líneas de autoridad y responsabilidad. La responsabilidad principal sobre la elaboración de la información financiera recae en la Dirección General de Finanzas.

La estructura, dimensión y la definición de funciones y tareas de cada posición del área financiera es definida por la Dirección General de Finanzas y difundida por el DRRHH.

Para desarrollar sus actividades la DGF se estructura en los siguientes departamentos:

• Departamento de Administración.
• Departamento de Planificación y Control de Gestión.
• Departamento de Gestión Financiera.
• Departamento de Gestión de Riesgos.
• Departamento de Procesos y Proyectos.
• Departamento Fiscal.

El Grupo cuenta con estructuras organizativas financieras adaptadas a las necesidades locales en cada uno de los países en los que opera encabezadas por la figura de un Director Financiero, que tiene, entre sus funciones, cumplir los procedimientos enmarcados dentro del SCIIF.

Código de conducta

El Consejo de Administración, en su reunión del día 17 de julio de 2012, aprobó, previo informe favorable de la Comisión de Auditoría y Control, el Código de Conducta y Prácticas Responsables del Grupo Inditex (que sustituye a la Directriz Interna de Prácticas Responsables del Personal del Grupo Inditex, así como al Código Ético de Conducta) y el Código de Conducta de Fabricantes y Proveedores (que modifica al Código de Conducta para Fabricantes y Talleres Externos).

Por lo tanto, la normativa interna del Grupo en materia de conducta se recoge en los siguientes códigos:

• El Código de Conducta y Prácticas Responsables.
• El Código de Conducta de Fabricantes y Proveedores.
• El Reglamento Interno de Conducta en los Mercados de Valores.

El Código de Conducta y Prácticas Responsables establece los criterios de actuación que deben ser observados por el personal del Grupo en el desempeño de sus responsabilidades profesionales.

Tiene como objetivo procurar un compromiso profesional, ético y responsable de INDITEX y de todos sus empleados, en el desarrollo de sus actividades en cualquier parte del mundo, como elemento básico de su cultura empresarial en la que se asienta la formación y el desarrollo personal y profesional de sus empleados. A tal efecto, se definen los principios y valores que deben regir las relaciones entre el Grupo y sus principales grupos de interés (empleados, clientes, accionistas, socios de negocio, proveedores y aquellas sociedades en las que desarrolla su modelo de negocio).

El Código de Conducta y Prácticas Responsables se basa en una serie de principios generales. Entre ellos, destacan que todas las operaciones del Grupo Inditex se desarrollarán bajo un prisma ético y responsable; todas las personas, físicas y jurídicas, que mantengan de forma directa o indirecta cualquier relación laboral, económica, social y/o industrial con el Grupo Inditex, recibirán un trato justo y digno y que todas las actividades del Grupo se realizarán de la manera más respetuosa con el medio ambiente, favoreciendo la conservación de la biodiversidad y la gestión sostenible de los recursos naturales.

Entre los estándares de conducta recogidos en el Código de Conducta y Prácticas Responsables se encuentra en el apartado 4.13 la regulación del “Registro de Operaciones” por la cual:

A fin de garantizar el cumplimiento del Código de Conducta y Prácticas Responsables, existe un Comité de Ética compuesto por:

• El Secretario General y Director de Cumplimiento Normativo, que lo preside.
• El Director de Auditoría Interna.
• El Director de Responsabilidad Social Corporativa.
• La Directora de Recursos Humanos.

El Comité de Ética podrá actuar por propia iniciativa o a instancia de cualquier empleado de Inditex, fabricante, proveedor o de un tercero con relación directa e interés comercial o profesional legítimo, mediante denuncia realizada de buena fe.

El Comité de Ética depende del Consejo de Administración, a través de la Comisión de Auditoría y Control, y tiene las siguientes funciones básicas:

• La supervisión del cumplimiento y de la difusión interna del Código entre todo el personal del Grupo.
• La recepción de todo tipo de escritos, relacionados con la aplicación del Código y su remisión, en su caso, al órgano o Departamento de la Compañía al que deba corresponderle su tramitación y resolución.
• El control y supervisión de la tramitación de los expedientes y de su resolución.
• La interpretación de las dudas que plantee la aplicación del Código.
• La propuesta al Consejo de Administración, previo informe de la Comisión de Auditoría y Control, de cuantas aclaraciones y normas de desarrollo requiera la aplicación del Código y, al menos, un informe anual en el que se analice su aplicación.
• La supervisión del Canal de Denuncias y del cumplimiento de su procedimiento.
• En el ejercicio de sus funciones, el Comité de Ética garantizará:
• La confidencialidad de todos los datos y antecedentes manejados y de las actuaciones llevadas a cabo, salvo que por ley o requerimiento judicial proceda la remisión de información.
• El análisis exhaustivo de cualquier dato, información o documento en base a los cuales se promueva su actuación.
• La instrucción de un procedimiento adecuado a las circunstancias del caso, en el que se actuará siempre con independencia y pleno respeto del derecho de audiencia y de la presunción de inocencia de cualquier persona afectada.
• La indemnidad de cualquier denunciante como consecuencia de la presentación de instancias o denuncias de buena fe al Comité.

