Control Interno y Gestión de Riesgos

Abengoa, grupo formado por más de 600 sociedades, con presencia en más de 70 países con más de 24 000 empleados, es imprescindible definir un sistema común de gestión del negocio que permita trabajar de forma eficaz, coordinada y coherente.

El entorno actual está marcado por la aceleración vertiginosa de la tecnología, la rapidez en los cambios sociales, económicos y políticos y la necesidad de creación de valor.

Para afrontar las amenazas del escenario descrito, pero también para aprovechar las oportunidades que aparecen, Abengoa considera que la gestión de riesgos es una actividad y función imprescindible para la toma de decisiones estratégicas y que es necesario disponer de criterios y metodología que permitan el crecimiento del negocio con seguridad.

El Modelo de Gestión de Riesgos de Abengoa se compone de dos elementos fundamentales:

graf 1

Ambos elementos constituyen un sistema integrado que permite una gestión adecuada de los riesgos y controles en todos los niveles de la organización.

Se trata de un sistema vivo que sufre continuas modificaciones para mantenerse alineado con la realidad del negocio.

a) Riesgos de negocio

Abengoa gestiona sus riesgos a través del siguiente modelo que pretende identificar los riesgos potenciales de un negocio:

graf 2

Los procedimientos encaminados a eliminar estos riesgos de negocio se instrumentan a través de los Sistemas Comunes de Gestión, que representan una cultura común para los distintos negocios de Abengoa. Identifican los riesgos, establecen las coberturas y fijan actividades de control. Están compuestos por once normas que definen como deben gestionarse cada uno de los riesgos potenciales incluidos en el modelo de riesgos de Abengoa.

Los Sistemas Comunes de Gestión desarrollan la gestión necesaria de negocio y del riesgo en Abengoa, abarcan a todos los grupos de negocio y áreas de actividad e involucran a los distintos niveles de responsabilidad. Contemplan unos procedimientos específicos que cubren cualquier acción que pueda convertirse en un riesgo para la organización, tanto de carácter económico, como no económico.

A través de los Sistemas se consigue, además:

  • Optimizar la gestión diaria, aplicando procedimientos tendentes a la eficiencia financiera, la reducción de gastos, la homogeneización y compatibilidad de sistemas de información y gestión.
  • Fomentar la sinergia y creación de valor de los distintos grupos de negocio de Abengoa.
  • Reforzar la identidad corporativa, respetando los valores compartidos por todas las sociedades de Abengoa.
  • Alcanzar el crecimiento a través del desarrollo estratégico buscando la innovación y nuevas oportunidades a medio y largo plazo.
b) Riesgos relativos a la fiabilidad de la información financiera

En el año 2004 Abengoa inició un proceso de adecuación de su estructura de control interno sobre la información financiera a los requerimientos exigidos por la Sección 404 de la ley SOX. Dicho proceso continúa implementándose en las nuevas adquisiciones de sociedades que se producen.

La ley SOX se promulga en Estados Unidos en 2002 en aras de garantizar la transparencia en la gestión y la veracidad y fiabilidad de la información financiera publicada por las empresas que cotizan en el mercado estadounidense (“SEC registrants”). Esta ley obliga a dichas empresas a someter su sistema de control interno a una auditoría formal por parte de su auditor de cuentas anuales quien tendrá que emitir una opinión independiente sobre el mismo.

Según instrucciones de la “Securities and Exchange Comisión” (SEC), dicha ley es normativa de obligado cumplimiento para sociedades y grupos cotizados en el mercado norteamericano. De esta forma, y aunque solamente el grupo de negocio de Tecnologías de la Información (Telvent) está obligado al cumplimiento de la ley SOX, en Abengoa consideramos necesario cumplir con estos requerimientos pues con ellos se completa el modelo de control de riesgos que utiliza la compañía.

Abengoa considera este requerimiento legal como una oportunidad de mejora y lejos de conformarnos con los preceptos recogidos en la ley, hemos tratado de desarrollar al máximo las estructuras de control interno, los procedimientos de control y los procedimientos de evaluación aplicados.

Esta iniciativa surge en respuesta a la rápida expansión experimentada por el grupo en los últimos años y a las expectativas de crecimiento futuro, y con el fin de poder seguir garantizando a los inversores la elaboración de informes financieros precisos, puntuales y completos.

Con el objetivo de cumplir con los requerimientos de la sección 404 de la SOX se ha redefinido la estructura de control interno de Abengoa siguiendo un enfoque “Top-Down” basado en análisis de riesgos.

Dicho análisis de riesgos, comprende la identificación inicial de las áreas de riesgo significativo y la evaluación de los controles que la sociedad tiene sobre las mismas, comenzando por los ejecutados al más alto nivel: controles corporativos y de supervisión, continuando por los controles operacionales presentes en cada proceso.

El enfoque de Abengoa es el siguiente:

tabla

El trabajo de la gestión de riesgos comprende los siguientes aspectos:

graf 3

Se han identificado 53 procesos diferentes que podrían tener un impacto potencial en la generación de la información financiera de la compañía. En conjunto, existen más de 400 actividades de control clasificadas como claves, que están sometidas a continua supervisión por los equipos de auditoría interna del Grupo.

Igualmente, el sistema de control interno de la organización está sometido a evaluación por parte de los auditores externos que emiten una opinión de auditoría bajo normas de auditoría del PCAOB (Public Company Accounting Oversight Board), aplicable a empresas cotizadas en Estados Unidos (SEC registrants).

Modelo de Control interno de Abengoa

En Abengoa un sistema de control interno adecuado ha de asegurar que toda la información financiera relevante sea fiable y conocida por la Dirección. De esta forma se considera que el modelo desarrollado y adecuado a SOX complementa y completa los Sistemas Comunes de Gestión, cuyo objetivo principal es el control y la mitigación de los riesgos de negocio.

