D. Sistema de control de riesgos

D.1. Descripción general de la política de riesgos de la sociedad y/o su grupo, detallando y evaluando los riesgos cubiertos por el sistema, junto con la justificación de la adecuación de dichos sistemas al perfil de cada tipo de riesgo.

La estructura de gestión de riesgos de Abengoa se fundamenta en tres pilares fundamentales:

• Los sistemas comunes de gestión, que sirven para mitigar los riesgos del negocio.
• Los procedimientos de control interno sobre la elaboración de la información financiera, diseñados conforme a SOX (Sarbanes-Oxley Act), para mitigar los riesgos asociados a la fiabilidad de la información financiera.
• El Modelo Universal de Riesgos de Abengoa es la metodología para la identificación, comprensión y valoración de los riesgos que afectan a Abengoa. El objetivo es obtener una visión integral de los mismos, diseñando un sistema de respuestas eficiente y alineado con los objetivos de negocio de la compañía.

Estos elementos constituyen un sistema integrado que permite una gestión adecuada de los riesgos y controles en todos los niveles de la organización. Se trata de un sistema vivo que sufre continuas modificaciones para mantenerse alineado con la realidad del negocio.

Adicionalmente, existen unos servicios de auditoría interna, que se encargan de velar por el cumplimiento y buen funcionamiento de estos sistemas.

I) Riesgos de negocio:

Los procedimientos encaminados a eliminar los riesgos de negocio se instrumentan a través de los llamados “sistemas comunes de gestión”. Los sistemas comunes de gestión de Abengoa desarrollan las normas internas de la sociedad y su método para la evaluación y el control de los riesgos. Representan una cultura común en la gestión de los negocios de Abengoa, pues permiten compartir el conocimiento acumulado y fijan criterios y pautas de actuación.

Los sistemas comunes de gestión sirven para identificar tanto los riesgos enmarcados en el modelo actual como las actividades de control que los mitigan y mitigan los riesgos propios de la actividad de la sociedad (riesgos de negocio), en todos los niveles posibles.

Los sistemas comunes de gestión contemplan unos procedimientos específicos que cubren cualquier acción que pueda resultar en un riesgo para la organización, tanto de carácter económico, como no económico.

Los responsables funcionales de cada área deben verificar y certificar el cumplimiento de estos procedimientos. Esta certificación es anual y presentada al Comité de Auditoría en enero del ejercicio siguiente.

Los objetivos de los sistemas comunes de gestión pueden resumirse en los siguientes:

• Identificar posibles riesgos, que aunque sean inherentes a todo negocio, deben ser identificados, mitigados y monitorizados
• Optimizar la gestión diaria, aplicando procedimientos tendentes a la eficiencia financiera, reducción de gastos, homogenización y compatibilidad de sistemas de información y gestión.
• Fomentar la sinergia y creación de valor de los distintos grupos de negocio de trabajando en un entorno colaborador.
• Reforzar la identidad corporativa.
• Alcanzar el crecimiento a través del desarrollo estratégico que busque la innovación y nuevas opciones a medio y largo plazo.

Los sistemas cubren toda la organización a tres niveles:

• Todos los grupos de negocio y áreas de actividad
• Todos los niveles de responsabilidad
• Todos los tipos de operaciones

El cumplimiento de lo establecido en los sistemas comunes de gestión es obligatorio para toda la organización, por lo que deben ser conocidos por todos sus miembros. Las excepciones al cumplimiento de dichos sistemas deben ponerse en conocimiento de quien corresponda y deben ser convenientemente autorizadas a través de los correspondientes formularios de autorización.

Además están sometidos a un proceso de actualización permanente que permite incorporar las mejores prácticas en cada uno de sus campos de actuación. Para facilitar su difusión, las sucesivas actualizaciones se comunican de forma inmediata a la organización a través de soporte informático.

II) Riesgos relativos a la fiabilidad de la información financiera:

En el año 2004, Abengoa inició un proceso de adecuación de su estructura de control interno sobre la información financiera a los requerimientos exigidos por la Sección 404 de la ley SOX. Dicho proceso de adecuación finalizó en 2007, si bien, continúa implementándose en las nuevas adquisiciones de sociedades que se van produciendo cada año.