Las decisiones del Comité de Ética tendrán carácter vinculante para el Grupo Inditex y para el empleado.

El Comité de Ética presenta, al menos con periodicidad semestral, un informe a la Comisión de Auditoría y Control en el que analiza sus actividades y la aplicación del Código de Conducta y Prácticas Responsables.

Además, la Comisión de Auditoría y Control informa al Consejo de Administración, anualmente y siempre que éste lo solicite, sobre el cumplimiento del Código de Conducta y Prácticas Responsables y de los documentos adicionales que conforman el modelo de cumplimiento normativo interno vigente en cada momento.

Código de Conducta de Fabricantes y Proveedores

El Código de Conducta de Fabricantes y Proveedores define los estándares mínimos de comportamiento ético y responsable que deben ser observados por los fabricantes y proveedores de los productos que comercializa Inditex en el desarrollo de su actividad, de acuerdo con la cultura empresarial del Grupo Inditex, firmemente asentada en el respeto de los derechos humanos y laborales.

El Código es de aplicación a todos los fabricantes y proveedores que intervienen en los procesos de compra, fabricación y acabado de los productos que comercializa el Grupo y promueve y se asienta en los principios generales que definen el comportamiento ético de Inditex, esto es, que todas sus actividades se desarrollarán de manera ética y responsable; que toda persona que mantenga, directa o indirectamente, una relación laboral, económica, social o industrial con la empresa, recibirá un trato justo y respetuoso; que todas sus actividades se desarrollarán de manera respetuosa con el medio ambiente; que todos sus fabricantes y proveedores (centros de producción ajenos a la propiedad del Grupo) se adherirán íntegramente a estos compromisos y promoverán su responsabilidad para asegurar que se cumplan los estándares contemplados en el Código de Conducta de Fabricantes y Proveedores.

Los fabricantes de los productos que comercializa Inditex están obligados a cumplir este Código de Conducta de Fabricantes y Proveedores y el Código de Conducta y Prácticas Responsables, en lo que resulte de aplicación. De igual modo, el resto de proveedores de bienes y servicios del Grupo deberán cumplir ambos Códigos en lo que les resulte de aplicación.

RIC

Por otra parte, el Consejo de Administración en su sesión de 19 de julio de 2016 aprobó, en cumplimiento de lo dispuesto en el marco normativo europeo contra el abuso de mercado, integrado por el Reglamento de Abuso de Mercado (Reglamento UE nº 596/2014 de 16 de abril de 2014) y la Directiva 2014/57/UE2014/57/UE, de 16 de abril de 2014, que tiene como objetivo reforzar la integridad del mercado y establecer mecanismos de implementación y supervisión homogénea en los diferentes Estados Miembros de la Unión Europea, un Reglamento Interno de Conducta en los Mercados de Valores.

Mediante este Reglamento, Inditex da cumplimiento a las novedades legislativas aplicables a las personas que por su cargo, responsabilidades o funciones tienen (o pueden tener) acceso a Información Privilegiada del Grupo Inditex (en adelante, las “Personas Afectadas”) y a sus personas vinculadas, así como a las actuaciones de las Personas Afectadas y sus Personas Vinculadas en el mercado de valores. Todas las operaciones con acciones de Inditex que se realicen por las Personas Afectadas y sus personas vinculadas quedan sujetas al mismo.

El RIC mantiene los procedimientos relacionados con las Operaciones Personales sobre Valores e Instrumentos Afectados (acciones de Inditex). Como ya ocurría con anterioridad, las Personas Afectadas deberán:

• Solicitar autorización previa a la Dirección de Cumplimiento Normativo (en adelante, la “DCN”) para cualquier operación con acciones de Inditex cuando su importe efectivo sea igual o superior a 60.000 €.
• Con independencia de su cuantía económica, comunicar la operación a la DCN durante los 15 primeros días del mes siguiente a aquel en el que realizaron la operación.
• Solicitar autorización, en su caso, y comunicar, de conformidad con los dos apartados anteriores, las operaciones con acciones de Inditex realizadas por sus personas vinculadas.
• Abstenerse de realizar cualquier operación con acciones de Inditex durante los periodos de cierre de operaciones. Para facilitar el cumplimiento de esta obligación, como ya ocurría con anterioridad, la Dirección de Cumplimiento Normativo comunicará por escrito tanto el inicio del periodo de cierre de operaciones como su fin.

