En un grupo como Abengoa, formado por más de 620 sociedades, con presencia en más de 70 países y más de 24 000 empleados, es imprescindible definir un sistema común de gestión de riesgos del negocio que permita trabajar de forma eficaz, coordinada y coherente.

Abengoa gestiona sus riesgos a través del siguiente modelo que pretende identificar los riesgos potenciales de un negocio:

hgj

Nuestro modelo de Gestión de Riesgos se compone de dos elementos fundamentales:

ykuoli

Ambos elementos constituyen un sistema integrado que permite una gestión adecuada de los riesgos y controles en todos los niveles de la organización.

Se trata de un sistema vivo que sufre continuas modificaciones para mantenerse alineado con la realidad del negocio.

Riesgos de Negocio

Los procedimientos encaminados a eliminar los riesgos de negocio se instrumentan a través de los llamados “Sistemas Comunes de Gestión” (SCG).

Los SCG sirven para identificar tanto los riesgos enmarcados en el modelo actual como las actividades de control que los mitigan. Desarrollan, por tanto, las normas internas de actuación y representan una cultura común en la gestión de los negocios de Abengoa.

Existen once normas internas, que a su vez constan de 28 subapartados, que definen como han de gestionarse cada uno de los riesgos potenciales incluídos en el modelo de riesgos de Abengoa.

Los SCG contemplan unos procedimientos específicos que cubren cualquier acción que pueda resultar en un riesgo para la organización, tanto de carácter económico, como no económico. Además, están disponibles para todos los empleados en soporte informático con independencia de su ubicación geográfica y empleo.

Para ello, contienen, entre otros aspectos, una serie de formularios de autorización que deben ser cursados con el fin de obtener la aprobación en cualquier acción que tenga una repercusión económica en la Compañía, así como en acciones asociadas a cualquier otro tipo de riesgo indirecto (imagen, relación con inversores, notas de prensa, sistemas de información, acceso a aplicaciones, etc). Todos los formularios cursados siguen un sistema de aprobaciones en cascada pasando por órganos de aprobación de la sociedad, grupos de negocio, departamentos corporativos, y son aprobados en última instancia por Presidencia.

Asimismo, los SCG recogen anexos específicos con el fin de ayudar a aclarar el modo de actuación en casos concretos. Incluyen aspectos tan variados como modelos de análisis y evaluación de inversiones, hasta reglas de identidad corporativa.

A través de los Sistemas Comunes de Gestión consigue además:

  • Optimizar la gestión diaria, aplicando procedimientos tendentes a la eficiencia financiera, la reducción de gastos, la homogeneización y compatibilidad de sistemas de información y gestión.
  • Fomentar la sinergia y creación de valor de los distintos Grupos de Negocio de Abengoa.
  • Reforzar la identidad corporativa, respetando los valores compartidos por todas las sociedades de Abengoa.
  • Alcanzar el crecimiento a través del desarrollo estratégico buscando la innovación y nuevas oportunidades a medio y largo plazo.

Los Sistemas cubren toda la organización a tres niveles:

  • Todos los grupos de negocio y áreas de actividad
  • Todos los niveles de responsabilidad
  • Todos los tipos de operaciones

El cumplimiento de lo establecido en los Sistemas Comunes de Gestión es obligatorio para toda la organización, por lo que deben ser conocidos por todos sus miembros. Las excepciones al cumplimiento de dichos sistemas deben ponerse en conocimiento de quien corresponda y deben ser convenientemente autorizadas a través de los correspondientes formularios de autorización.

wewewe

Los Sistemas Comunes de Gestión (SCG) están sometidos a un proceso de actualización permanente que permite incorporar las mejores prácticas en cada uno de sus campos de actuación. Para facilitar su difusión, las sucesivas actualizaciones se comunican de forma inmediata a la organización a través de soporte informático.

Los SCG mitigan los riesgos propios de la actividad de la Sociedad en todos los niveles posibles.

