370 informe de auditoría y Cuentas anuales 2013 modelo de control interno

Transcripción

1 370 informe de auditoría y Cuentas anuales 2013 modelo de control interno

2 informe de auditoría y Cuentas anuales

3

4 modelo de control interno de grupo santander informe de auditoría y Cuentas anuales

5 374 informe de auditoría y Cuentas anuales 2013 modelo de control interno Descripción del modelo de control interno de Grupo Santander El modelo de control interno (en adelante, MCI) de Grupo Santander abarca el conjunto de procesos y procedimientos efectuados por la dirección, y resto de personal de la entidad, diseñados para proveer una seguridad razonable en relación al logro de las metas fijadas por el Grupo, cubriendo los objetivos de control sobre estrategia corporativa, efectividad y eficiencia de las operaciones, confiabilidad de la información financiera y cumplimiento con las leyes y regulaciones aplicables. En este contexto, el MCI de Grupo Santander cumple con todos los requerimientos legales y regulatorios y se ajusta a las directrices establecidas por el Committee of Sponsoring Organizations of the Tradeway Commission (COSO) y en el Framework for Internal Control Systems in Banking Organizations emitido por el Banco Internacional de Pagos de Basilea (BIS). Los principios en los que se basa el modelo de control interno del Grupo son los siguientes: 1. Cultura de control y supervisión de la alta dirección. Se concreta en los aspectos siguientes: El consejo de administración es el responsable último de asegurar que existe y se mantiene actualizado un adecuado y efectivo sistema de control interno. La alta dirección es responsable de establecer una adecuada política de control interno y asegurar su efectividad y monitorización. El consejo de administración y la alta dirección son responsables de transmitir a todos los niveles de la organización la importancia del control interno. Todo el personal de la organización involucrado en los procesos de control interno debe de tener adecuadamente identificadas sus responsabilidades. 2. Identificación y valoración del riesgo. El sistema de control interno del Grupo asegura que todos los riesgos que puedan afectar al logro de los objetivos están adecuadamente identificados, valorados y existe un proceso continuo de valoración de nuevos riesgos. 3. Establecimiento de los controles adecuados y segregación de funciones. Está definida una estructura de control y asignación de responsabilidades y las funciones de control forman parte intrínseca de las actividades de negocio y soporte de la organización, asegurando una adecuada segregación de funciones que garantiza que no existe conflicto de responsabilidades. 4. Información y comunicación. Los procedimientos y sistemas del Grupo aseguran una información y comunicación exacta y comprensible en los ámbitos de información financiera, operacional y de cumplimiento. 5. Monitorización del sistema de control. Además de la revisión continua de las líneas de negocio y operacionales, hay establecida una evaluación periódica de las actividades de control y se reportan a la alta dirección y consejo de administración las conclusiones y los aspectos de especial seguimiento. Uno de los aspectos importantes que tiene establecido el Grupo para conseguir estos objetivos es la adecuada documentación de su MCI. Para ello, mediante una metodología común y homogénea se describen los procesos, se identifican los riesgos, los controles y los responsables de la estructura organizativa y se asegura la inclusión de los controles relevantes que minimizan el impacto de los riesgos inherentes a la actividad. La identificación de los riesgos potenciales que necesariamente deben ser cubiertos por el MCI se realiza a partir del conocimiento y entendimiento que la dirección tiene del negocio y de los procesos operativos, teniéndose en cuenta tanto criterios cuantitativos y de probabilidad de ocurrencia, como criterios cualitativos asociados a la tipología, complejidad o a la propia estructura del negocio. Documentación y mantenimiento actualizado Entre las principales características de la documentación del MCI del Grupo Santander cabe destacar las siguientes: Es un modelo corporativo que involucra a toda la estructura organizativa con relevancia de control, mediante un esquema directo de responsabilidades asignadas de forma individual. La gestión del MCI está descentralizada en las unidades del Grupo. Además, existe un área corporativa que coordina y realiza el seguimiento de todas las unidades del Grupo y facilita criterios y directrices generales para homogenizar y estandarizar procedimientos, pruebas de evaluación, criterios de clasificación y adaptaciones normativas. El modelo documentado es amplio, de forma que se han incluido no sólo las actividades vinculadas a la generación de la información financiera consolidada, principal objetivo del mismo, sino también aquellos otros procedimientos desarrollados en las áreas de negocio y soporte de cada entidad, que sin tener repercusión directa en la contabilidad, sí pueden ocasionar posibles pérdidas o contingencias en caso de incidencias, errores, incumplimientos de normativa y/o fraudes.