El Reglamento es de obligado cumplimiento para todas las personas incluidas en su ámbito de aplicación y su incumplimiento puede ser denunciado confidencialmente ante el Comité de Ética, de conformidad con lo dispuesto en el Procedimiento del Canal de Denuncias del Grupo Inditex.

En este sentido, su incumplimiento puede dar lugar a las sanciones disciplinarias que correspondan según el caso, a la responsabilidad en los ámbitos administrativo, civil y/o penal y a la obligación de indemnizar los daños y perjuicios que en su caso fueran ocasionados.

Por último, existe un Comité de Cumplimiento Normativo, que depende directamente de la Comisión de Auditoría y Control y está compuesto por:

• El Presidente Ejecutivo,
• El Secretario General,
• El Director del Departamento de Mercado de Capitales, y
• El Director de Recursos Humanos.

Este Comité es el responsable principal de desarrollar los procedimientos y normas de desarrollo para la aplicación del RIC. Asimismo, como órgano dependiente del Comité de Cumplimiento Normativo, existe la Dirección de Cumplimiento Normativo, cargo que desempeña el Secretario General del Grupo Inditex. Entre otras funciones, la Dirección de Cumplimiento Normativo es la encargada de hacer cumplir las normas de conducta de los mercados de valores y las reglas y procedimientos del RIC a los administradores, directivos, empleados y demás personas a las que resulte de aplicación.

La actuación de las entidades que forman el Grupo y de todas las personas que tengan acceso a informaciones que puedan constituir información relevante, muy especialmente información financiera, deberá ajustarse a los siguientes principios: cumplimiento de la normativa, transparencia, colaboración, información, confidencialidad y neutralidad. Tanto la Comisión de Cumplimiento Normativo como la Dirección de Cumplimiento Normativo velan por el cumplimiento de la aplicación de los citados principios.

En lo referente a la difusión de la mencionada normativa, el Departamento de Recursos Humanos del Grupo es el responsable de facilitar a todos los empleados, en el momento de su incorporación a la organización, una copia del Código de Conducta y Prácticas Responsables.

Asimismo, dicha normativa actualizada se encuentra publicada en la web corporativa (www.inditex.com) y en INET y es objeto de las adecuadas acciones de comunicación, difusión, formación y sensibilización para su oportuna comprensión y puesta en práctica en toda la organización. Además, el Código de Conducta y Prácticas Responsables está accesible en la TGT de tiendas de la mayoría de los países.

Respecto al RIC, la Dirección de Cumplimiento Normativo lleva un Registro Documental General en el que se incluye a todas las Personas Afectadas. La Dirección de Cumplimiento Normativo informa a estas personas de su sujeción al RIC, así como de las infracciones y sanciones que, en su caso, se deriven del uso inadecuado de la información reservada.

Asimismo, la Dirección de Cumplimiento Normativo informa a las Personas Afectadas de su inclusión en el Registro Documental General y de los demás extremos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Canal de denuncias

Existe un canal de denuncias por el cual todos los empleados del Grupo, fabricantes, proveedores o terceros con relación directa e interés comercial o profesional legítimo, con independencia de su nivel jerárquico y de su ubicación geográfica o funcional, podrán denunciar cualquier incumplimiento de la normativa interna del Grupo sobre conducta y cumplimiento normativo, que hayan sido cometidos por empleados del Grupo, por fabricantes, proveedores o terceros con los que el Grupo mantenga una relación laboral, comercial o profesional directa y que afecten a Inditex o a su Grupo.

Por consiguiente, pueden ser objeto de denuncia los incumplimientos e irregularidades de cualquier índole, incluidos los de naturaleza financiera y contable.

El Comité de Ética es el órgano responsable de supervisar el Canal de Denuncias y el cumplimiento de su procedimiento.

El funcionamiento de este Canal de Denuncias está desarrollado en el Procedimiento del Canal de Denuncias, aprobado por el Consejo de Administración el 17 de julio de 2012, disponible en INET.

Las denuncias de incumplimiento o las consultas relativas a la interpretación o aplicación de la normativa interna sobre conducta y cumplimiento normativo, podrán hacerse llegar a la Sociedad a través de correo postal, a la atención del Comité de Ética (a la dirección Avenida de la Diputación, Edificio INDITEX, 15142, Arteixo, A Coruña), correo electrónico (a la dirección: comitedeetica@inditex.com) o fax (+34 981 186211), estando garantizada la confidencialidad.