Para cada una de las normas que componen los SCG existen responsables que velan en todo momento por la implementación de los procedimientos que contemplan todas las acciones relevantes en su área, para mitigar todo aquello que pueda derivar en un riesgo económico o no-económicos para Abengoa. Son ellos, los responsables de actualizar los SCG de forma permanente y ponerlos a disposición de toda la organización.

Además los responsables de cada una de las normas que integran los Sistemas Comunes de Gestión deben verificar y certificar el cumplimiento de dichos procedimientos. La certificación de cada año se emite y se presenta al Comité de Auditoría en el mes de enero del año siguiente.

Relativos a la Fiabilidad de la Información Finaciera

En el año 2004 Abengoa inició un proceso de adecuación de su estructura de control interno sobre la información financiera a los requerimientos exigidos por la Sección 404 de la ley SOX. Dicho proceso de adecuación finalizó en 2007, si bien continúa implementándose en las nuevas adquisiciones de sociedades que se van produciendo cada año.

La ley SOX se promulga en Estados Unidos en 2002 en aras de garantizar la transparencia en la gestión y la veracidad y fiabilidad de la información financiera publicada por las empresas que cotizan en el mercado estadounidense (“SEC registrants”). Esta ley obliga a dichas empresas a someter su sistema de control interno a una auditoría formal por parte de su auditor de cuentas anuales quien, adicionalmente, habrá de emitir una opinión independiente sobre el mismo.

Según instrucciones de la “Securities and Exchange Commission” (SEC), dicha ley es normativa de obligado cumplimiento para sociedades y grupos cotizados en el mercado norteamericano. De esta forma, y aunque solamente uno de los Grupos de Negocio - Tecnologías de la Información (Telvent) - está obligado al cumplimiento de la ley SOX, Abengoa considera necesario cumplir con estos requerimientos tanto en la filial cotizada en el Nasdaq como en el resto de sociedades, pues con ellos se completa el modelo de control de riesgos que utiliza la compañía.

En Abengoa hemos considerado este requerimiento legal como una oportunidad de mejora y lejos de conformarnos con los preceptos recogidos en la ley, hemos tratado de desarrollar al máximo nuestras estructuras de control interno, los procedimientos de control y los procedimientos de evaluación aplicados.

La iniciativa surge en respuesta a la rápida expansión experimentada por el grupo en los últimos años, y a las expectativas de crecimiento futuro, y con el fin de poder seguir garantizando a los inversores la elaboración de informes financieros precisos, puntuales y completos.

Con el objetivo de cumplir con los requerimientos de la sección 404 de la SOX se ha redefinido la estructura de control interno de Abengoa siguiendo un enfoque “Top-Down” basado en análisis de riesgos.

Dicho análisis de riesgos, comprende la identificación inicial de las áreas de riesgo significativo y la evaluación de los controles que la sociedad tiene sobre las mismas, comenzando por los ejecutados al más alto nivel – controles corporativos y de supervisión-, para bajar posteriormente a los controles operacionales presentes en cada proceso.

Nuestro enfoque es el siguiente:

fghftg

Nuestro trabajo comprende los siguientes aspectos:

gjghjkh

En este sentido, se han definido 53 Procesos de Gestión (POC), que se encuentran agrupados en Ciclos Corporativos y Ciclos comunes a los Grupos de Negocio.

gjghjkk

Estos procesos tienen identificadas y desarrollan una serie de actividades de control (manuales, automáticas, configurables e inherentes) que garantizan la integridad de la información financiera elaborada por la compañía.

Asimismo, estos controles se encuentran también presentes en las áreas de Cambios, Operaciones y Seguridad de los Sistemas, así como en Segregación de Funciones, que complementan el Sistema de Gestión de Seguridad de la Información, proporcionando un alto nivel de seguridad en las aplicaciones.

Estos procesos y sus más de 450 actividades de control que se han catalogado como relevantes están sometidas a verificación por parte de auditoría interna y externa.