6 informe de auditoría y Cuentas anuales Es dinámico, evoluciona adaptándose en cada momento a la realidad del negocio y actividades de soporte del Grupo, identificando claramente los riesgos que afectan a la consecución de los objetivos y los controles que los mitigan. Incorpora descripciones detalladas de las transacciones, los criterios de evaluación del funcionamiento de los controles y las conclusiones de la evaluación de su funcionamiento. Toda la documentación del MCI correspondiente a cada una de las sociedades del Grupo se encuentra recogida en una aplicación informática corporativa. Esta aplicación permite la consulta y actualización de los procesos, riesgos y controles por el propio usuario en tiempo real, así como la revisión por los auditores externos u organismos supervisores. Esta herramienta sirve a su vez como soporte del proceso de evaluación del modelo de control interno, asegurando de forma automática la integridad del mismo. El esquema de documentación y responsabilidades del modelo de control interno del Grupo es el siguiente: Esquema del Modelo de Control Interno del Grupo ÁMBITO GLOBAL Más de 170 sociedades del Grupo (cobertura superior al 97% de masas patrimoniales) Más de controles (documentados y evaluados semestralmente) y procesos Más de indicadores REVISIÓN PERIÓDICA Evaluación del diseño y de la eficacia de los controles dos veces al año Sometido a auditoría modelo de control interno DOCUMENTACIÓN Define una metodología de documentación de procesos, riesgos y controles Define un cuadro de mando homogéneo de indicadores de control que evalúa objetivamente, los principales procesos de las divisiones/áreas del Grupo RESPONSABILIDADES Más de profesionales involucrados evalúan y certifican el MCI Certificación ascendente desde responsables de controles hasta el consejero delegado del Grupo Uno de los aspectos clave en el MCI del Grupo es el mantenimiento actualizado de los descriptivos de los procesos, riesgos y controles y de la identificación de responsables. En este sentido, en el año 2013 la documentación del MCI del Grupo ha evolucionado para recoger los nuevos requisitos regulatorios que han podido afectar a los procedimientos de las entidades y para reflejar los cambios de la organización, tanto los cambios en los negocios y en los procesos operativos como los cambios habidos en la estructura organizativa y societaria del Grupo. La documentación y mantenimiento actualizado del MCI, no solo se realiza en las sociedades de negocio, también es un elemento clave en la identificación, documentación y evaluación de los riesgos y controles asociados a los procesos operativos externalizados en sociedades del propio Grupo. En última instancia, el MCI es examinado por el auditor de cuentas del Grupo, que informa a la comisión de auditoría y cumplimiento y emite su opinión sobre la efectividad de los controles internos sobre la generación de la información financiera contenida en las cuentas anuales consolidadas de Grupo Santander al 31 de diciembre de A su vez, el ámbito corporativo del MCI de Grupo Santander obliga a asegurar permanentemente un adecuado nivel de actualización, coordinación y formación de todos los niveles de la organización implicados en el mismo. Para ello, adicionalmente a la continua renovación de la información contenida en el portal corporativo de control interno, canal de comunicación entre los diversos usuarios del MCI, durante el año 2013 se han continuado desarrollando cursos de formación online y presenciales y se han realizado jornadas corporativas de control interno, con el objetivo de favorecer el intercambio de mejores prácticas y difundir la metodología corporativa, en las que han participado más de 100 responsables corporativos y de distintas entidades del Grupo. Evaluación e integración en la gestión Para verificar el funcionamiento del MCI y concluir sobre la efectividad de los controles, procesos y actividades establecidos, el Grupo cuenta con un proceso de evaluación y certificación que comienza por la evaluación de las actividades de control por sus responsables para, con arreglo a las

7 376 informe de auditoría y Cuentas anuales 2013 modelo de control interno conclusiones de este proceso, llevar a cabo la certificación de subprocesos, procesos y actividades relacionados con la generación de la información financiera, de tal manera que, tras el análisis de todas estas certificaciones, el consejero delegado, el director financiero y el interventor general certifiquen la efectividad del MCI. Durante 2013 se han realizado dos procesos de evaluación en el Grupo, la evaluación de la efectividad de los controles en el primer semestre, con el objetivo de anticipar incidencias que permitan su mejora antes del cierre del ejercicio y la evaluación anual de la efectividad de los controles (aproximadamente en todo el Grupo) y de los procesos (aproximadamente 2.500). Además del proceso de evaluación, el Grupo tiene definido a nivel corporativo un conjunto de más de 500 indicadores de control con el objetivo de sistematizar la valoración y seguimiento del funcionamiento de los controles. Estos indicadores se están midiendo mensualmente en las diferentes entidades del Grupo. Además, con el objetivo de reforzar la integración en la gestión del control interno, durante este año 2013 se ha establecido un reporte ejecutivo de control interno mensual que permite un mayor seguimiento y cercanía a los aspectos relacionados con el control interno por parte de la dirección. Este informe integra la información relevante relacionada con control interno proveniente de la medición mensual de indicadores de control y de las evaluaciones semestrales, de la valoración de los informes y recomendaciones de auditoría interna, de los informes y rating de los supervisores y de los informes y valoraciones de las correspondientes áreas corporativas que tienen responsabilidades de control sobre las respectivas áreas de las distintas unidades del Grupo. El modelo de control interno de Grupo Santander, garantiza que un grupo con una estructura internacional amplia, presente en numerosos mercados y geografías, cuente con mecanismos de control homogéneos, sobre procesos y procedimientos uniformes y con grados de exigibilidad únicos que le permiten la consecución de sus objetivos estratégicos, con efectividad y eficiencia operativa, garantizando la confiabilidad de la información financiera que se genera y dentro del cumplimiento de la leyes y normativas que le son de aplicación.