Sistema de Control de Riesgos

D - Sistema de Control de Riesgos


D.1 Descripción general de la política de riesgos de la sociedad y/o su grupo, detallando y evaluando los riesgos cubiertos por el sistema, junto con la justificación de la adecuación de dichos sistemas al perfil de cada tipo de riesgo.


Abengoa gestiona sus riesgos a través de un modelo que pretende identificar los riesgos potenciales de un negocio. Este modelo considera 4 áreas fundamentales que se subdividen en 20 categorías de riesgos, que contemplan más de 90 riesgos potenciales de un negocio.


Nuestro modelo contempla las siguientes áreas y categorías de riesgo:

  • Riesgos Estratégicos: gobierno corporativo, proyectos estratégicos y de I+D+i, fusiones, adquisiciones y desinversiones, planificación y asignación de recursos, dinámicas de mercado, comunicación y relación con inversores
  • Riesgos Operacionales: recursos humanos, tecnologías de la información, activos físicos, ventas, cadena de suministros, amenazas o catástrofes.
  • Riesgos Financieros: liquidez y crédito, mercados, fiscalidad, estructura de capital, fiscalidad, contabilidad y reporting.
  • Riesgos Normativos: regulación, legislación y códigos de ética y de conducta.


La estructura de gestión de riesgos de Abengoa se fundamenta en dos pilares fundamentales:


a) los Sistemas Comunes de Gestión, que sirven para mitigar los riesgos del negocio.


b) los procedimientos de control interno diseñados conforme a SOX (Sarbanes-Oxley Act), para mitigar los riesgos asociados a la fiabilidad de la información financiera.
Ambos elementos constituyen un sistema integrado que permite una gestión adecuada de los riesgos y controles en todos los niveles de la organización.


Se trata de un sistema vivo que sufre continuas modificaciones para mantenerse alineado con la realidad del negocio.


Adicionalmente existen unos servicios de auditoría interna, que se encargan de velar por el cumplimiento y buen funcionamiento de ambos sistemas.


I) Riesgos de Negocio:


Los procedimientos encaminados a eliminar los riesgos de negocio se instrumentan a través de los llamados “Sistemas Comunes de Gestión” (SCG).


Los Sistemas Comunes de Gestión de Abengoa desarrollan las normas internas de la Sociedad y su método para la evaluación y el control de los riesgos. Representan una cultura común en la gestión de los negocios de Abengoa, pues permiten compartir el conocimiento acumulado y fijan criterios y pautas de actuación.


Los SCG sirven para identificar tanto los riesgos enmarcados en el modelo actual como las actividades de control que los mitigan y mitigan los riesgos propios de la actividad de la Sociedad (riesgos de negocio), en todos los niveles posibles.


Existen 11 normas internas, que a su vez constan de 28 subapartados, que definen como han de gestionarse cada uno de los riesgos potenciales incluidos en el modelo de riesgos de Abengoa.


Los SCG contemplan unos procedimientos específicos que cubren cualquier acción que pueda resultar en un riesgo para la organización, tanto de carácter económico, como no económico. Además, están disponibles para todos los empleados en soporte informático con independencia de su ubicación geográfica y empleo.


Para ello, contienen, entre otros aspectos, una serie de formularios de autorización que deben ser cursados con el fin de obtener la aprobación en cualquier acción que tenga una repercusión económica en la Compañía, así como en acciones asociadas a cualquier otro tipo de riesgo indirecto (imagen, relación con inversores, notas de prensa, sistemas de información, acceso a aplicaciones, etc). Todos los formularios cursados siguen un sistema de aprobaciones en cascada pasando por órganos de aprobación de la sociedad, grupos de negocio, departamentos corporativos, y son aprobados en última instancia por Presidencia.


Asimismo, los SCG recogen anexos específicos con el fin de ayudar a aclarar el modo de actuación en casos concretos. Incluyen aspectos tan variados como modelos de análisis y evaluación de inversiones, hasta reglas de identidad corporativa.

A través de los Sistemas Comunes de Gestión se consigue además:

  • Optimizar la gestión diaria, aplicando procedimientos tendentes a la eficiencia financiera, la reducción de gastos, la homogeneización y compatibilidad de sistemas de información y gestión.
  • Fomentar la sinergia y creación de valor de los distintos Grupos de Negocio de Abengoa.
  • Reforzar la identidad corporativa, respetando los valores compartidos por todas las sociedades de Abengoa.
  • Alcanzar el crecimiento a través del desarrollo estratégico buscando la innovación y nuevas oportunidades a medio y largo plazo.


Los Sistemas cubren toda la organización a tres niveles:

  • Todos los Grupos de Negocio y áreas de actividad.
  • Todos los niveles de responsabilidad.
  • Todos los tipos de operaciones.


