INFORME ANUAL 2015 DE LA COMISIÓN DE AUDITORÍA DEL CONSEJO DE ADMINISTRACIÓN DE AMADEUS IT HOLDING, S.A. De conformidad con lo establecido en el Reglamento del Consejo de Administración de la sociedad Amadeus IT Holding, S.A., y más concretamente en su artículo 35, la Comisión de Auditoría del Consejo de Administración debe elaborar un informe anual sobre su funcionamiento, destacando las principales incidencias surgidas, si las hubiere, en relación con las funciones que le son propias. Adicionalmente, si así lo estima oportuno, incluirá en dicho informe propuestas para mejorar las reglas de gobierno de la Sociedad. Siguiendo las recomendaciones del Código Unificado de Buen Gobierno y a los efectos de que el Consejo pueda evaluar con carácter periódico el funcionamiento de la Comisión de Auditoría, se hace preceptivo el presente informe anual. La Comisión de Auditoría del Consejo de Administración, en sesión celebrada el día 24 de febrero de 2016, bajo la Presidencia de D. Guillermo de la Dehesa y con la participación de todos sus miembros, ha procedido a aprobar el Informe Anual 2015 de la Comisión de Auditoría, para su traslado al Consejo de Administración de la Sociedad. 1) Competencia y Funciones de la Comisión de Auditoría La Comisión de Auditoría del Consejo de Administración de la Sociedad fue creada el 6 de mayo de 2010 por acuerdo del Consejo de Administración en sesión celebrada en tal fecha. Las funciones atribuidas a dicha Comisión y normas de funcionamiento están recogidas en el Art. 42 de los Estatutos Sociales y desarrolladas en el art. 35 del Reglamento del Consejo de Administración. Tanto los Estatutos Sociales como el Reglamento del Consejo de Administración fueron adaptados a la Ley de Sociedades de Capital (según redacción de la Ley 31/2014, de 3 de diciembre), por acuerdo de la Junta General de Accionistas y del Consejo de Administración celebrados el 25 de junio de 2015, respectivamente. Sin perjuicio de cualesquiera otros cometidos que puedan serle asignados en cada momento por la Ley, los Estatutos o el Consejo de Administración, la Comisión de Auditoría ejercerá las siguientes funciones básicas: a. informar en la Junta General de accionistas sobre las cuestiones que en ella planteen los accionistas en materia de su competencia; b. proponer al Consejo de Administración, para su sometimiento a la Junta General de Accionistas, el nombramiento de los auditores de cuentas externos a que se refiere el artículo 264 de la Ley de Sociedades de Capital, así como sus condiciones de contratación, el alcance de su mandato profesional y, en su caso, su revocación o no renovación; 1
c. velar por la independencia y eficacia de la función de auditoría interna, comprobando la adecuación e integridad de la misma, sirviendo de apoyo a la Comisión de Auditoría en su labor de supervisión del sistema de control interno. d. proponer la selección, designación y sustitución del responsable del servicios de de auditoría interna; proponer el presupuesto de dicho servicio; recibir información periódica sobre sus actividades y verificar que los miembros del Equipo Directivo tienen en cuenta las conclusiones y recomendaciones de sus informes; e. servir de canal de comunicación entre el Consejo de Administración y los auditores, evaluar los resultados de cada auditoría y supervisar las respuestas del equipo de gestión sobre los ajustes propuestos por el auditor externo y mediar en los casos de discrepancias entre aquéllos y éste en relación con los principios y criterios aplicables en la preparación de los estados financieros, así como examinar las circunstancias que, en su caso, hubieran motivado la renuncia del auditor; f. supervisar el proceso de elaboración y la integridad de la información financiera relativa a la Sociedad y su Grupo, revisando el cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables. g. revisar periódicamente los sistemas de control interno y gestión de riesgos, incluidos los fiscales, de la Sociedad y en particular, el correcto diseño del sistema de control interno sobre la información