Nuestro entorno está marcado por la aceleración vertiginosa de la tecnología, la rapidez en los cambios sociales, económicos y políticos y la necesidad de creación de valor.
Para afrontar las amenazas del escenario descrito, pero también para aprovechar las oportunidades que aparecen, Abengoa considera que la Gestión de Riesgos es una actividad y función imprescindible para la toma de decisiones estratégicas y que es necesario disponer de criterios y metodología que permitan el crecimiento del negocio con seguridad.
La estructura de gestión de riesgos de Abengoa se fundamenta en tres pilares fundamentales:
Estos elementos constituyen un sistema integrado que permite una gestión adecuada de los riesgos y controles en todos los niveles de la organización.
Se trata de un sistema vivo que sufre continuas modificaciones para mantenerse alineado con la realidad del negocio.
Nuestros Sistemas Comunes de Gestión representan una cultura común para los distintos negocios de Abengoa. Permiten identificar los riesgos, establecer las coberturas y fijar actividades de control.
Los Sistemas Comunes de Gestión desarrollan la gestión necesaria del negocio y del riesgo en Abengoa, abarca a todas las áreas de actividad e involucran a los distintos niveles de responsabilidad; y contemplan unos procedimientos específicos que cubren cualquier acción que pueda resultar en un riesgo para la organización, tanto de carácter económico, como no económico.
El proceso de Gestión de Riesgos en Abengoa, en lo referente a los “Sistemas Comunes de Gestión”, es un ciclo continuo sustentado en cinco fases clave, como se muestra en el gráfico a continuación:
El cumplimiento de lo establecido en los Sistemas Comunes de Gestión es obligatorio para toda la organización, por lo que deben ser conocidos por todos sus miembros.
Las excepciones al cumplimiento de dichos sistemas deben ser convenientemente autorizadas a través de los correspondientes formularios de autorización. Asimismo, y como medida de énfasis para la involucración de todos los responsables en la gestión de riesgos, cada una de las Normas que integran los Sistemas Comunes de Gestión debe ser verificada y certificada en el cumplimiento de dichos procedimientos. La certificación de cada año se emite y se presenta al Comité de Auditoría en el mes de enero del año siguiente.
Además están sometidos a un proceso de actualización permanente que permite incorporar las mejores prácticas en cada uno de sus campos de actuación.
En el año 2004 Abengoa inició un proceso de adecuación de su estructura de control interno sobre la información financiera a los requerimientos exigidos por la Sección 404 de la ley SOX (“Sarbanes Oxley Act”). Dicho proceso continúa implementándose en las nuevas adquisiciones de sociedades que se producen.
La ley SOX se promulga en Estados Unidos en 2002 en aras de garantizar la transparencia en la gestión y la veracidad y fiabilidad de la información financiera publicada por las empresas que cotizan en el mercado estadounidense (“SEC registrants”). Esta ley obliga a dichas empresas a someter su sistema de control interno a una auditoría formal por parte de su auditor de cuentas anuales quien, adicionalmente, habrá de emitir una opinión independiente sobre el mismo.
Según instrucciones de la “Securities and Exchange Comisión” (SEC), dicha ley es normativa de obligado cumplimiento para sociedades y grupos cotizados en el mercado norteamericano.
En Abengoa hemos considerado este requerimiento legal como una oportunidad de mejora y lejos de conformarnos con los preceptos recogidos en la ley, hemos tratado de desarrollar al máximo nuestras estructuras de control interno, los procedimientos de control y los procedimientos de evaluación aplicados.
Esta iniciativa surge en respuesta a la rápida expansión experimentada por el grupo en los últimos años y a las expectativas de crecimiento futuro, y con el fin de poder seguir garantizando a los inversores la elaboración de informes financieros precisos, puntuales y completos.
Con el objetivo de cumplir con los requerimientos de la sección 404 de la SOX se ha redefinido la estructura de control interno de Abengoa siguiendo un enfoque “Top-Down” que comprende la identificación inicial de las áreas de riesgo significativo y la evaluación de los controles que la sociedad tiene sobre las mismas, comenzando por los ejecutados al más alto nivel – controles corporativos y de supervisión –, para bajar posteriormente a los controles operacionales presentes en cada proceso.
Nuestro sistema de control interno contiene más de 460 actividades de control, de las que 214 están vinculadas a sistemas informáticos.
Durante el año 2011 se ha iniciado la implantación del módulo de SAP GRC Process Control. GRC Process Control proporciona una solución tecnológica que permite la automatización del modelo de control interno y la monitorización de su cumplimiento, facilitando su cumplimiento e incrementando la seguridad en las operaciones para la Compañía.
Los beneficios derivados de la implantación de GRC Process Control radican en la automatización y la monitorización del cumplimiento del control interno, y en la integración del control interno en los procesos de negocio.
Durante el ejercicio 2011 se ha culminado la implantación del Modelo Universal de Riesgos de Abengoa, metodología que cuantifica los riesgos que integran el Sistema de Gestión de Riesgos.
El Modelo Universal de Riesgos de Abengoa está configurado por cuatro categorías, veinte subcategorías y un total de 86 Riesgos principales para el negocio. Cada uno de estos riesgos tiene asociados una serie de indicadores que permiten medir su probabilidad y su impacto y definir el grado de tolerancia hacia los mismos que permite su valoración y monitorización posterior.
A continuación se presenta el esquema del funcionamiento del Modelo Universal de Riesgos de Abengoa, cuya revisión periódica y actualización es una responsabilidad conjunta de los departamentos de Auditoría Interna, de los Responsables de cada Área y de la Gerencia de Riesgos tanto Corporativa como de los diversos Grupos de Negocio:
Derivado de la asignación de indicadores de probabilidad e impacto a todos los riesgos que componen el Modelo Universal de Riesgos de Abengoa los riesgos son calificados en 4 tipologías (menor, tolerable, severo y crítico) cada una de ellas con una.
Finalmente, durante el ejercicio 2011 se ha culminado la implantación de Archer eGRC, solución tecnológica que permite automatizar el proceso de identificación, evaluación, respuesta, monitorización y reporte de los riesgos que componen el Modelo Universal de Riesgos para mantener todas las actividades y sectores en que opera Abengoa.