Recibida la denuncia, el Comité de Ética comprueba, en primer lugar, si recae dentro del ámbito de aplicación del Canal de Denuncias. En caso afirmativo, el Comité de Ética dará traslado al departamento competente para que realice las investigaciones oportunas. En caso negativo, ordenará el archivo inmediato.

A la vista de las conclusiones alcanzadas tras las investigaciones, el departamento o departamentos competentes, previa audiencia del interesado, propondrán alguna de las siguientes medidas al Comité de Ética, cuya adopción dependerá en última instancia de éste:

• La corrección del incumplimiento, en su caso.
• La propuesta de sanciones o acciones correspondientes.
• El archivo del caso, en el supuesto de no existir incumplimiento alguno.

Programas de formación y actualización periódica

El área de Formación y Desarrollo del Grupo dependiente del DRRHH elabora, conjuntamente con cada una de las áreas dependientes de la Dirección General de Finanzas, programas de formación y actualización para los distintos miembros que participan en el proceso de elaboración y supervisión de la información financiera de cada una de las sociedades que integran el Grupo. Dichos planes engloban, tanto programas de formación de carácter general focalizados hacia el conocimiento del negocio y de los distintos departamentos interrelacionados que integran el Grupo, como programas específicos cuyo objetivo es la formación y actualización sobre las novedades regulatorias en materia de preparación y supervisión de la información financiera.

(a) Formación general

Encaminada al conocimiento interno de cada una de las unidades de negocio, así como de los distintos departamentos con sus respectivas actividades, funciones y responsabilidades dentro del negocio.

Consta de un periodo inicial de trabajo en tienda en contacto directo con todo el proceso de funcionamiento de la misma. Continúa en los distintos departamentos ubicados en los servicios centrales de la organización para finalizar en alguna de las filiales que posee el Grupo en el extranjero.

(b) Formación específica

El personal del Grupo involucrado en los procesos relacionados con la elaboración de la información financiera participa en programas de formación y actualización periódicos que tienen por objeto facilitar el conocimiento de las normas locales e internacionales de información financiera, así como la normativa existente y mejores prácticas en materia de control interno.

En el ámbito financiero, los planes de formación y actualización son promovidos desde el DRRHH y coordinados con cada una de las áreas de la Dirección General de Finanzas.

Anualmente, se llevan a cabo cursos de formación para los nuevos responsables de las áreas financieras en cada uno de los países, con el objetivo de formarles en el modelo de gestión del Grupo INDITEX así como en el sistema de control interno de la información financiera implantado.

De forma complementaria se imparten cursos por personal interno sobre el manejo y funcionamiento de las aplicaciones informáticas financieras utilizadas en la elaboración de la información financiera.

Entre las acciones formativas de carácter técnico realizadas por los profesionales de los distintos departamentos integrados en la DGF durante el ejercicio, podemos destacar, entre otras, las siguientes:

• International Cash & Treasury Management.
• Normativa contable de derivados y coberturas.
• Fraude Corporativo & Ciber Riesgos.
• COSO Framework 2013.

2. Evaluación de riesgos de la información financiera

I. Principales características del proceso de identificación de riesgos:

El proceso de identificación de riesgos se encuentra documentado en el Procedimiento de Gestión de Riesgos sobre la Información Financiera. El objetivo de este procedimiento es describir los mecanismos de identificación y evaluación anual de los riesgos que pudieran producir errores materiales en la elaboración de la información financiera.

El mencionado proceso de gestión de riesgos se sustenta en cinco fases:

1. Recopilación de la información financiera.
2. Identificación de los ciclos operativos con impacto en la información financiera.
3. Evaluación de riesgos por unidad de reporting de los estados financieros.
4. Priorización de la criticidad de las cuentas.
5. Cruce de riesgos con ciclos operativos.

Como resultado del proceso, anualmente, se actualiza la matriz de riesgos de información financiera (Matriz de Riesgos del SCIIF). Esta matriz permite la identificación de los epígrafes materiales de los estados financieros, las aserciones u objetivos de la información financiera en las que puedan existir riesgos y la priorización de los procesos operativos con impacto en la información financiera.

El proceso de evaluación cubre la totalidad de objetivos de la información financiera: (i) existencia y ocurrencia; (ii) integridad; (iii) valoración; (iv) presentación y desglose; (v) derechos y obligaciones.

Una vez identificados los potenciales riesgos, la evaluación de los mismos se realiza, anualmente, a partir del conocimiento y entendimiento que la Dirección tiene del negocio y de criterios de materialidad.