financiera (SCIIF), para que los principales riesgos se identifiquen, gestionen y se den a conocer de forma adecuada. h. Aprobar el plan de auditoría interna para la evaluación del SCIIF y recibir información periódica del resultado de su trabajo, así como del plan de acción para corregir las deficiencias observadas. i. llevar las relaciones con los auditores externos para recibir información sobre aquellas cuestiones que puedan poner en riesgo la independencia de éstos y cualesquiera otras relacionadas con el proceso de desarrollo de la auditoría de cuentas, así como aquellas otras comunicaciones previstas en la legislación de auditoría de cuentas y en las normas técnicas de auditoría; En todo caso, deberán recibir anualmente de los auditores de cuentas o sociedades de auditoría la confirmación escrita de su independencia frente a la entidad o entidades vinculadas a ésta directa o indirectamente, así como la información de los servicios adicionales de cualquier clase prestados a estas entidades por los citados auditores o sociedades, o por las personas o entidades vinculados a éstos de acuerdo con lo dispuesto en la normativa de Auditoría de Cuentas. j. supervisar el cumplimiento del contrato de auditoría, procurando que la opinión sobre las Cuentas Anuales y los contenidos principales del informe de auditoría sean redactados de forma clara y precisa; k. revisar las cuentas de la Sociedad y la información financiera periódica que, de conformidad con los apartados 1 y 2 del artículo 35 de la Ley del Mercado de Valores, deba el Consejo suministrar a los mercados y a sus órganos de supervisión, y en general, vigilar el cumplimiento de los 2
requisitos legales en esta materia y la correcta aplicación de los principios de contabilidad generalmente aceptados, así como informar las propuestas de modificación de principios y criterios contables sugeridos por la dirección. En particular, revisar, analizar y comentar los estados financieros y otra información financiera relevante con la alta dirección, auditores internos y externos, para confirmar que dicha información es fiable, comprensible, relevante y que se han seguido criterios contables consistentes con el cierre anual anterior. l. emitir anualmente, con carácter previo a la emisión del informe de auditoría de cuentas, un informe en el que se expresará una opinión sobre la independencia de los auditores de cuentas o sociedades de auditoría. Este informe deberá pronunciarse, en todo caso, sobre la prestación de los servicios adicionales a que hace referencia el apartado anterior. m. supervisar el cumplimiento de la normativa respecto a las Operaciones Vinculadas. En particular, velará por que se comunique al mercado la información sobre dichas operaciones, en cumplimiento de lo establecido en la Orden 3050/2004, del Ministerio de Economía y Hacienda, de 15 de septiembre de 2004, e informar sobre las transacciones que impliquen o puedan implicar conflictos de interés y, en general, sobre las materias contempladas en el Capítulo IX del Reglamento del Consejo de Administración; n. Establecer y supervisar el mecanismo que permita a los empleados comunicar, de forma confidencial, las irregularidades de naturaleza financiera y contable, que adviertan en el seno de la empresa. Considerar la información que pudiera haberse recibido a través de este canal o de otras vías; y o. cualesquiera otras que le sean atribuidas en virtud de la Ley y demás normativa aplicable a la Sociedad. 2) Composición de la Comisión de Auditoría De conformidad con los Estatutos de la Sociedad y el Reglamento del Consejo de Administración, la Comisión de Auditoría se compone de un mínimo de tres y un máximo de cinco miembros, los cuales han ser en su totalidad Consejeros externos, y dos de ellos, al menos, Consejeros independientes, designando en su seno un Presidente. Los miembros de la Comisión de Auditoría, y de forma especial su Presidente, se designarán teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o gestión de riesgos La composición a 31 de diciembre de 2015 es la siguiente: Consejero Tipología Cargo D. Guillermo de la Dehesa Externo independiente Presidente D. David Webster Externo independiente Vocal Dña. Clara Furse Externo independiente Vocal 3