Supervisión y Control del Modelo de Gestión del riesgo

La supervisión y control del modelo de gestión del riesgo de Abengoa se estructura en torno a los Servicios Mancomunados de Auditoría. Éstos agrupan los equipos de auditoria de las sociedades, grupos de negocio y servicios corporativos, que actúan de forma coordinada y dependiente del Comité de Auditoría del Consejo de Administración.

Se ha tomado como marco conceptual de referencia el modelo COSO, por ser el que más se aproxima al enfoque requerido por SOX. En este modelo, el control interno se define como el proceso realizado al objeto de proporcionar un grado de seguridad razonable para la consecución de unos objetivos tales como el cumplimiento de las leyes y normas, fiabilidad de la información financiera y la eficacia y eficiencia de las operaciones.

graf cuadrado
tabla 2
Entorno de Control Interno en Sistemas de Información

Los sistemas de información de Abengoa sirven de apoyo al propio entorno general de control de la compañía y están gestionados en base a varios marcos de referencia, que se detallan a continuación.

Sistemas Comunes de Gestión: Gestión de Recursos Informáticos

Dentro de los Sistemas Comunes de Gestión, existe una normativa interna sobre la Gestión de Recursos Informáticos. Esta normativa persigue cuatro objetivos:

1/ Informar sobre las características principales de los sistemas de información corporativos.

2/ Homogeneizar, mediante la definición de estándares tecnológicos, las características necesarias de los equipos informáticos y aplicaciones informáticas empleadas en Abengoa, y definir el procedimiento operativo a seguir para su adquisición.

3/ Homogeneizar y asegurar unos niveles adecuados de servicio sobre los sistemas informáticos y las comunicaciones en Abengoa, e incrementar la disponibilidad, rendimiento, seguridad y evolución de las infraestructuras tecnológicas subyacentes.

4/ Incrementar la seguridad, (entendida en términos de confidencialidad, integridad y disponibilidad) de las infraestructuras tecnológicas dependientes de los mismos, así como su rendimiento y eficiencia.

Sistemas de Información

Los aspectos más relevantes relacionados con el control interno de los Sistemas de Información son las actividades de control automáticas, y el proceso de Gestión de Sistemas Informáticos, que se han visto reforzados a raíz de la implantación SOX.

Las actividades de control automáticas, son controles que forman parte de las aplicaciones que integran los Sistemas de Información de Abengoa, que evitan y previenen errores en los datos introducidos, aprobaciones, etc. Los controles automáticos contribuyen a asegurar la integridad y fiabilidad de la información financiera.

El proceso de Gestión de Sistemas Informáticos se centra en los aspectos más concretos y particulares de los sistemas de información. Basado en marcos de gestión y mejores prácticas de mercado, tales como Cobit e ITIL (Information Technology Infrastructure Library), cumple los requisitos de control estipulados por SOX en relación con el desarrollo de programas, cambios a programas, operaciones en el entorno informático y acceso a los sistemas y datos.

Se trata de una combinación de actividades manuales y automáticas en todas las áreas de Sistemas, incluyendo control y gestión de proyectos, desarrollo, soporte, gestión de incidencias, gestión de proveedores y clientes, seguridad física, seguridad lógica y continuidad de negocio.

Sistema de Gestión de Seguridad de la Información (SGSI)

Con objeto de gestionar las medidas de seguridad relativa a las comunicaciones y sistemas de información corporativos de Abengoa, la empresa cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) como herramienta que permita a Abengoa alcanzar los objetivos de seguridad, entendida en términos de:

  • Confidencialidad: sólo quienes estén autorizados pueden acceder a la información;
  • Integridad: la información y sus métodos de proceso son exactos y completos;
  • Disponibilidad: los usuarios autorizados tienen acceso a la información cuando lo requieran.

Este sistema, certificado bajo los criterios de la normativa ISO 27001, comprende una política de seguridad, un análisis de riesgos, controles de seguridad en áreas:

  • Administrativas (política de seguridad, clasificación de activos, seguridad en relaciones con terceros, aspectos de seguridad en recursos humanos).
  • Técnicas (seguridad física, seguridad en operaciones y comunicaciones, control de accesos; desarrollo, adquisición y mantenimiento de software).
  • Operacionales (gestión de incidencias, gestión de la continuidad).
  • Normativas (cumplimiento de normativa y aspectos legales).
  • Ciclo de mejora continúa para integrar la seguridad en las funciones laborales de todos los empleados.

El SGSI se revisa anualmente por la dirección y se repite en cada revisión el análisis de riesgos, teniendo en cuenta los cambios en el entorno informáticos, además de nuevas amenazas a los sistemas de información.

El ciclo de mejora continua del SGSI aprovecha las herramientas corporativas de acciones preventivas y correctivas, integrando el sistema aún más en el negocio.

Aplicaciones de Control: Aplicación de Segregación de Funciones (ASF)

Además del marco de gestión anteriormente descrito, Abengoa cuenta con un conjunto de aplicaciones que apoyan este entorno de control, entre las que destaca la Aplicación de Segregación de Funciones.

El sistema tiene los siguientes objetivos:

  • Asegurar que el acceso a los sistemas está restringido a las personas autorizadas.
  • Proporcionar el marco de definición de funciones incompatibles en los procesos con impacto la generación de información financiera.
  • Establecer un marco seguro para la concesión de accesos a los sistemas, que garanticen la existencia de segregación de funciones en las tareas desempeñadas por cada usuario.

De esta forma, el sistema asegura que al asignar una persona a un puesto de trabajo, ésta no desempeñe funciones incompatibles entre si. Es decir, ASF proporciona un sistema eficaz y eficiente de gestión de usuarios y accesos en la compañía.