Modelo de Control Interno

En Abengoa, se entiende que un sistema de control interno adecuado, ha de asegurar que toda la información financiera relevante sea fiable y conocida por la Dirección. De esta forma se considera que el modelo desarrollado y adecuado a SOX complementa y completa los Sistemas Comunes de Gestión, cuyo objetivo principal es el control y la mitigación de los riesgos de negocio.

fhfgjjjj

Se ha tomado como marco conceptual de referencia el modelo COSO, por ser el que más se aproxima al enfoque requerido por SOX, que también ha sido presentado al Comité de Auditoría. En este modelo, el control interno se define como el proceso realizado al objeto de proporcionar un grado de seguridad razonable para la consecución de unos objetivos tales como el cumplimiento de las leyes y normas, fiabilidad de la información financiera y la eficacia y eficiencia de las operaciones.

ghyghjj
Supervisión y Control del Modelo de Gestión del Riesgo

La supervisión y control del modelo de gestión del riesgo de Abengoa se estructura en torno a los Servicios Mancomunados de Auditoría. Estos agrupan los equipos de auditoria de las sociedades, grupos de negocio y servicios corporativos, que actúan de forma coordinada y dependen del Comité de Auditoría del Consejo de Administración.

Objetivos de la función de Auditoría Interna

Entre sus objetivos estratégicos podemos destacar:

  • Prevenir los riesgos de auditoría de las sociedades, proyectos y actividades del grupo, tales como fraudes, quebrantos patrimoniales, ineficiencias operativas y, en general, riesgos que puedan afectar a la buena marcha de los negocios.
  • Controlar la aplicación de los Sistemas Comunes de Gestión Corporativos.
  • Promocionar el desarrollo de normas y procedimientos eficientes de gestión.
  • Crear valor para Abengoa, promoviendo la construcción de sinergias y el seguimiento de prácticas óptimas de gestión.
  • Coordinar los criterios y enfoques de los trabajos con los auditores externos, buscando la mayor eficiencia y rentabilidad de ambas funciones.
  • Como consecuencia de la adopción de los requerimientos de la Ley Sarbanes Oxley descritos en párrafos anteriores, ha de garantizar la seguridad y fiabilidad de la información financiera comprobando y asegurando el correcto funcionamiento de los controles establecidos para tal fin.

Para cumplir estos objetivos estratégicos, los Servicios Mancomunados de Auditoría tienen como objetivos específicos:

  • Evaluar el riesgo de auditoría de las sociedades y proyectos de Abengoa, de acuerdo con un procedimiento objetivo.
  • Definir unas normas de trabajo estándar de auditoría y control interno a fin de desarrollar los correspondientes planes de trabajo con los alcances adecuados a cada situación. Esta metodología basada en la evaluación de riesgos de auditoría, determina los planes de trabajo a realizar.
  • Orientar y coordinar el proceso de planificación de los trabajos de auditoría y control interno de las sociedades y grupos de negocio, definir un procedimiento de notificación de dichos trabajos y comunicación con las partes afectadas y establecer un sistema de codificación de los trabajos para su adecuado control y seguimiento.
  • Definir el proceso de comunicación de los resultados de cada trabajo de auditoría, las personas a las que afecta y el formato de los documentos en que se materializa.
  • Revisar la aplicación de los planes, la adecuada realización y supervisión de los trabajos, la puntual distribución de los resultados y el seguimiento de las recomendaciones y su correspondiente implantación.
  • Revisar el correcto funcionamiento de los controles manuales y automáticos identificados en los procesos, así como las evidencias de control para garantizar la seguridad en la obtención de la información financiera.

Siguiendo la doctrina de The Institute of Internal Auditors y de su capítulo español, el Instituto de Auditores Internos, la finalidad última de esta estructura es dotar a la Dirección de Abengoa y de cada uno de sus grupos de negocio con una línea de información “de control”, adicional y paralela a la línea normal jerárquica, aunque con permanentes canales horizontales de información entre cada uno de dichos niveles jerárquicos de las sociedades y grupos de negocio y sus correspondientes servicios de Auditoría Interna con criterios de claridad y transparencia, así como de salvaguarda de la información confidencial implicada.

Esta estructura se muestra de forma gráfica en el siguiente esquema:

yuytuuuu