D. Pierre-Henri Gourgeon Otros externo Vocal D. Marc Verspyck Otros externos Vocal La fecha de nombramiento inicial y respectivos vencimientos de cada uno de los miembros de la Comisión de Auditoría es la siguiente: Nombramiento Vencimiento D. Guillermo de la Dehesa * 6 mayo 2010 1 julio 2016 D. David Webster 6 mayo 2010 1 julio 2016 Dña. Clara Furse 6 mayo 2010 1 julio 2016 D. Pierre-Henri Gourgeon 16 octubre 2014 16 octubre 2016 D. Marc Verspyck 1 julio 2014 1 julio 2016 *D. Guillermo de la Dehesa fue nombrado Presidente el 30 de julio de 2014, por un período de dos años. El Presidente, tendrá un mandato máximo de dos años, pudiendo ser reelegido una vez transcurrido un año desde su cese. 3) Funcionamiento La Comisión de Auditoría se reúne al menos una vez al trimestre, previa convocatoria de su Presidente. A estos efectos, la Secretaría del Consejo elabora una agenda para su aprobación por el Presidente de la Comisión, la cual se envía con la antelación necesaria a la celebración de la sesión a todos los participantes, junto con la documentación relevante para cada uno de los puntos del orden del día. Durante el ejercicio 2015, la Comisión ha mantenido las siguientes sesiones: - 25 febrero 2015-6 mayo 2015-29 julio 2015-5 noviembre 2015 Además de los miembros de la Comisión y con carácter habitual, asisten al desarrollo de las sesiones el Consejero Delegado, D. Luis Maroto, junto con los siguientes miembros del equipo directivo de Amadeus: - Dña. Ana de Pro, Directora Financiera (CFO) - D. Manuel de Alzúa, Director de Auditoría Interna - D. Tomás López Fernebrand, Secretario del Consejo de Administración que hace las veces de Secretario de la Comisión - D. Jacinto Esclapés, Vicesecretario del Consejo - D. Eugene Hamilton, responsable del área de Risk & Compliance 4
Y los Auditores externos, Deloitte, representados por los socios encargados de la auditoría de cuentas de la Sociedad, para presentar la auditoría de las cuentas semestrales y anuales. De las conclusiones obtenidas en cada sesión, se levanta un acta por el Secretario de la Comisión que se incorpora como punto del Orden del Día de la siguiente sesión del Consejo de Administración, en la cual el Presidente de la Comisión informa al Consejo en pleno de los puntos tratados más relevantes y recomendaciones, en su caso. 4) Asuntos tratados por la Comisión de Auditoría durante el ejercicio 2015 Tres secciones recurrentes se incorporan a la agenda de la Comisión a lo largo del año, sin perjuicio de otras que, dependiendo del asunto en cuestión, se incorporan para su discusión, análisis y recomendación, en su caso. Las tres secciones recurrentes son Auditoría Externa (para cuentas anuales y semestrales), Auditoría Interna y Gestión de Riesgo. Bajo el epígrafe Otros asuntos se agrupan además otras materias puntuales o no recurrentes y que resultan de especial interés para la Comisión. En estas áreas, los principales asuntos tratados a lo largo del ejercicio 2015 son los que a continuación se detallan. a) Auditoría externa En este apartado, los auditores de cuentas de la Sociedad informan a la Comisión de Auditoría sobre los aspectos más relevantes del trabajo en curso de la auditoría e información periódica semestral, así como de aquellos aspectos contables de trascendencia, incluyendo la aplicación de los estándares contables, revelando si fuera el caso, la existencia de discrepancias entre la Dirección de la Sociedad y los auditores respecto a algún punto específico. Así, a lo largo del ejercicio 2015, entre otros, se han tratado los siguientes asuntos: Auditoría de cuentas anuales 2014 (procedimientos llevados a cabo y anticipación de la opinión sobre los estados financieros): Principales áreas de discusión o Alcance de los servicios, cobertura, honorarios y reportes emitidos. o Seguimiento de materias relativas a control interno e Informe SCIIF. o Independencia de Auditores. o Resumen de riesgos de auditoría analizados (reconocimiento de ingresos, capitalización de activos intangibles, valoración de derivados, provisiones, pasivos financieros y cumplimiento de condiciones -covenants-, asignación del precio de compra en nuevas adquisiciones, entre otros). o Prácticas contables (políticas contables, cambios en políticas contables o adopción de nuevos estándares contables, estimaciones contables). 5
