74
Los controles y procedimientos de seguridad establecidos sobre
los sistemas de información son de tres tipos: preventivos,
informativos y reactivos, que se traducen en la publicación de
normas, la monitorización de sistemas y la revisión de medidas y
controles implantados.
De este modo, en el Cuerpo Normativo de Seguridad de la
Información se establecen, entre otros aspectos: el mantenimiento
de un control de los sistemas de información, mediante procedi-
mientos de inventariado que permitan identificar los recursos y la
información contenida en los mismos; la verificación de la
identidad de los usuarios que los usan; y la utilización de contrase-
ñas siguiendo los criterios de robustez indicados en el propio
cuerpo normativo, que contribuye entre otros al mantenimiento de
la adecuada segregación de funciones.
A su vez, como desarrollo de las obligaciones establecidas en el
Cuerpo Normativo de Seguridad, se dispone de un Centro de
Control General que monitoriza la actividad en los Sistemas de
Información del Grupo.
Asimismo, la Subdirección General de Seguridad y Medio Ambiente
establece anualmente un Plan de revisiones de seguridad
encaminado a verificar los controles de seguridad implantados
y el descubrimiento de vulnerabilidades en los sistemas de
información.
Tanto la política como las normas y estándares de este Cuerpo
Normativo de Seguridad de la Información se encuentran publica-
dos en el portal interno a fin de facilitar a todos los empleados el
acceso a las mismas.
Además, el Grupo cuenta con una Política, un Marco de Gobierno y
una Metodología de Continuidad del Negocio que definen el marco y
las acciones necesarias para garantizar el correcto funcionamiento
de la operativa ante la materialización de un incidente de alto
impacto, de forma que se reduzca al mínimo el daño producido.
El Área de Auditoría Interna verifica anualmente el adecuado
funcionamiento del Sistema de Control Interno de los principales
Sistemas Informáticos cuyo alcance son los controles generales de
tecnología de la información (TI), el entorno de control de TI, y los
controles de aplicación.
3.3. Políticas y procedimientos de control interno destinado
a supervisar la gestión de las actividades subcontratadas a
terceros, así como de aquellos aspectos de evaluación, cálculo
o valoración encomendados a expertos independientes, que
puedan afectar de modo material a los estados financieros.
Con carácter general, la relación con los proveedores se articula
a través de plataformas web, portales específicos, plataformas
telefónicas propias o concertadas, y líneas telefónicas específicas,
y existen responsables para cada área de negocio que aplican las
normas internas de contratación establecidas.
Todos los servicios subcontratados se materializan mediante
contratos específicos, siendo la supervisión directa de los
proveedores ejercida por las Unidades o Áreas contratantes.
La selección de los proveedores se realiza con criterios objetivos,
en los que se valoran factores como la calidad, el precio, la
infraestructura con la que cuentan, el reconocimiento en el
mercado, así como la pertenencia al colectivo de colaboradores de
alguna de las entidades del Grupo, y su historial en la calidad del
servicio prestado a las mismas.
El cumplimiento de la normativa vigente en los diferentes países,
así como la implantación de medidas de seguridad cuando
procede, son requisitos indispensables para su elección. Otros
factores que se valoran de forma positiva son el tiempo de
respuesta, el servicio postventa, la cobertura geográfica, y el valor
añadido que pueda aportar.
Actualmente, se encuentra en desarrollo por el Área de Recursos y
Medios un plan global de compras y contratación de servicios que
incluye entre ellos aquellos que se identifican con posible impacto
financiero.
Desde el año 2011 se está estableciendo en España un modelo
operativo para homologación y selección de proveedores de
carácter general, utilizando para ello un cuestionario de evaluación
y catalogación de proveedores y se ha diseñado una plataforma
tecnológica para su gestión, no siendo necesaria la obtención de
informes externos sobre los mismos. Además, en otros países
existen procedimientos y criterios específicos de selección y
contratación dependiendo su ámbito de actuación.
La implantación progresiva de dicho Plan para todo el Grupo se
realizará en los próximos ejercicios.
4 Información y comunicación
4.1. Función específica encargada de definir, mantener actua-
lizadas las políticas contables (área o departamento de polí-
ticas contables) y resolver dudas o conflictos derivados de su
interpretación, manteniendo una comunicación fluida con los
responsables de las operaciones en la organización, así como
un manual de políticas contables actualizado y comunicado a
las unidades a través de las que opera la entidad.
La Subdirección General de Coordinación Contable, dependiente
del Área Corporativa Global correspondiente a la Secretaría
General incluye, entre otras, la función de mantener actualizadas
las políticas y normativa contable aplicable que afecta a la
información financiera del Grupo, y la de resolver consultas y
conflictos derivados de la interpretación de las mismas.
Asimismo, mantiene una estrecha y fluida relación con el Área
Financiera del Grupo, con las direcciones financieras de las
distintas Unidades y con las Áreas Corporativas Globales, a quien
comunica los procedimientos y normas contables formalmente
establecidas.
Las filiales del Grupo reciben la comunicación de los procedimien-
tos y normas aplicables a través de las entidades cabeceras de los
Subgrupos, que son las que reciben directamente las instruccio-
nes desde la Subdirección General de Coordinación Contable.
1...,68,69,70,71,72,73,74,75,76,77 79,80,81,82,83,84,85,86,87,88,...257