Como consecuencia de nuestro compromiso con la transparencia, y con el objetivo de seguir garantizando la fiabilidad de la información financiera elaborada por la compañía, hemos continuado reforzando nuestra estructura de control interno y adaptándola a los requerimientos establecidos por la sección 404 de ley norteamericana Sarbanes Oxley (SOX). Un año más, hemos querido someter, voluntariamente, el sistema de control interno de todo el grupo a un proceso de evaluación independiente llevado a cabo por auditores externos conforme a las normas de auditoría del PCAOB (Public Company Accounting Oversight Board).

Esta norma es una ley obligatoria para todas las sociedades cotizadas en los Estados Unidos, que tiene por objeto garantizar la fiabilidad de la información financiera de estas empresas y proteger los intereses de los accionistas e inversores, mediante el establecimiento de un sistema de control adecuado. De esta forma, y aunque ninguno de los Grupos de Negocio está obligado al cumplimiento de la ley SOX, Abengoa considera necesario cumplir con estos requerimientos en todas sus sociedades, pues con ellos se completa el modelo de control de riesgos que utiliza la compañía.

Un sistema adecuado de control interno se formaliza a través de tres herramientas:

• Una descripción de los procesos relevantes de la empresa que puede tener un impacto potencial en la información financiera que se prepara. En este sentido, se han definido 41 procesos de gestión, que se encuentran agrupados en ciclos corporativos y ciclos comunes a los grupos de negocio.
• Una serie de diagramas de flujo que permiten la descripción gráfica de los procesos.
• Un inventario de las actividades de control (530 controles, 250 de ellos automáticos) en cada proceso que garantiza la consecución de los objetivos de control.

Abengoa considera este requerimiento legal como una oportunidad de mejora y, lejos de conformamos con los preceptos recogidos en la norma, hemos tratado de desarrollar al máximo nuestras estructuras de control interno, los procedimientos de control y los procedimientos de evaluación aplicados.

Con el objetivo de cumplir con los requerimientos de la sección 404 de la ley SOX, se ha redefinido la estructura de control interno de Abengoa siguiendo un enfoque “Top-Down”, basado en un análisis de riesgos que comprende la identificación inicial de las áreas de riesgo significativo y la evaluación de los controles que la sociedad tiene sobre las mismas, comenzando por los ejecutados al más alto nivel para bajar posteriormente a los controles operacionales presentes en cada proceso.

Asimismo, en 2011 se concluyeron las primeras fases de la implantación del módulo de SAP GRC Process Control. Al 31 de diciembre de 2012, el módulo se encuentra implantado en todas las sociedades significativas.

GRC Process Control proporciona una solución tecnológica que permite la automatización del modelo de control interno y la monitorización de su cumplimiento, facilitando su cumplimiento e incrementando la seguridad en las operaciones para la compañía.

Los beneficios derivados de la implantación de GRC Process Control son:

• Automatización de la monitorización del cumplimiento del control interno (Continuous Control Monitoring). Obtención de informes automáticos y cuadro de mando con respecto al marco de control interno y regulaciones.
• Integración del control interno en los procesos de negocio.
• Mayor nivel de automatización de la auditoría para los controles automáticos.
• Centralización de los procesos de documentación y gestión de control interno. (Repositorio único de información).
• Uso de workflows estándar para todo el ciclo de vida de un control, teniendo en cuenta la regulación, como en el caso de SOX.
• Aumento de la eficiencia del modelo de control interno, al reducir el coste de cumplimiento y aumentar su efectividad.
• Incremento de la confianza en la efectividad de los controles.
• Mejora el seguimiento del desempeño.

III) Modelo universal de riesgos

Durante el ejercicio 2011, se culminó la implantación del modelo universal de riesgos de Abengoa, metodología para la identificación, comprensión y valoración de los riesgos que afectan a Abengoa. El objetivo es mantener una visión integral de los mismos, diseñando un sistema de respuestas eficiente y alineado con los objetivos de negocio de la compañía.