o Otras áreas: Transacciones con partes vinculadas Discrepancias con el equipo de dirección Dificultades en el desarrollo de la auditoría Conflictos de interés de Consejeros y otras personas vinculadas. De todas las áreas analizadas no se ha desprendido ningún asunto que haya requerido la intervención de la Comisión de Auditoría. o Acontecimientos significativos del ejercicio 2014 Análisis de obsolescencia del Goodwill y activos fijos llevados a cabo por la Sociedad (impairment test). Nuevas adquisiciones y asignación del precio de compra (NMTI, I:FAO y UFIS). Capitalización de activos intangibles Análisis del tratamiento contable de transacciones diversas (cancelación de provisiones, reforma fiscal española, programa de adquisición de acciones propias, programa de emisión de papel comercial y emisión de Bonos, entre otros asuntos). Revisión limitada de los estados financieros consolidados primer semestre 2015 (IAS 34): o Alcance de los servicios y cobertura. o Áreas primer semestre 2015: Políticas contables Nuevas adquisiciones (AirIT e Hiberus-24,88%-) Capitalización de activos intangibles Estrategia de tesorería Test de obsolescencia sobre Unidades Generadoras de Caja Programa de adquisición de acciones propias Emisión de programa de papel comercial Nuevas líneas de financiación (préstamos) o Seguimiento de áreas de años anteriores Cancelación de provisiones Inspecciones fiscales (resolución TEAC 2015) Litigio fiscal en India o Otros asuntos tratados: Independencia de auditores Discrepancias con el equipo de dirección Dificultades en el desarrollo de la revisión limitada Hechos posteriores (acuerdo para la adquisición de Navitaire, sujeto a aprobación regulatoria, y adquisición de Itesso BV). o Nueva Ley de Auditoría: Funciones atribuidas a la Comisión de Auditoría bajo la nueva ley. Retos de la Comisión de Auditoría (supervisión del auditor externo, área financiera, supervisión de la auditoría interna, estructura de control interno, auto evaluación y formación continuada). De todas las áreas analizadas no se ha desprendido ningún asunto que haya requerido la intervención de la Comisión de Auditoría. 6
Como conclusión, no han existido discrepancias entre el auditor externo y el equipo directivo de la Sociedad, no se han producido ajustes significativos y se ha emitido opinión limpia sobre los estados financieros preparados bajo Principios Internacionales de Contabilidad. b) Auditoría Interna Bajo este apartado, el Director de Auditoría Interna reporta a la Comisión de Auditoría las incidencias materiales detectadas en el curso las actuaciones llevadas a cabo bajo el Plan de auditoría anual, así como el estatus sobre el grado de implementación de las recomendaciones realizadas por Auditoría Interna (reporte bianual). Salvo cuando las auditorías se realicen con un alcance específico, el alcance general de las auditorías se refiere a la adecuación y efectividad de los sistemas de control interno. A estos efectos, el Director de Auditoría Interna presentó en 2015 el informe de actividades de Auditoría Interna referido al ejercicio 2014. De conformidad con la legislación vigente, la Comisión de Auditoría es el órgano encargado de supervisar los Sistemas de Control Interno sobre la Información Financiera (SCIIF). Para cumplir con esta función, la Comisión se apoya en la dirección ejecutiva de la Sociedad, así como en los Auditores Externos e Internos. A estos efectos, el Departamento de Auditoría Interna ha auditado la efectividad de los sistemas de control interno al cierre del ejercicio 2014, reportando las correspondientes recomendaciones. No se han detectado debilidades significativas, concluyendo