El cumplimiento de lo establecido en los Sistemas Comunes de Gestión es obligatorio para toda la organización, por lo que deben ser conocidos por todos sus miembros. Las excepciones al cumplimiento de dichos sistemas deben ponerse en conocimiento de quien corresponda y deben ser convenientemente autorizadas a través de los correspondientes formularios de autorización.


Además están sometidos a un proceso de actualización permanente que permite incorporar las mejores prácticas en cada uno de sus campos de actuación. Para facilitar su difusión, las sucesivas actualizaciones se comunican de forma inmediata a la organización a través de soporte informático.


Para cada uno de las normas que componen los SCG existen responsables que velan en todo momento por la implementación de los procedimientos que contemplen todas las acciones relevantes en su área, para mitigar todo aquello que pueda derivar en un riesgo económico o no-económicos para Abengoa. Son ellos, los responsables de actualizar los SCG de forma permanente y ponerlos a disposición de toda la organización.


Además, los responsables de cada una de las normas que integran los Sistemas Comunes de Gestión deben verificar y certificar el cumplimiento de dichos procedimientos. La certificación de cada año se emite y se presenta al Comité de Auditoría en el mes de enero del año siguiente.


II) Riesgos relativos a la fiabilidad de la información financiera:


En el año 2004 Abengoa inició un proceso de adecuación de su estructura de control interno sobre la información financiera a los requerimientos exigidos por la Sección 404 de la ley SOX. Dicho proceso de adecuación finalizó en 2007, si bien continúa implementándose en las nuevas adquisiciones de sociedades que se van produciendo cada año.


La ley SOX se promulga en Estados Unidos en 2002 en aras de garantizar la transparencia en la gestión y la veracidad y fiabilidad de la información financiera publicada por las empresas que cotizan en el mercado estadounidense (“SEC registrants”). Esta ley obliga a dichas empresas a someter su sistema de control interno a una auditoría formal por parte de su auditor de cuentas anuales quien, adicionalmente, habrá de emitir una opinión independiente sobre el mismo.


Según instrucciones de la “Securities and Exchange Comisión” (SEC), dicha ley es normativa de obligado cumplimiento para sociedades y grupos cotizados en el mercado norteamericano. De esta forma, y aunque solamente uno de los Grupos de Negocio - Tecnologías de la Información (Telvent) - está obligado al cumplimiento de la ley SOX, Abengoa considera necesario cumplir con estos requerimientos tanto en la filial cotizada en el Nasdaq como en el resto de sociedades, pues con ellos se completa el modelo de control de riesgos que utiliza la compañía.


En Abengoa hemos considerado este requerimiento legal como una oportunidad de mejora y lejos de conformarnos con los preceptos recogidos en la ley, hemos tratado de desarrollar al máximo nuestras estructuras de control interno, los procedimientos de control y los procedimientos de evaluación aplicados.


La iniciativa surge en respuesta a la rápida expansión experimentada por el grupo en los últimos años, y a las expectativas de crecimiento futuro, y con el fin de poder seguir garantizando a los inversores la elaboración de informes financieros precisos, puntuales y completos.


Con el objetivo de cumplir con los requerimientos de la sección 404 de la SOX se ha redefinido la estructura de control interno de Abengoa siguiendo un enfoque “Top-Down” basado en análisis de riesgos.


Dicho análisis de riesgos, comprende la identificación inicial de las áreas de riesgo significativo y la evaluación de los controles que la sociedad tiene sobre las mismas, comenzando por los ejecutados al más alto nivel – controles corporativos y de supervisión -, para bajar posteriormente a los controles operacionales presentes en cada proceso.


En este sentido, se han definido 53 Procesos de Gestión (POC), que se encuentran agrupados en Ciclos Corporativos y Ciclos comunes a los Grupos de Negocio.
Estos procesos tienen identificadas y desarrollan una serie de actividades de control (manuales, automáticas, configurables e inherentes) que garantizan la integridad de la información financiera elaborada por la compañía.


Asimismo, estos controles se encuentran también presentes en las áreas de Cambios, Operaciones y Seguridad de los Sistemas, así como en Segregación de Funciones, que complementan el Sistema de Gestión de Seguridad de la Información, proporcionando un alto nivel de seguridad en las aplicaciones.


Estos procesos y sus más de 550 actividades de control que se han catalogado como relevantes están sometidas a verificación por parte de auditoría interna y externa.