Nuestro modelo contempla las siguientes áreas y categorías de riesgo:

• Riesgos estratégicos: gobierno corporativo, proyectos estratégicos y de I+D+i, fusiones, adquisiciones y desinversiones, planificación y asignación de recursos, dinámicas de mercado, comunicación y relación con inversores.
• Riesgos operacionales: recursos humanos, tecnologías de la información, activos físicos, ventas, cadena de suministros, amenazas o catástrofes.
• Riesgos financieros: liquidez y crédito, mercados, fiscalidad, estructura de capital, fiscalidad, contabilidad y reporting.
• Riesgos normativos: regulación, legislación y códigos de ética y de conducta.
• Los riesgos identificados se evalúan considerando la probabilidad de ocurrencia de los mismos y el impacto en la compañía.

Durante el ejercicio 2012 se ha consolidado Archer eGRC, como la herramienta de cálculo y reporte de los riesgos de las diversas actividades y sectores de la compañía. Desde su implantación, se ha estado trabajando en la sincronización de la aplicación con otras herramientas del grupo con el objetivo de conseguir que los procesos sean cada vez más automáticos.

IV) Factores de riesgo

En el Documento Anexo I de Registro de Valores que se publicó en CNMV que se publicó con fecha 12 de julio de 2012 se identifican los Factores de riesgo de Abengoa:

1. Factores de riesgo específicos del emisor o de su sector de actividad.

1.1. Riesgos generales

• Abengoa opera en un sector de actividad especialmente ligado al ciclo económico.
• Riesgo derivado de la dependencia de normativa favorable a la actividad de la energía renovable, a la producción de bioetanol y a la actividad de investigación y desarrollo.
• Generación eléctrica solar.
• Consumo de biocombustibles.
• Riesgos derivados de la sensibilidad en el aprovisionamiento de materias primas para la producción de biocombustibles y volatilidad del precio del producto final.
• Riesgos derivados de la sensibilidad en el aprovisionamiento de materias primas para la actividad de reciclaje y volatilidad del precio del producto final.
• Riesgos derivados de retrasos y sobrecostes en la actividad de Ingeniería y construcción debidos a la dificultad técnica de los proyectos y al largo plazo de su ejecución.
• Riesgos asociados a proyectos de la actividad de Infraestructuras de Tipo concesional que operan bajo tarifa regulada o acuerdos de concesión a muy largo plazo.
• Ingresos derivados de acuerdos a largo plazo: riesgos derivados de la existencia de cláusulas y/o renovación de los contratos de concesión gestionados por Abengoa, cancelación de proyectos pendientes de Ingeniería y Construcción y no renovaciones de contratos de distribución en biocombustibles.

I. Concesiones
II. Acuerdos de distribución de biocombustibles
III. Cartera de proyectos (backlog) en la actividad de Ingeniería y construcción

• Las variaciones en el coste de la energía pueden tener un impacto negativo en los resultados de la Compañía.
• Riesgos derivados del desarrollo, la construcción y la explotación de nuevos proyectos.
• Las actividades de Abengoa podrían verse negativamente afectadas en caso de disminuir el apoyo de la opinión pública sobre las mismas.
• Los proyectos de construcción concernientes a la actividad de Ingeniería y Construcción y las instalaciones de las actividades de Infraestructuras de Tipo Concesional y de producción Industrial son lugares de trabajo peligrosos.
• Riesgos derivados de la asociación con terceros para la ejecución de determinados proyectos.

1.2. Riesgos específicos de Abengoa

ƒAbengoa opera con altos niveles de endeudamiento.

• Riesgos derivados de la exigencia de un elevado nivel de inversión en activos fijos (CAPEX), lo que incrementa la necesidad de financiación ajena para poder desarrollar los proyectos pendientes.
• Riesgo de obtención de menor beneficio neto derivado de la rotación de activos.
• La sociedad tiene un accionista de control.
• Los productos y servicios del sector de energías renovables son parte de un mercado sujeto a intensas condiciones de competencia.
• Los resultados de la actividad de Ingeniería y construcción dependen significativamente del crecimiento de la Compañía en la actividad de Infraestructuras de Tipo Concesional y de Producción Industrial.
• La evolución de los tipos de interés y sus coberturas pueden afectar a los resultados de la Sociedad.
• La evolución de los tipos de cambio de divisas y sus coberturas pueden afectar a los resultados de la Sociedad.