que los controles y procedimientos establecidos aseguran razonablemente la fiabilidad y efectividad de la información pública. Durante el año 2015, el Director de Auditoría Interna presentó a la Comisión, con carácter periódico, el avance del Plan de Auditoría. Los informes de las correspondientes auditorías internas están a disposición de los miembros de la Comisión de Auditoría, quienes pueden requerirlos en cualquier momento. Dentro del alcance de las auditorías internas realizadas no se ha desprendido ninguna consecuencia material que haya requerido la intervención directa de la Comisión de Auditoría. El Director de Auditoría Interna también presentó a la Comisión el Plan de Auditoría para el año 2016 (incluyendo recursos y presupuesto), así como el estado de avance del Plan Estratégico de Auditoría Interna 2015-2017. c) Gestión de Riesgo Es objeto de seguimiento por parte de la Comisión de Auditoría la confección de un mapa de riesgos y su actualización periódica para desarrollar una política de gestión de riesgo y procedimientos (Risk Management Policy & Procedures) que permita su control mediante la medición de su probabilidad e impacto. El mapa de riesgos se corresponde con el presentado a la Comisión de Auditoría en el ejercicio 2014, y se tiene prevista el nuevo para el ejercicio 2016. 7
A estos efectos, el directivo responsable del área de Riesgos (Risk and Compliance Office) asiste a las reuniones de la Comisión para ilustrar sobre este asunto específico. Las principales áreas de revisión periódica por parte de la Comisión son las siguientes: Riesgo: Sobre la base del mapa de riesgos, se distinguen distintas categorías: Riesgos operativos, Riesgo recursos humanos Riesgos estratégicos y de negocio Dentro de cada categoría se especifican los riesgos mayores, el área afectada, el gestor del riesgo y principales contribuyentes a la mitigación del riesgo. Incorpora un plan de reuniones y reportes periódicos con los responsables de la gestión del riesgo para su seguimiento. Seguridad: Bajo este apartado se analizan las principales iniciativas para identificar y mitigar amenazas externas sobre los sistemas. En particular ciberataques y hackers. A estos efectos, el establecimiento de un Centro de Seguridad de Operaciones (SOC) es una de las iniciativas que contribuyen a mitigar estas amenazas. La intervención del CISO (Chief Information Security Officer) contribuye en esta área, estableciendo prioridades. Amadeus tiene implementado un amplio programa de seguridad para cerciorarse que todos los elementos de seguridad física y lógica han sido debidamente contemplados. El programa cubre el ciclo de desarrollo de software, productos y servicios Amadeus, localizaciones geográficas de Amadeus, así como otros elementos tales como gestión de accesos, entrenamiento y aprendizaje. Cumplimiento: Bajo este apartado se hace una revisión periódica del cumplimiento de requisitos regulatorios y de negocio. Así, se informa sobre las auditorías externas llevadas a cabo sobre los sistemas y certificaciones obtenidas. Estas certificaciones permiten establecer el estatus de la Sociedad como proveedor tecnológico que cumple con los estándares internacionales reconocidos, a la vez que contribuye a desarrollar una estructura y metodología que asegura que todos los elementos de la organización cumplen con los requerimientos de seguridad. La última certificación ISO27001 al centro de operaciones de Amadeus es de abril de 2015. Igualmente, está certificada bajo el PCI-DSS (Seguridad para pago con tarjeta) y bajo el SSAE16 (estándar para control de cumplimientos). 8
