Abengoa gestiona sus riesgos a través de un modelo que pretende identificar los riesgos potenciales de un negocio. Este modelo considera 4 áreas fundamentales que se subdividen en 20 categorías de riesgos, que contemplan más de 90 riesgos potenciales de un negocio.
Nuestro modelo contempla las siguientes áreas y categorías de riesgo:
La estructura de gestión de riesgos de Abengoa se fundamenta en dos pilares fundamentales:
a) los Sistemas Comunes de Gestión, que sirven para mitigar los riesgos del negocio.
b) los procedimientos de control interno diseñados conforme a SOX (Sarbanes-Oxley Act), para mitigar los riesgos asociados a la fiabilidad de la información financiera.
Ambos elementos constituyen un sistema integrado que permite una gestión adecuada de los riesgos y controles en todos los niveles de la organización.
Se trata de un sistema vivo que sufre continuas modificaciones para mantenerse alineado con la realidad del negocio.
Adicionalmente existen unos servicios de auditoría interna, que se encargan de velar por el cumplimiento y buen funcionamiento de ambos sistemas.
I) Riesgos de Negocio:
Los procedimientos encaminados a eliminar los riesgos de negocio se instrumentan a través de los llamados “Sistemas Comunes de Gestión” (SCG).
Los Sistemas Comunes de Gestión de Abengoa desarrollan las normas internas de la Sociedad y su método para la evaluación y el control de los riesgos. Representan una cultura común en la gestión de los negocios de Abengoa, pues permiten compartir el conocimiento acumulado y fijan criterios y pautas de actuación.
Los SCG sirven para identificar tanto los riesgos enmarcados en el modelo actual como las actividades de control que los mitigan y mitigan los riesgos propios de la actividad de la Sociedad (riesgos de negocio), en todos los niveles posibles.
Existen 11 normas internas, que a su vez constan de 28 subapartados, que definen como han de gestionarse cada uno de los riesgos potenciales incluidos en el modelo de riesgos de Abengoa.
Los SCG contemplan unos procedimientos específicos que cubren cualquier acción que pueda resultar en un riesgo para la organización, tanto de carácter económico, como no económico. Además, están disponibles para todos los empleados en soporte informático con independencia de su ubicación geográfica y empleo.
Para ello, contienen, entre otros aspectos, una serie de formularios de autorización que deben ser cursados con el fin de obtener la aprobación en cualquier acción que tenga una repercusión económica en la Compañía, así como en acciones asociadas a cualquier otro tipo de riesgo indirecto (imagen, relación con inversores, notas de prensa, sistemas de información, acceso a aplicaciones, etc). Todos los formularios cursados siguen un sistema de aprobaciones en cascada pasando por órganos de aprobación de la sociedad, grupos de negocio, departamentos corporativos, y son aprobados en última instancia por Presidencia.
Asimismo, los SCG recogen anexos específicos con el fin de ayudar a aclarar el modo de actuación en casos concretos. Incluyen aspectos tan variados como modelos de análisis y evaluación de inversiones, hasta reglas de identidad corporativa.
A través de los Sistemas Comunes de Gestión se consigue además:
Los Sistemas cubren toda la organización a tres niveles:
El cumplimiento de lo establecido en los Sistemas Comunes de Gestión es obligatorio para toda la organización, por lo que deben ser conocidos por todos sus miembros. Las excepciones al cumplimiento de dichos sistemas deben ponerse en conocimiento de quien corresponda y deben ser convenientemente autorizadas a través de los correspondientes formularios de autorización.
Además están sometidos a un proceso de actualización permanente que permite incorporar las mejores prácticas en cada uno de sus campos de actuación. Para facilitar su difusión, las sucesivas actualizaciones se comunican de forma inmediata a la organización a través de soporte informático.
Para cada uno de las normas que componen los SCG existen responsables que velan en todo momento por la implementación de los procedimientos que contemplen todas las acciones relevantes en su área, para mitigar todo aquello que pueda derivar en un riesgo económico o no-económicos para Abengoa. Son ellos, los responsables de actualizar los SCG de forma permanente y ponerlos a disposición de toda la organización.
Además, los responsables de cada una de las normas que integran los Sistemas Comunes de Gestión deben verificar y certificar el cumplimiento de dichos procedimientos. La certificación de cada año se emite y se presenta al Comité de Auditoría en el mes de enero del año siguiente.
II) Riesgos relativos a la fiabilidad de la información financiera:
En el año 2004 Abengoa inició un proceso de adecuación de su estructura de control interno sobre la información financiera a los requerimientos exigidos por la Sección 404 de la ley SOX. Dicho proceso de adecuación finalizó en 2007, si bien continúa implementándose en las nuevas adquisiciones de sociedades que se van produciendo cada año.