III) Otras herramientas que existen


La compañía dispone de un plan director de Responsabilidad Social Corporativa que implica a todas las áreas y que se implanta en sus cinco grupos de negocio, adaptando la estrategia de RSC a la realidad social de las distintas comunidades donde está presente Abengoa. La responsabilidad social corporativa, entendida como la integración en la estrategia de la compañía de las expectativas de los grupos de interés, el respeto de la ley, y la consistencia con las normas internacionales de actuación, es uno de los pilares de la cultura de Abengoa. La compañía informa a sus grupos de interés del desempeño en los diferentes asuntos de RSC a través de un informe que sigue el estándar del GRI para elaboración de memorias de sostenibilidad. Este informe será verificado externamente como parte del compromiso de la compañía con la transparencia y el rigor.


En 2002 Abengoa firmó el Pacto Mundial de las Naciones Unidas, una iniciativa internacional cuyo objetivo es conseguir un compromiso voluntario de las entidades en responsabilidad social, por medio de la implantación de diez principios basados en derechos humanos, laborales, medioambientales y de lucha contra la corrupción. Y en 2008 la compañía suscribió la iniciativa Caring for Climate, también de las Naciones Unidas. Como consecuencia, Abengoa ha puesto en marcha un sistema de ‘reporting’ de emisiones de gases de efecto invernadero (GEI), que permitirá contabilizar sus emisiones de gases de efecto invernadero, conocer la trazabilidad de todos sus suministros y certificar los productos y servicios que ofrece.

En 2009, se ha desarrollado un sistema de indicadores de sostenibilidad medioambiental, que contribuirá a mejorar la gestión del negocio de la compañía, permitiendo medir y comparar la sostenibilidad de sus actividades, y establecer objetivos de mejora futuros. La combinación de ambas iniciativas sitúa a Abengoa en una posición de liderazgo mundial en gestión de la sostenibilidad.


IV) Riesgos Penales


Tras la entrada en vigor de la Ley Orgánica 5/2010 Abengoa está desarrollado un sistema de gestión de riesgos, control interno y cumplimiento normativo que le permite minimizar los posibles riesgos penales, implementando medidas tendentes a la prevención, detección e investigación.


D.2 Indique si se han materializado durante el ejercicio, alguno de los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales, reputacionales, fiscales...) que afectan a la sociedad y/o su grupo.


No


En caso afirmativo, indique las circunstancias que los han motivado y si han funcionado los sistemas de control establecidos.

D.3 Indique si existe alguna comisión u otro órgano de gobierno encargado de establecer y supervisar estos dispositivos de control.


En caso afirmativo detalle cuáles son sus funciones.


Nombre de la comisión u órgano.


Comité de Auditoría.


Descripción de funciones


Informar al Consejo de cualquier cambio de criterio contable y de los riesgos del balance y de fuera de este.


D.4 Identificación y descripción de los procesos de cumplimiento de las distintas regulaciones que afectan a su sociedad y/o a su grupo.
 

1. Ver adicional cuarto al final de este documento.


2. Resumen.


Abengoa somete de forma voluntaria desde el año 2007 a evaluación externa sus Sistemas de Control Interno, con la emisión de una opinión de auditoría bajo estándares PCAOB y auditoría de cumplimiento de la sección 404 de la Ley Sarbanes-Oxley (SOX).


Este hecho implica que Abengoa viene cumpliendo con los indicadores de referencia incluidos en el documento de SCIIF de la CNMV con el máximo rigor desde hace cuatro ejercicios.

I) Auditoría Interna

El Comité de Auditoría tiene entre sus funciones la “supervisión de los servicios de auditoría interna” y el “conocimiento del proceso de información financiera y de los sistemas de control interno y de los riesgos correspondientes a la sociedad”.


I. i) La Función de Auditoría Interna en Abengoa


Auditoría Interna nace como función global e independiente, con dependencia del Comité de Auditoria del Consejo de Administración, con el objetivo principal de supervisar los sistemas de control interno y gestión de riesgos relevantes de Abengoa.


II) Auditoría Externa


El auditor de las cuentas anuales individuales y consolidadas de Abengoa, S.A., es PricewaterhouseCoopers, que es, además, el auditor principal del Grupo.


El Comité de Auditoría propuso al Consejo de Administración, para su elevación a la Junta General de Accionistas, el nombramiento de esta firma por su amplio conocimiento del Grupo y su trayectoria, que ha sido valorada muy positivamente por el propio Comité y por la Dirección.


No obstante, una parte significativa del grupo, básicamente la correspondiente al grupo de negocio de Tecnologías de la Información (Telvent), tiene como auditor a Deloitte.
Adicionalmente, otras firmas colaboran en la realización de la auditoría, especialmente en sociedades pequeñas, tanto en España como en el extranjero, sin que su alcance sea significativo en el total del grupo.


El Comité de Auditoría tiene entre sus funciones la de velar por la independencia del auditor externo, proponer su nombramiento o renovación al Consejo de Administración, así como aprobar sus honorarios.


