El Modelo Universal de Riesgos de Abengoa está configurado por cuatro categorías, veinte subcategorías y un total de 94 riesgos principales para el negocio. Cada uno de estos riesgos tiene asociados una serie de indicadores que permiten medir su probabilidad, su impacto y definir el grado de tolerancia hacia los mismos.

A continuación se presenta el esquema del funcionamiento del Modelo Universal de Riesgos de Abengoa, cuya revisión periódica y actualización es una responsabilidad conjunta de los departamentos de Auditoría Interna, de los responsables de cada área involucrada y de la Gerencia de Riesgos:

 Derivado de la asignación de indicadores de probabilidad e impacto, los riesgos son calificados en 4 tipologías, cada una de ellas con una estrategia de gestión del riesgo predeterminada:

• Riesgo Menor. Ocurren con frecuencia pero tienen poco impacto económico. Son gestionados para reducir la frecuencia con que se producen solo si su gestión es económicamente viable.
• Riesgo Tolerable. Acontecen con poca frecuencia y tienen poco impacto económico. Estos riesgos son monitorizados para comprobar que continúan siendo tolerables.
• Riesgo Severo. Frecuentes y de impacto muy elevado, son gestionados de forma inmediata. Debido a los procesos implantados en Abengoa, es difícil que la organización deba afrontar este tipo de riesgos.
• Riesgo Crítico o Emergente. Suceden con poca frecuencia pero su impacto económico es muy elevado. Estos riesgos tienen un plan de contingencia puesto que tienen un impacto extremadamente elevado. En estos casos, la Gerencia de Riesgos Corporativa se involucra de forma directa en la evaluación de los mismos. Para ello, se realizan las siguientes acciones:
  • Relacionar los riesgos emergentes con las líneas estratégicas de actividad.
  • Buscar información y analizarla mediante una asignación adecuada de recursos.
  • Revisar los indicadores de riesgo tradicionales y los controles en relación con las condiciones cambiantes del mercado.
  • Atender las señales «débiles» (por mucho que lo sean), invirtiendo en tecnología para controlar los riesgos emergentes.
  • Aprender de la experiencia directiva con los riesgos a partir de hechos del pasado.
  • Proporcionar información para las estrategias de gestión de riesgos a través de datos relevantes y un análisis adecuado.