Adicionalmente, se reporta sobre las sesiones de entrenamiento para los empleados en la implantación de políticas de conducta (antifraude, anti-corrupción, atenciones de clientes, etc.). A lo largo del ejercicio 2015 se han puesto en marcha nuevos programas de entrenamiento para ejecutivos de la organización. Ejercicios de entrenamiento para la gestión de incidentes, liderados por asesores externos, ha sido también objeto de desarrollo en el ejercicio 2015. Reporte IT En este apartado se analizan las iniciativas llevadas a cabo para evitar/minimizar los incidentes operativos del Sistema, bajo el Programa para la mejora de la estabilidad de los servicios SSI-, que cubre, entre otras, las áreas de gestión de incidencias, capacidad de adaptación de la arquitectura e infraestructura de los sistemas, seguimiento y diagnóstico, procesos operativos y definiciones. La Comisión ha vuelto a incidir en su especial interés en esta área y está satisfecha del grado de información y avance obtenido a este respecto. d) Otros asuntos Agrupados bajo este epígrafe, es necesario hacer referencia a los siguientes asuntos tratados por la Comisión de Auditoría a lo largo del ejercicio 2015: 5) Operaciones vinculadas Informe política fiscal 2014. Actualización reforma gobierno corporativo (nueva legislación) Propuesta de nombramiento de auditor externo para el año 2016. Información financiera trimestral 2015. La Sociedad tiene implementadas medidas para contrastar que las operaciones con partes vinculadas se realizan a precio de mercado, sin perjuicio de las distintas interpretaciones que se pudieran dar en las distintas jurisdicciones en que opera el grupo de sociedades. No existen accionistas de referencia vinculados con los que se mantengan relaciones comerciales o de cualquier otra índole. Los anteriores accionistas de referencia Air France, Lufthansa e Iberia con los que se mantiene relaciones comerciales dejaron de ser partes vinculadas, por lo que sus operaciones no son objeto de evaluación por esta Comisión. Respecto a los administradores de la Sociedad, las únicas operaciones vinculadas se refieren a su retribución como administradores, y son evaluadas por la Comisión de Nombramientos y Retribuciones, a la vez que se someten a la aprobación de la Junta General de Accionistas. La política de remuneraciones fue aprobada por la Junta en la sesión celebrada el 25 de junio de 2015, para un período de tres años. Respecto a las operaciones entre entidades del mismo grupo de sociedades, todas ellas se eliminan en el proceso de consolidación, por lo que no tiene impacto en los estados financieros consolidados, y no son objeto de discusión en el seno de la Comisión de Auditoría. No obstante, se encuentran debidamente documentadas sobre la base de una metodología acordada. Con carácter anual, la dirección somete 9
al Consejo de Administración un informe sobre la política fiscal del grupo en el que las operaciones vinculadas forman parte de su contenido, al igual que se detallan en el Informe Anual de Gobierno Corporativo. La dirección de la Sociedad reporta a la Comisión sobre la metodología utilizada para la fijación de los precios de transferencia entre entidades del Grupo, a la vez que hace partícipe a la Comisión de los avances en materia de Acuerdos Previos sobre Precios de Transferencia (APAs), así como Procedimientos amistosos iniciados al amparo de los Convenios de doble imposición. 6) Incidencias y propuestas para mejorar las reglas de gobierno de la Sociedad Como consecuencia de la entrada en vigor de la Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital para la mejora del gobierno corporativo, se ha procedido a revisar los principales documentos corporativos, de los cuales se ha dado traslado al Consejo en pleno: - Estatutos Sociales. - Reglamento de la Junta General de Accionistas - Reglamento del Consejo de Administración Los textos definitivos fueron aprobados por la Junta General de Accionistas celebrada el 25 de junio de 2015 (Estatutos y Reglamento de la Junta) y por el Consejo de Administración en la misma fecha en lo que se refiere al Reglamento del Consejo. Las nuevas recomendaciones del Código de Buen Gobierno están siendo objeto de implementación, sobre todo en aquellas áreas que ahora son competencia de la Comisión de Auditoría. Así, la Comisión de Auditoría dio el visto bueno al documento de Estrategia Fiscal del Grupo, que ha sido aprobada por el Consejo de Administración y que se encuentra en fase de desarrollo. Madrid, 24 de febrero de 2016 ************************** 10