La ley SOX se promulga en Estados Unidos en 2002 en aras de garantizar la transparencia en la gestión y la veracidad y fiabilidad de la información financiera publicada por las empresas que cotizan en el mercado estadounidense (“SEC registrants”). Esta ley obliga a dichas empresas a someter su sistema de control interno a una auditoría formal por parte de su auditor de cuentas anuales quien, adicionalmente, habrá de emitir una opinión independiente sobre el mismo.
Según instrucciones de la “Securities and Exchange Comisión” (SEC), dicha ley es normativa de obligado cumplimiento para sociedades y grupos cotizados en el mercado norteamericano. De esta forma, y aunque solamente uno de los Grupos de Negocio - Tecnologías de la Información (Telvent) - está obligado al cumplimiento de la ley SOX, Abengoa considera necesario cumplir con estos requerimientos tanto en la filial cotizada en el Nasdaq como en el resto de sociedades, pues con ellos se completa el modelo de control de riesgos que utiliza la compañía.
En Abengoa hemos considerado este requerimiento legal como una oportunidad de mejora y lejos de conformarnos con los preceptos recogidos en la ley, hemos tratado de desarrollar al máximo nuestras estructuras de control interno, los procedimientos de control y los procedimientos de evaluación aplicados.
La iniciativa surge en respuesta a la rápida expansión experimentada por el grupo en los últimos años, y a las expectativas de crecimiento futuro, y con el fin de poder seguir garantizando a los inversores la elaboración de informes financieros precisos, puntuales y completos.
Con el objetivo de cumplir con los requerimientos de la sección 404 de la SOX se ha redefinido la estructura de control interno de Abengoa siguiendo un enfoque “Top-Down” basado en análisis de riesgos.
Dicho análisis de riesgos, comprende la identificación inicial de las áreas de riesgo significativo y la evaluación de los controles que la sociedad tiene sobre las mismas, comenzando por los ejecutados al más alto nivel – controles corporativos y de supervisión -, para bajar posteriormente a los controles operacionales presentes en cada proceso.
En este sentido, se han definido 53 Procesos de Gestión (POC), que se encuentran agrupados en Ciclos Corporativos y Ciclos comunes a los Grupos de Negocio.
Estos procesos tienen identificadas y desarrollan una serie de actividades de control (manuales, automáticas, configurables e inherentes) que garantizan la integridad de la información financiera elaborada por la compañía.
Asimismo, estos controles se encuentran también presentes en las áreas de Cambios, Operaciones y Seguridad de los Sistemas, así como en Segregación de Funciones, que complementan el Sistema de Gestión de Seguridad de la Información, proporcionando un alto nivel de seguridad en las aplicaciones.
Estos procesos y sus más de 550 actividades de control que se han catalogado como relevantes están sometidas a verificación por parte de auditoría interna y externa.
III) Otras herramientas que existen
La compañía dispone de un plan director de Responsabilidad Social Corporativa que implica a todas las áreas y que se implanta en sus cinco grupos de negocio, adaptando la estrategia de RSC a la realidad social de las distintas comunidades donde está presente Abengoa. La responsabilidad social corporativa, entendida como la integración en la estrategia de la compañía de las expectativas de los grupos de interés, el respeto de la ley, y la consistencia con las normas internacionales de actuación, es uno de los pilares de la cultura de Abengoa. La compañía informa a sus grupos de interés del desempeño en los diferentes asuntos de RSC a través de un informe que sigue el estándar del GRI para elaboración de memorias de sostenibilidad. Este informe será verificado externamente como parte del compromiso de la compañía con la transparencia y el rigor.
En 2002 Abengoa firmó el Pacto Mundial de las Naciones Unidas, una iniciativa internacional cuyo objetivo es conseguir un compromiso voluntario de las entidades en responsabilidad social, por medio de la implantación de diez principios basados en derechos humanos, laborales, medioambientales y de lucha contra la corrupción. Y en 2008 la compañía suscribió la iniciativa Caring for Climate, también de las Naciones Unidas. Como consecuencia, Abengoa ha puesto en marcha un sistema de ‘reporting’ de emisiones de gases de efecto invernadero (GEI), que permitirá contabilizar sus emisiones de gases de efecto invernadero, conocer la trazabilidad de todos sus suministros y certificar los productos y servicios que ofrece.
En 2009, se ha desarrollado un sistema de indicadores de sostenibilidad medioambiental, que contribuirá a mejorar la gestión del negocio de la compañía, permitiendo medir y comparar la sostenibilidad de sus actividades, y establecer objetivos de mejora futuros. La combinación de ambas iniciativas sitúa a Abengoa en una posición de liderazgo mundial en gestión de la sostenibilidad.
IV) Riesgos Penales
Tras la entrada en vigor de la Ley Orgánica 5/2010 Abengoa está desarrollado un sistema de gestión de riesgos, control interno y cumplimiento normativo que le permite minimizar los posibles riesgos penales, implementando medidas tendentes a la prevención, detección e investigación.