Los criterios de evaluación se establecen (i) desde el punto de vista cuantitativo en función de parámetros tales como la cifra de negocios, el volumen de activos, y el beneficio antes de impuestos; y (ii) desde el punto de vista cualitativo en función de diferentes aspectos, tales como la estandarización de las operaciones y automatización de los procesos, composición, cambios respecto al ejercicio anterior, complejidad contable, posibilidad de fraude o error o grado de uso de estimaciones en la contabilización.

El Grupo dispone de un Maestro de Sociedades Corporativo en donde se integran la totalidad de las entidades que integran el mismo y en base al cual se configura el perímetro de consolidación. La gestión y actualización del maestro se realiza de acuerdo al Procedimiento de Constitución y Financiación de Sociedades.

En el citado maestro figuran, por un lado, datos generales de las sociedades tales como razón social, fecha de cierre contable y moneda, y por otro, información jurídica como fecha de constitución, cifra de capital, relación de accionistas, porcentajes de participación, y resto de información relevante. La responsabilidad de la actualización del maestro, en lo que a información jurídica se refiere, es del Departamento Jurídico.

Mensualmente el área de Reporting Externo dependiente del Departamento de Planificación y Control de Gestión revisa y actualiza el conjunto de entidades que configuran el Perímetro de Consolidación, así como los métodos de consolidación aplicables a cada una de las sociedades que integran el citado perímetro.

En el proceso de evaluación de los riesgos de información financiera, además de los factores cuantitativos y cualitativos mencionados anteriormente, también se consideran los principales riesgos identificados en el Mapa de Riesgos del Grupo Inditex.

Los potenciales riesgos identificados a través de la Matriz de Riesgos de SCIIF se tienen en cuenta a la hora de elaborar el Mapa de Riesgos del Grupo. Dicho Mapa se actualiza anualmente por el Departamento de Gestión de Riesgos (dependiente de Dirección General de Finanzas) con la colaboración de todas las áreas implicadas de la organización. De esta forma el Grupo puede considerar el impacto que el resto de riesgos clasificados en las categorías de Entorno de Negocio, Reputación, Normativo y Regulatorio, Recursos Humanos, Operaciones, Financieros, Información para la toma de decisiones, Tecnología y Sistemas de Información y Gobierno Corporativo, puedan tener sobre los estados financieros.

Todo el proceso es supervisado y aprobado anualmente por la Comisión de Auditoría y Control.

3. Actividades de control

I. Procedimientos de revisión y autorización de la información financiera y la descripción del SCIIF.

De acuerdo con el Reglamento del Consejo de Administración es responsabilidad de la Comisión de Auditoría y Control revisar las cuentas anuales y la información periódica que deba suministrar el Consejo de Administración a los mercados y a sus órganos de supervisión, vigilando en todo momento el cumplimiento de los requerimientos legales y de la correcta aplicación en su elaboración de los principios de contabilidad generalmente aceptados.

Igualmente, el mencionado Reglamento señala que la citada Comisión se reunirá trimestralmente a fin de revisar la información financiera periódica que haya de remitirse a las autoridades bursátiles así como la información que el Consejo de Administración ha de aprobar e incluir dentro de su documentación pública anual.

El Grupo tiene mecanismos de revisión de la información financiera. Cada una de las estructuras organizativas es responsable de revisar la información financiera reportada. A nivel financiero corporativo se realizan revisiones analíticas de la información financiera reportada por dichas estructuras. Con anterioridad a la formulación de las cuentas anuales y a la aprobación de los estados financieros semestrales, la Dirección General de Finanzas y los auditores externos se reúnen, a los efectos de analizar y evaluar la información financiera.

La Comisión de Auditoría y Control remite esta información al Consejo de Administración, que es el responsable último de su aprobación para su posterior publicación al mercado.

El Grupo tiene documentados a través de procedimientos aquellos procesos que considera con riesgo de impacto material en la elaboración de la información financiera.

Estos procedimientos describen los controles que permiten responder adecuadamente a los riesgos asociados al logro de los objetivos relacionados con la fiabilidad e integridad de la información financiera de tal forma que permiten prevenir, detectar, mitigar y corregir el riesgo de que se produzcan errores con la antelación necesaria. Estos procedimientos y controles están recogidos en la herramienta de SAP GRC Process Control.

Adicionalmente dichos procesos se representan a través de flujogramas y matrices de riesgos y controles, en las cuales se identifican las actividades de control relevantes. Cada actividad de control cuenta con su respectivo responsable y la periodicidad sistemática de realización. La divulgación de los procedimientos, flujogramas y matrices entre el personal involucrado en la elaboración de la información financiera, se realiza a través del portal específico de la Dirección General de Finanzas en el portal INET del Grupo, permaneciendo disponible para su consulta por cualquier miembro del equipo financiero, constituyendo una herramienta más de trabajo.