1.3. Riesgos derivados de la internacionalización y riesgo país:

• Las actividades de Abengoa se encuentran sometidas a múltiples jurisdicciones con distintos grados de exigencia normativa que requieren un esfuerzo significativo de la Compañía para su cumplimiento.
• Los seguros contratados por Abengoa podrían ser insuficientes para cubrir los riesgos procedentes de los proyectos, y los costes de las primas de los seguros podrían elevarse.
• Las actividades de la Sociedad pueden verse negativamente afectadas por catástrofes naturales, condiciones climatológicas adversas, condiciones geológicas inesperadas u otros condicionamientos de tipo físico, así como por actos terroristas perpetrados en algunos de sus emplazamientos.
• Las prácticas de evasión de impuestos y de alteración de productos en el mercado de la distribución de combustibles en Brasil podrían distorsionar los precios de mercado.

V) Otras herramientas que existen

La compañía dispone de un plan director de responsabilidad social corporativa que implica a todas las áreas y que se implanta en sus cinco grupos de negocio, adaptando la estrategia a la realidad social de las distintas comunidades donde está presente Abengoa. La responsabilidad social corporativa, entendida como la integración en la estrategia de la compañía de las expectativas de los grupos de interés, el respeto de la ley, y la consistencia con las normas internacionales de actuación, es uno de los pilares de la cultura de Abengoa. La compañía informa a sus grupos de interés del desempeño en los diferentes asuntos de responsabilidad social corporativa a través de un informe que sigue el estándar del GRI para elaboración de memorias de sostenibilidad. Este informe será verificado externamente como parte del compromiso de la compañía con la transparencia y el rigor.

En 2002 Abengoa firmó el Pacto Mundial de las Naciones Unidas, una iniciativa internacional cuyo objetivo es conseguir un compromiso voluntario de las entidades en responsabilidad social, por medio de la implantación de diez principios basados en derechos humanos, laborales, medioambientales y de lucha contra la corrupción. Y en 2008 la compañía suscribió la iniciativa Caring for Climate, también de las Naciones Unidas. Como consecuencia, Abengoa ha puesto en marcha un sistema de reporting de emisiones de gases de efecto invernadero (GEI), que permitirá contabilizar sus emisiones de gases de efecto invernadero, conocer la trazabilidad de todos sus suministros y certificar los productos y servicios que ofrece.

Asimismo, desde 2009, se encuentra en funcionamiento un sistema de indicadores de sostenibilidad medioambiental, que contribuye a mejorar la gestión del negocio de la compañía, permitiendo medir y comparar la sostenibilidad de sus actividades, y establecer objetivos de mejora futuros. La combinación de ambas iniciativas sitúa a Abengoa en una posición de liderazgo mundial en gestión de la sostenibilidad.

VI) Riesgos penales

Tras la entrada en vigor de la Ley Orgánica 5/2010, Abengoa está desarrollado un sistema de gestión de riesgos, control interno y cumplimiento normativo que le permite minimizar los posibles riesgos penales, implementando medidas tendentes a la prevención, detección e investigación.

D.2. Indique si se han materializado durante el ejercicio, alguno de los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales, reputacionales, fiscales...) que afectan a la sociedad y/o su grupo.

No.

En caso afirmativo, indique las circunstancias que los han motivado y si han funcionado los sistemas de control establecidos.

No aplica.
 

D.3. Indique si existe alguna comisión u otro órgano de gobierno encargado de establecer y supervisar estos dispositivos de control.

Sí.

En caso afirmativo detalle cuáles son sus funciones.

Nombre de la comisión u órgano

Comité de auditoría.

