Por su parte, el Departamento de Auditoría Interna realiza funciones encaminadas a
“(...) Revisar la fiabilidad e inte-
gridad de la información financiera y operativa, así como de los medios utilizados para identificar, evaluar, clasificar y
comunicar dicha información. (…)”
, tal y como se establece en el Estatuto del Servicio de Auditoría Interna del Grupo
BME.
3.2 Políticas y procedimientos de control interno sobre los sistemas de información (entre otras, sobre seguridad
de acceso, control de cambios, operación de los mismos, continuidad operativa y segregación de funciones) que
soporten los procesos relevantes de la entidaden relacióna la elaboraciónypublicaciónde la informaciónfinanciera.
Los sistemas de información que soportan los procesos en los que se basa la información financiera están sujetos
a políticas y procedimientos de control interno para garantizar la integridad de la elaboración y publicación de la
información financiera.
En concreto se han establecido políticas en relación a:
Seguridad en el acceso a la información: el acceso a los sistemas de los procesos que soportan la información finan-
ciera del Grupo BME se realiza por medio de identificadores unívocos protegidos por clave en cada uno de los
entornos. Asimismo, la concesión de permisos para poder acceder a los diferentes entornos, aplicaciones u opera-
tivas se realiza atendiendo al tipo de usuario y competencias del mismo. El proceso de gestión de usuarios en estos
sistemas responde a procedimientos formalizados en base a canales formalmente establecidos.
Continuidad operativa y de negocio: el Grupo BME dispone de un completo Plan de Contingencia Tecnológica capaz
de afrontar las situaciones más difíciles para garantizar la continuidad de los servicios informáticos. Se dispone de
un centro alternativo de respaldo donde las copias de seguridad se realizan de forma síncrona y garantiza la dispo-
nibilidad de la información en caso de contingencia. La Sociedad realiza pruebas destinadas a garantizar el correcto
funcionamiento del plan de contingencias establecido.
Segregación de funciones: el desarrollo y explotación de los sistemas de información financiera se realiza por un
amplio conjunto de profesionales con funciones claramente diferenciadas y segregadas. El personal de la unidad de
negocio afectada se responsabiliza de la definición de requerimientos y de las pruebas finales de validación antes de
que cualquier sistema sea puesto en producción. El resto de funciones recae en diferentes perfiles del área tecnológica:
• Los jefes de proyecto realizan los análisis funcionales, la gestión de los proyectos de desarrollo, la gestión evolu-
tiva y operacional y las pruebas de integración.
• Los equipos de desarrollo realizan las funciones de diseño tecnológico, construcción y pruebas, siempre bajo las
metodologías de desarrollo definidas por el Grupo. El acceso a la información para la resolución de incidencias
debe ser autorizado por personal interno, previa solicitud.
Los sistemas de información disponen de un perfilado de usuarios basado en los roles de cada una de las personas
que requieren de acceso a los mismos. La gestión de permisos es llevada a cabo por personal competente en cada
aplicación o entorno, verificando que no se asignan a cada persona permisos incompatibles.
Gestión de cambios: el Grupo BME tiene establecidos mecanismos y políticas que permiten prevenir posibles fallos
en el servicio, causados por la implementación de actualizaciones o cambios en los sistemas informáticos. Existen
comités de cambios y seguimiento que velan por asegurar que se cumple con los procedimientos de gestión de
cambios establecidos y se contemplan las medidas de seguridad destinadas a la mitigación de riesgos. Todos los
cambios en los sistemas son realizados por personal controlado, identificando el cambio y versionando las subidas a
entornos productivos.
Gestión de incidencias: las políticas y procedimientos establecidos en esta materia tienen como objetivo principal la
resolución de las incidencias en el menor tiempo posible. Se dispone de canales de comunicación de incidencias y
herramientas de registro. La eficiencia en la gestión de incidencias se consigue mediante una adecuada priorización
y seguimiento de las mismas en función de su criticidad, la reducción de tiempos de comunicación y, finalmente,
la determinación de los problemas e identificación de propuestas de mejora.
El seguimiento de la evolución de las incidencias así como de los planes de mejoras necesarias se reporta periódica-
mente en los comités implantados y destinados al seguimiento del servicio proporcionados.
3.3. Políticas y procedimientos de control interno destinados a supervisar la gestión de las actividades subcon-
tratadas a terceros, así como de aquellos aspectos de evaluación, cálculo o valoración encomendados a expertos
independientes, que puedan afectar de modo material a los estados financieros.
BME cuenta con un
Procedimiento para la gestión de actividades contratadas
en el que se establece que la nece-
sidad de recibir una prestación de servicios por una empresa externa deberá estar basada en la existencia de una causa
suficiente o de disposiciones legales que justifiquen la necesidad de contratar con una entidad, ajena al Grupo BME,
la prestación de servicios destinados a la consecución de sus objetivos o al cumplimiento de disposiciones legales.
Para proceder a la subcontratación/externalización se tendrán en consideración un mínimo de dos y un máximo de
tres proveedores, siempre que ello sea posible.
En todos los casos, la externalización de actividades y subcontratación de terceros está sustentada en contratos de
prestación de servicios entre el proveedor y la correspondiente sociedad del Grupo BME, donde se indica claramente
el servicio que se presta y los medios que el proveedor va a proporcionar para cumplir dicho servicio. En función de la
naturaleza o valoración de los riesgos que se puedan identificar, el departamento responsable de la subcontratación/
externalización manifestará a los proveedores, la posibilidad de inclusión en el contrato de prestación de servicios de
cláusulas relativas al cumplimiento de aquellas normas del Grupo BME que pudieran resultar de aplicación al personal
de la empresa contratada.
217
Anexo al Informe Anual de Gobierno Corporativo
para dar cumplimiento a lo establecido en la Ley de Economia Sostenible
Informe
Anual 2012
/ BME
6
1...,207,208,209,210,211,212,213,214,215,216 218,219,220,221,222,223,224