Cada uno de los procedimientos tiene asignado un responsable cuya función es revisarlos y actualizarlos. Dichas actualizaciones son oportunamente revisadas y autorizadas por la dirección del área antes de su publicación.

En relación con el procedimiento de cierre contable, la Dirección General de Finanzas emite las instrucciones con el calendario y el contenido de la información financiera a reportar por cada una de las estructuras financieras locales para la elaboración de los estados financieros consolidados.

Asimismo, este procedimiento contiene un apartado de “Provisiones, Juicios y Estimaciones” relativo a la identificación específica de los juicios, estimaciones, valoraciones y proyecciones relevantes a nivel consolidado, así como su análisis y aprobación por parte de la Dirección General de Finanzas.

II. Políticas y procedimientos de control interno sobre los sistemas de información que soporten los procesos relevantes de la entidad en relación a la elaboración y publicación de la información financiera.

El marco de control interno de los sistemas de información del Grupo está orientado al establecimiento de controles sobre los principales procesos de negocio, los cuales, se encuentran íntimamente relacionados con las Tecnologías de la Información (en adelante, las “TI”).

A partir de la relación de procesos de negocio y los sistemas asociados, se realiza un análisis de riesgos básicos que permite a la Compañía priorizar y focalizarse en aquellos ámbitos de las TI que considere de especial relevancia.

El Grupo dispone de un área de Seguridad Informática, dependiente de la Dirección General de Sistemas, cuyo objetivo es velar por la seguridad en todos los procesos informáticos mediante:

1. el establecimiento y difusión de las normas que garantizan la seguridad en aplicación de la Política de Seguridad de la Información (en adelante, la “PSI”).
2. la realización de revisiones orientadas a comprobar el cumplimiento de dicha normativa.

La PSI y el cuerpo normativo que desarrolla dicha Política, constituyen el marco de referencia que establece las directrices a seguir por el personal de todo el Grupo Inditex, para garantizar la seguridad de la información en todos los procesos de negocio y que, por tanto, también dan soporte al SCIIF. Las directrices que se incluyen en la PSI se agrupan en los siguientes ámbitos:

• Clasificación y control de activos.
• Seguridad frente a acciones humanas.
• Seguridad física y del entorno.
• Control de Accesos.
• Gestión de Sistemas, Comunicaciones y Operaciones.
• Desarrollo y Mantenimiento de Sistemas.
• Gestión de Continuidad de Negocio.
• Gestión de Incidentes de Seguridad de la Información.
• Cumplimiento Normativo y Legal.

Adicionalmente, en el diseño e implementación de aplicaciones, el Grupo ha definido un marco metodológico que establece distintos requerimientos orientados a asegurar que la solución desarrollada cumpla las funciones solicitadas por el usuario, y que el nivel de calidad cumpla los estándares de seguridad establecidos.

Del mismo modo, el Grupo dispone de los mecanismos y procedimientos de contingencia, tanto técnicos como operativos, que están definidos para garantizar la recuperación de los sistemas de información en caso de falta de disponibilidad.

Durante el ejercicio 2016, se han mantenido reuniones trimestrales del Comité de Seguridad, órgano encargado de garantizar el apoyo en la Organización a las iniciativas en materia de seguridad de la información. Dicho Comité está compuesto, por las siguientes áreas:

• Administración y Finanzas.
• Auditoría Interna.
• Desarrollo Corporativo.
• Internacional.
• Jurídico.
• Logística Corporativa.
• Prevención de Pérdidas.
• Recursos Humanos.
• Secretaría General.
• Seguridad Corporativa.
• Sistemas.

III. Políticas y procedimientos de control interno destinados a supervisar la gestión de las actividades subcontratadas a terceros, así como de aquellos aspectos de evaluación, cálculo o valoración encomendados a expertos independientes, que puedan afectar de modo material a los estados financieros.

En el ejercicio 2016, se han subcontratado actividades como valoraciones de activos fijos, valoraciones de intangibles, cálculos de estudios actuariales, servicios relacionados con RRHH, valoración de derivados, si bien no han tenido un efecto significativo en la información financiera.

La contratación de dichos servicios se realiza por los responsables de las áreas correspondientes, asegurando la competencia, capacitación técnica y legal e independencia de los profesionales contratados.

4. Información y comunicación

El área de Reporting Externo perteneciente al Departamento de Planificación y Control de Gestión es la responsable de la elaboración, publicación, implantación y actualización del Manual de Normativa Contable del Grupo. Dicha área tiene asignadas, entre otras, las siguientes responsabilidades en relación con las políticas contables del Grupo:

• Definir el tratamiento contable de las operaciones que constituyen la actividad del Grupo.
• Definir y actualizar las prácticas contables del Grupo.
• Resolver las dudas y conflictos derivados de la interpretación de las normas contables.
• Homogeneizar las prácticas contables del Grupo.