Descripción de funciones

Las funciones del comité de auditoría son las siguientes:

• Informar las cuentas anuales, así como los estados financieros semestrales y trimestrales, que deban remitirse a los órganos reguladores o de supervisión de mercados, haciendo mención a los sistemas internos de control, al control de su seguimiento y cumplimiento a través de la auditoría interna, así como, cuando proceda, a los criterios contables aplicados.
• Informar al consejo de cualquier cambio de criterio contable, y de los riesgos del balance y fuera del mismo.
• Informar en la junta general de accionistas sobre las cuestiones que en ella planteen los accionistas en materia de su competencia.
• Proponer al consejo de administración para su sometimiento a la junta general de accionistas el nombramiento de los auditores de cuentas externos.
• Supervisar los servicios de auditoría interna. El comité tendrá acceso pleno a la auditoría interna, e informará durante el proceso de selección, designación, renovación y remoción de su director y en la fijación de la remuneración de éste, debiendo informar acerca del presupuesto de este departamento.
• Conocer del proceso de información financiera y de los sistemas de control interno de la sociedad.
• Relacionarse con los auditores externos para recibir información sobre aquellas cuestiones que puedan poner en riesgo la independencia de éstos y cualesquiera otras relacionadas con el proceso de desarrollo de la auditoría de cuentas.
• Convocar a los consejeros que estime pertinentes a las reuniones del Comité, para que informen en la medida que el propio comité de auditoría acuerde.
• Elaborar un informe anual sobre las actividades del comité de auditoría, que deberá ser incluido en el informe de gestión.

Los principales objetivos del comité de auditoría en materia de control interno sobre la elaboración de la información financiera son:

• Determinar los riesgos de un posible error material de la información financiera provocado por fraude o a factores de riesgo de un posible fraude.
• Análisis de los procedimientos para evaluar la eficacia del control interno referente a la información financiera.
• Capacidad de los controles internos sobre los procesos que afectan a Abengoa y sus segmentos operativos.
• Identificar las deficiencias y debilidades materiales en el control interno referente a la información financiera y la capacidad de respuesta.
• Supervisar y coordinar las modificaciones significativas efectuadas sobre los controles internos vinculados a la información financiera trimestral.
• Desarrollo de los procesos trimestrales de cierre de los estados financieros y diferencias identificadas con respecto a los procesos desarrollados en el cierre del ejercicio.
• Establecimiento de planes y seguimiento de las acciones implantadas para corregir las debilidades identificadas en las auditorías.
• Medidas para identificar y corregir posibles debilidades de control interno referentes a la información financiera.
• Análisis de procedimientos, actividades y controles que persiguen garantizar la fiabilidad de la información financiera y prevenir el fraude.

D.4. Identificación y descripción de los procesos de cumplimiento de las distintas regulaciones que afectan a su sociedad y/o a su grupo.

Abengoa aplica todas las disposiciones emitidas por la Comisión Nacional del Mercado de Valores. Este hecho implica que Abengoa viene cumpliendo con los indicadores de referencia incluidos en el documento de SCIIF de la CNMV con el máximo rigor desde hace cinco ejercicios.

Abengoa somete de forma voluntaria desde el año 2007 a evaluación externa sus sistemas de control interno, con la emisión de una opinión de auditoría bajo estándares PCAOB y auditoría de cumplimiento de la sección 404 de la Ley Sarbanes-Oxley (SOX).

Auditoría externa

El auditor de las cuentas anuales individuales y consolidadas de Abengoa para el ejercicio terminado al 31 de diciembre de 2012, S.A., es Deloitte, S.L., que es, además, el auditor principal del Grupo.

Así en el ejercicio 2012 se han emitido 5 informes por parte de los auditores externos, que forman parte integrante del informe Anual:

• Informe de auditoría de las cuentas consolidadas del Grupo, conforme exige la normativa vigente.
• Informe de auditoría voluntario, sobre cumplimiento de control interno bajo estándares PCAOB (Public Company Accounting Oversight Board), conforme a los requerimientos de la sección 404 de la ley Sarbanes-Oxley (SOX).
• Informe voluntario de verificación de aseguramiento razonable del informe de Gobierno Corporativo, siendo la primera compañía cotizada española en obtener un informe de este tipo.
• Informe voluntario de verificación de aseguramiento razonable del Informe de Responsabilidad Social Corporativa. Elaborado por KPMG, Auditores, SL.
• Informe voluntario de verificación del diseño del Sistema de Gestión de Riesgos conforme a las especificaciones de la ISO 31000. Elaborado por Ernst & Young Auditores S.L.