No
En caso afirmativo, indique las circunstancias que los han motivado y si han funcionado los sistemas de control establecidos.
En caso afirmativo detalle cuáles son sus funciones.
Nombre de la comisión u órgano.
Comité de Auditoría.
Descripción de funciones
Informar al Consejo de cualquier cambio de criterio contable y de los riesgos del balance y de fuera de este.
1. Ver adicional cuarto al final de este documento.
2. Resumen.
Abengoa somete de forma voluntaria desde el año 2007 a evaluación externa sus Sistemas de Control Interno, con la emisión de una opinión de auditoría bajo estándares PCAOB y auditoría de cumplimiento de la sección 404 de la Ley Sarbanes-Oxley (SOX).
Este hecho implica que Abengoa viene cumpliendo con los indicadores de referencia incluidos en el documento de SCIIF de la CNMV con el máximo rigor desde hace cuatro ejercicios.
I) Auditoría Interna
El Comité de Auditoría tiene entre sus funciones la “supervisión de los servicios de auditoría interna” y el “conocimiento del proceso de información financiera y de los sistemas de control interno y de los riesgos correspondientes a la sociedad”.
I. i) La Función de Auditoría Interna en Abengoa
Auditoría Interna nace como función global e independiente, con dependencia del Comité de Auditoria del Consejo de Administración, con el objetivo principal de supervisar los sistemas de control interno y gestión de riesgos relevantes de Abengoa.
II) Auditoría Externa
El auditor de las cuentas anuales individuales y consolidadas de Abengoa, S.A., es PricewaterhouseCoopers, que es, además, el auditor principal del Grupo.
El Comité de Auditoría propuso al Consejo de Administración, para su elevación a la Junta General de Accionistas, el nombramiento de esta firma por su amplio conocimiento del Grupo y su trayectoria, que ha sido valorada muy positivamente por el propio Comité y por la Dirección.
No obstante, una parte significativa del grupo, básicamente la correspondiente al grupo de negocio de Tecnologías de la Información (Telvent), tiene como auditor a Deloitte.
Adicionalmente, otras firmas colaboran en la realización de la auditoría, especialmente en sociedades pequeñas, tanto en España como en el extranjero, sin que su alcance sea significativo en el total del grupo.
El Comité de Auditoría tiene entre sus funciones la de velar por la independencia del auditor externo, proponer su nombramiento o renovación al Consejo de Administración, así como aprobar sus honorarios.
Así, en el ejercicio 2007 la compañía sometió a verificación por primera vez el informe de Responsabilidad Social Corporativa, en el ejercicio 2008 fue el Informe de Emisiones de Gases de Efecto Invernadero y en el 2009 se sometió a verificación externa el Informe de Gobierno Corporativo.
Así en el ejercicio 2010 se han emitido 6 informes por parte de los Auditores Externos, que forman parte integrante del Informe Anual:
III) Control Interno
Los principales objetivos del Comité de Auditoría en materia de Control interno sobre la elaboración de la información financiera son:
Abengoa y sus distintos grupos de negocio gestionan un mecanismo, formalmente establecido desde el ejercicio 2007 de acuerdo con los requerimientos de la Ley Sarbanes-Oxley, de denuncia, al Comité de Auditoría.
Abengoa tiene 2 canales de denuncias.
IV) Gestión de riesgos
Abengoa es consciente de la importancia de gestionar sus Riesgos para realizar una adecuada planificación estratégica y conseguir los objetivos de negocio definidos. Para ello, cuenta con una filosofía configurada por un conjunto de creencias y actitudes compartidas, que caracterizan cómo se contempla el Riesgo en ella, desde el desarrollo e implantación de la estrategia hasta sus actividades cotidianas.
La filosofía de gestión de riesgos se recoge y aplica a través del Sistema de Gestión de Riesgos de Abengoa, completado con la metodología del Modelo Universal de Riesgos.
Abengoa define Riesgo como cualquier evento potencial que pueda impedir que la Compañía alcance sus objetivos de negocio. Abengoa considera que un riesgo surge como pérdida de oportunidades y/o fortalezas así como materialización de una amenaza y/o potenciación de una debilidad.
IV. i) El Modelo Universal de Riesgos
El Modelo Universal de Riesgos de Abengoa está configurado por cuatro categorías, veinte subcategorías y un total de 94 Riesgos principales para el negocio. Cada uno de estos riesgos tiene asociados una serie de indicadores que permiten medir su probabilidad y su impacto y definir el grado de tolerancia hacia los mismos.
Para cada Riesgo, se ha establecido al menos un indicador de probabilidad y un indicador de impacto, pudiendo ser estos indicadores cuantitativos y/o semicuantitativos, al tiempo que dichos indicadores permiten el establecimiento de niveles de tolerancia para su valoración y monitorización posterior.