En dicho manual se recogen las diferentes operaciones propias del negocio y su tratamiento contable de acuerdo al marco contable de referencia del Grupo Inditex.

El manual se actualiza periódicamente. En este proceso de actualización, el área de Reporting Externo incorpora todas aquellas novedades contables identificadas y que han sido anticipadas a los responsables de la elaboración de los estados financieros.

La publicación y divulgación del manual se realiza a través del portal INET.

El proceso de consolidación y preparación de los estados financieros consolidados se realiza de manera centralizada por el área de Reporting Externo dependiente del Departamento de Planificación y Control de Gestión.

La elaboración de la información financiera consolidada se inicia con la agregación de los estados financieros individuales de cada una de las sociedades que conforman el perímetro de consolidación, para su posterior consolidación en base a la normativa contable del Grupo. Todo este proceso de agregación y consolidación se sustenta en la herramienta SAP BPC.

La información financiera reportada a la Comisión Nacional del Mercado de Valores (CNMV) se elabora a partir de los estados financieros consolidados obtenidos a través de la citada herramienta, así como de cierta información complementaria reportada por las filiales, necesaria para la elaboración de la memoria anual y/o semestral. Paralelamente, se realizan controles específicos para la validación de la integridad de dicha información.

5. Supervisión del funcionamiento del sistema

I. Las actividades de supervisión del SCIIF realizadas por la Comisión de Auditoría.

De forma específica, en relación con las actividades de supervisión del SCIIF, la Comisión de Auditoría y Control ha desarrollado, entre otras, las siguientes actividades durante el ejercicio:

• Ha revisado las cuentas anuales consolidadas del Grupo y la información financiera periódica, trimestral y semestral, que debe suministrar el Consejo de Administración a los mercados y a sus órganos de supervisión, vigilando el cumplimiento de los requerimientos legales y la correcta aplicación en su elaboración de los principios de contabilidad generalmente aceptados.
• En las labores de supervisión del Departamento de Auditoría Interna, ha aprobado el informe anual de actividades, su presupuesto y el plan de auditoría interna anual.
• Ha analizado el plan de auditoría anual de los auditores externos, que incluye los objetivos de auditoría basados en la evaluación de riesgos de la información financiera, así como las principales áreas de interés o transacciones significativas objeto de revisión en el ejercicio.
• Ha revisado con los auditores externos y con Auditoría Interna las debilidades del sistema de control interno observadas, en su caso, en el desarrollo de los distintos trabajos de auditoría y revisión. A su vez, tanto los auditores externos como Auditoría Interna han informado periódicamente a la Comisión de Auditoría y Control del grado de implantación de las recomendaciones puestas de manifiesto en la realización de sus trabajos.
• Ha mantenido reuniones periódicas con otros departamentos corporativos del Grupo INDITEX, con el objetivo de supervisar la eficacia de los sistemas de control interno del Grupo, incluido el SCIIF, comprobando la adecuación e integridad de los mismos y el grado de implantación de los planes de acción para cumplimentar las recomendaciones de auditoría.

Auditoría Interna es una función corporativa que se encuadra en la actual estructura organizativa, mediante la vinculación directa con el Consejo de Administración, lo que le permite garantizar la plena independencia en sus actuaciones. Dicha vinculación se articula a través de la dependencia funcional de la Comisión de Auditoría y Control.

El área se gestiona de forma centralizada desde la sede corporativa y cuenta con representantes en aquellas zonas geográficas donde la presencia del Grupo Inditex lo justifique. Adicionalmente, se organiza por áreas de especialización, lo que permite obtener un conocimiento más profundo de los riesgos y procesos.

La Comisión de Auditoría y Control aprueba anualmente el presupuesto que habilita los medios, humanos y materiales, internos y externos del área de Auditoría Interna.

Entre los objetivos de la función de Auditoría Interna se encuentra la evaluación de las exposiciones al riesgo y la adecuación y eficacia de los controles en respuesta a los riesgos identificados y, en concreto los relacionados con la fiabilidad e integridad de la información financiera y operativa.

En base a la Matriz de Riesgos del SCIIF, Auditoría Interna elabora un plan plurianual de revisión periódica del SCIIF que es presentado y aprobado por la Comisión de Auditoría y Control con carácter anual.