Así, en el ejercicio 2007 la compañía sometió a verificación por primera vez el informe de Responsabilidad Social Corporativa, en el ejercicio 2008 fue el Informe de Emisiones de Gases de Efecto Invernadero y en el 2009 se sometió a verificación externa el Informe de Gobierno Corporativo.


Así en el ejercicio 2010 se han emitido 6 informes por parte de los Auditores Externos, que forman parte integrante del Informe Anual:

  • Informe de auditoría de las cuentas consolidadas del Grupo, conforme exige la normativa vigente.
  • Informe de auditoría voluntario, sobre cumplimiento de control interno bajo estándares PCAOB (Public Company Accounting Oversight Board), conforme a los requerimientos de la sección 404 de la ley Sarbanes-Oxley (SOX).
  • Informe voluntario de verificación de aseguramiento razonable del Informe de Gobierno Corporativo, siendo la primera compañía cotizada española en obtener un informe de este tipo.
  • Informe voluntario de verificación de aseguramiento razonable del Informe de Responsabilidad Social Corporativa.
  • Informe voluntario de verificación del Inventario de emisiones de Gases de Efecto Invernadero (GEI).
  • Informe voluntario de verificación del diseño del Sistema de Gestión de Riesgos conforme a las especificaciones de la ISO 31000.

III) Control Interno

Los principales objetivos del Comité de Auditoría en materia de Control interno sobre la elaboración de la información financiera son:

  • Determinar los riesgos de un posible error material de la información financiera provocado por fraude o a factores de riesgo de un posible fraude.
  • Análisis de los procedimientos para evaluar la eficacia del control interno referente a la información financiera.
  • Capacidad de los controles internos sobre los procesos que afectan a Abengoa y sus Grupos de Negocio.
  • Identificar las deficiencias y debilidades materiales en el control interno referente a la información financiera y la capacidad de respuesta.
  • Supervisar y coordinar las modificaciones significativas efectuadas sobre los controles internos vinculados a la información financiera trimestral.
  • Desarrollo de los procesos trimestrales de cierre de los estados financieros y diferencias identificadas con respecto a los procesos desarrollados en el cierre del ejercicio.
  • Establecimiento de planes y seguimiento de las acciones implantadas para corregir las debilidades identificadas en las auditorías.
  • Medidas para identificar y corregir posibles debilidades de control interno referentes a la información financiera.


Abengoa y sus distintos grupos de negocio gestionan un mecanismo, formalmente establecido desde el ejercicio 2007 de acuerdo con los requerimientos de la Ley Sarbanes-Oxley, de denuncia, al Comité de Auditoría.


Abengoa tiene 2 canales de denuncias.

  • Un canal interno, que está a disposición de todos los empleados para que puedan comunicar cualquier supuesta irregularidad en materia de contabilidad, auditoría o incumplimientos del Código de Conducta de Abengoa. La vía de comunicación es a través de correo electrónico o correo ordinario.
  • Y un canal externo que está a disposición de cualquier tercero ajeno a la Compañía para que pueda comunicar supuestas irregularidades o actos fraudulentos o contrarios al código de conducta de Abengoa a través de la página web (www.abengoa.com).


IV) Gestión de riesgos


Abengoa es consciente de la importancia de gestionar sus Riesgos para realizar una adecuada planificación estratégica y conseguir los objetivos de negocio definidos. Para ello, cuenta con una filosofía configurada por un conjunto de creencias y actitudes compartidas, que caracterizan cómo se contempla el Riesgo en ella, desde el desarrollo e implantación de la estrategia hasta sus actividades cotidianas.

La filosofía de gestión de riesgos se recoge y aplica a través del Sistema de Gestión de Riesgos de Abengoa, completado con la metodología del Modelo Universal de Riesgos.


Abengoa define Riesgo como cualquier evento potencial que pueda impedir que la Compañía alcance sus objetivos de negocio. Abengoa considera que un riesgo surge como pérdida de oportunidades y/o fortalezas así como materialización de una amenaza y/o potenciación de una debilidad.


IV. i) El Modelo Universal de Riesgos


El Modelo Universal de Riesgos de Abengoa está configurado por cuatro categorías, veinte subcategorías y un total de 94 Riesgos principales para el negocio. Cada uno de estos riesgos tiene asociados una serie de indicadores que permiten medir su probabilidad y su impacto y definir el grado de tolerancia hacia los mismos.


Para cada Riesgo, se ha establecido al menos un indicador de probabilidad y un indicador de impacto, pudiendo ser estos indicadores cuantitativos y/o semicuantitativos, al tiempo que dichos indicadores permiten el establecimiento de niveles de tolerancia para su valoración y monitorización posterior.