Este plan plurianual conlleva la realización de revisiones del SCIIF para los procesos y componentes significativos en los estados financieros del Grupo, estableciéndose prioridades de revisión en función de los riesgos identificados. La ejecución de este plan se materializa a través de planificaciones anuales que determinan el alcance de las revisiones anuales del SCIIF. La adecuación de este plan se revalúa cada año tras realizarse la actualización del proceso de identificación y evaluación de riesgos de información financiera.

En particular, son objeto de revisión el diseño y el funcionamiento efectivo de los controles claves transaccionales y de los controles generales sobre las principales aplicaciones informáticas intervinientes en la elaboración de la información financiera, así como una revisión del entorno general de control.

Adicionalmente, esta revisión se complementa con la ejecución y análisis de indicadores clave de riesgos (KRI, key risk indicators) que Auditoría Interna ha definido sobre las áreas de riesgos más críticas y que han sido diseñados para detectar y mitigar la probabilidad de riesgos y errores, incluidos los de naturaleza financiera y fraude. Estos indicadores clave de riesgo se ejecutan a nivel centralizado para las diferentes unidades de negocio y localizaciones geográficas incluidas en el plan de auditoría.

Para el desarrollo de sus actividades, Auditoría Interna utiliza distintas técnicas de auditoría, fundamentalmente entrevistas, revisiones analíticas, pruebas específicas de controles, revisando tanto la eficacia del diseño como el funcionamiento efectivo de los mismos, revisiones de la eficacia de los sistemas informáticos y pruebas sustantivas.

Asimismo, Auditoría Interna realiza determinados procedimientos limitados de revisión analítica de los estados financieros consolidados del primer y tercer trimestre del año sobre la información consolidada.

Los resultados de los trabajos, junto con las medidas correctoras propuestas en su caso, se reportan a la Dirección General de Finanzas y a la Comisión de Auditoría y Control. La implantación de estas medidas es objeto de un posterior seguimiento por parte de Auditoría Interna y de reporte a la Comisión de Auditoría y Control.

II. Procedimiento de discusión entre el auditor de cuentas, la función de auditoría interna y otros expertos para comunicar las debilidades significativas de control interno identificadas y plan de acción.

Auditoría Interna comunica periódicamente a la DGF y a la Comisión de Auditoría y Control las debilidades de control interno identificadas en las revisiones llevadas a cabo, así como el seguimiento de los planes de acción establecidos para su resolución o mitigación.

A su vez, el auditor externo mantiene reuniones periódicas con la Dirección General de Finanzas y Auditoría Interna, tanto para la obtención de información como para comunicar las potenciales debilidades de control que fuesen detectadas, en su caso, en el desarrollo de su actividad.

La Comisión de Auditoría y Control trata en sus reuniones las eventuales debilidades de control que pudieran afectar a los estados financieros, requiriendo, en su caso, a las áreas afectadas la información necesaria, para así evaluar los efectos que pudieran producirse sobre los estados financieros.

El artículo 45.5 del Reglamento del Consejo de Administración dispone que: “El Consejo de Administración procurará formular definitivamente las cuentas de manera tal que no haya lugar a salvedades por parte del auditor. No obstante, cuando el Consejo de Administración considere que debe mantener su criterio, explicará públicamente el contenido y el alcance de la discrepancia.”

Al objeto de cumplir con lo dispuesto en dicho artículo 45.5, en las reuniones mantenidas entre la Comisión de Auditoría y Control y los auditores externos se anticipa cualquier discusión o diferencia de criterio existente. A su vez, el auditor externo informa, en su caso, de los principales aspectos de mejora sobre control interno que haya identificado como consecuencia de su trabajo. Adicionalmente, la Dirección informa sobre el grado de implantación de los correspondientes planes de acción establecidos para corregir o mitigar los aspectos identificados.

Por otra parte, la Comisión de Auditoría y Control se reúne con los auditores de las cuentas individuales y consolidadas a fin de revisar, por un lado, las cuentas anuales del Grupo y, por otro, determinada información financiera periódica semestral que debe suministrar el Consejo de Administración a los mercados y a sus órganos de supervisión, vigilando el cumplimiento de los requerimientos legales y la correcta aplicación en su elaboración de los principios de contabilidad generalmente aceptados.

Durante el ejercicio 2016, Auditoría Interna ha estado presente en las 6 sesiones mantenidas por la Comisión de Auditoría y Control y el auditor externo en un total de cuatro sesiones.

6. Informe del auditor externo

La Dirección del Grupo ha decidido someter a revisión por parte del auditor externo la información relativa al SCIIF del Informe Anual de Gobierno Corporativo correspondiente al ejercicio 2016 elaborada por la Dirección de la Sociedad.

Arteixo (A Coruña), abril de 2017.