Pasar al contenido principal

Norma básica de auditoría interna

Naturaleza, competencias, organización y deberes de los miembros de la función de Auditoría Interna

Norma básica de auditoría interna

29 de mayo de 2025

TÍTULO I.- DE LA NORMA

Artículo 1.- Naturaleza y ámbito de aplicación

  1. Esta Norma básica de auditoría interna (la “Norma básica”), que se integra en el Sistema de gobernanza y sostenibilidad de IBERDROLA, S.A. (la “Sociedad”), regula, entre otros aspectos, la naturaleza, competencias, organización y deberes de los miembros de la función de Auditoría Interna que corresponden a la Dirección de Auditoría Interna y Riesgos.
  2. Además, la Norma básica establece las bases de la normativa sobre auditoría interna que deben informar la actuación y los desarrollos normativos que, en el ejercicio de sus competencias y al amparo de su autonomía de la voluntad, lleven a cabo las demás sociedades integradas en el grupo, cuya entidad dominante es, en el sentido establecido por la ley, la Sociedad (el “Grupo”) que, en todo caso, deberán respetar los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola y los criterios de coordinación previstos en esta Norma básica.  
  3. La Dirección de Auditoría Interna y Riesgos constituye una unidad interna de la Sociedad, que depende jerárquicamente del presidente del Consejo de Administración y funcionalmente de la Comisión de Auditoría y Supervisión del Riesgo (la “Comisión”). Su actividad fundamental consiste en velar de forma independiente y proactiva por la eficacia de los procesos de gobierno, la gestión de riesgos y los controles internos en la Sociedad y dentro del perímetro del Grupo. 

Artículo 2.- Aprobación, modificación y prevalencia

  1. De conformidad con lo previsto en el Reglamento de la Comisión de Auditoría y Supervisión del Riesgo, la Norma básica y sus modificaciones deberán ser aprobadas por el Consejo de Administración, a propuesta de la Comisión. 
  2. Sin perjuicio de lo anterior, el Consejo de Administración podrá introducir modificaciones en esta Norma básica sin tener una propuesta previa de la Comisión, en el marco de la reforma de otras normas del Sistema de gobernanza y sostenibilidad.
  3. Esta Norma básica desarrolla y complementa las previsiones del Reglamento de la Comisión de Auditoría y Supervisión del Riesgo aplicables a la Dirección de Auditoría Interna y Riesgos, las cuales prevalecen sobre aquella en caso de contradicción.

Artículo 3.- Interpretación

  1. Las cuestiones que se pudieran suscitar en relación con la interpretación y con la aplicación de la Norma básica serán resueltas por el director de Auditoría Interna y Riesgos, quien tomará en consideración lo dispuesto en el Sistema de gobernanza y sostenibilidad, en el Marco internacional para la práctica profesional de la auditoría interna aprobado por el Instituto de Auditores Internos (IIA) y en la demás normativa aplicable. En caso de duda o conflicto solicitará la opinión de la Comisión.
  2. El director de Auditoría Interna y Riesgos pondrá los criterios interpretativos de la Norma básica adoptados en conocimiento: (i) de los miembros de la Dirección de Auditoría Interna y Riesgos de la Sociedad, así como a los responsables de las direcciones de auditoría interna de las demás sociedades del Grupo; y (ii) del secretario de la Comisión quien, a su vez, los comunicará al secretario del Consejo de Administración de la Sociedad.

Artículo 4.- Cumplimiento 

  1. Los miembros de la Dirección de Auditoría Interna y Riesgos tienen la obligación de conocer y cumplir esta Norma básica que formará parte de las herramientas de gestión de la Dirección de Auditoría Interna y Riesgos. 
  2. Los profesionales de la Sociedad tienen la obligación de conocer esta Norma básica en lo que les afecte y de respetar las disposiciones que les resulten aplicables, para lo cual el director de Auditoría Interna y Riesgos garantizará, en su caso, su adecuada difusión e informará de sus modificaciones. 
  3. El director de Auditoría Interna y Riesgos tendrá la obligación de velar por el cumplimiento de esta Norma básica

TÍTULO II. COMPETENCIAS DE LA DIRECCIÓN DE AUDITORÍA INTERNA Y RIESGOS 

Artículo 5.- Ámbito competencial

  1. La Dirección de Auditoría Interna y Riesgos prestará, de forma independiente y objetiva, servicios de aseguramiento y asesoramiento para agregar valor y perfeccionar las operaciones de la Sociedad, aportando un enfoque sistemático y disciplinado, para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, de control y de gobierno de los mismos a nivel del Grupo. 
  2. En el ejercicio de sus facultades, así como en la elaboración del plan anual de actividades de la Dirección de Auditoría Interna y Riesgos, previsto en el artículo 11 de esta Norma básica, deberán tenerse en cuenta las competencias en materia de aseguramiento de otras áreas de la Sociedad, a fin de que las responsabilidades de la Dirección de Auditoría Interna y Riesgos estén claramente delimitadas y existan mecanismos adecuados de coordinación con otras funciones de aseguramiento.
  3. La Dirección de Auditoría Interna y Riesgos deberá ser informada de la prestación de servicios de aseguramiento por parte de proveedores de servicios externos.

  4. Además de las competencias previstas en esta Norma básica, la Dirección de Auditoría Interna y Riesgos tendrá aquellas otras que le sean asignadas por el Consejo de Administración o que le atribuya el Sistema de gobernanza y sostenibilidad.

Artículo 6.- Competencias en relación con la Comisión de Auditoría y Supervisión del Riesgo 

  1. La Dirección de Auditoría Interna y Riesgos auxiliará a la Comisión en el desarrollo de sus competencias, en especial en lo que se refiere a la supervisión de la eficacia de los sistemas de control interno y de gestión de riesgos, a las relaciones con el auditor de cuentas y a la supervisión del proceso de elaboración de la información financiera y no financiera de la Sociedad y la consolidada.
  2. El director de Auditoría Interna y Riesgos será la persona encargada de preparar la información que le requiera la Comisión. Asimismo, asistirá a las reuniones a las que se le convoque cuando se traten aspectos que estén dentro de su ámbito competencial (entre otras, a las reuniones que se celebren para la formulación o aprobación de la información financiera anual o intermedia y de la información no financiera anual).

    En particular, el director de Auditoría Interna y Riesgos proporcionará a la Comisión, sin carácter limitativo y dentro de su ámbito competencial, la información necesaria para que ésta pueda: (i) supervisar la eficacia de los sistemas de control interno y de gestión de riesgos; y (ii) alcanzar una conclusión sobre si las políticas contables se han aplicado correctamente.
  3. La Dirección de Auditoría Interna y Riesgos será el órgano habitual de comunicación entre la Comisión y el resto de la organización de la Sociedad, sin perjuicio de lo previsto en el Reglamento del Consejo de Administración, en el Reglamento de la Comisión de Auditoría y Supervisión del Riesgo y en el Marco general de relaciones de coordinación e información entre las comisiones de auditoría de Iberdrola, S.A. y su Grupo respecto de las funciones encomendadas a otras áreas, en particular, a la Secretaría del Consejo de Administración o a otras direcciones. 

Artículo 7.- Competencias en relación con el sistema de control interno

  1. La Dirección de Auditoría Interna y Riesgos supervisará, de manera objetiva e independiente, la eficacia del sistema de control interno establecido a nivel del Grupo, integrado por un conjunto de mecanismos y sistemas de gestión y control de riesgos.
  2. En particular, con carácter enunciativo y no limitativo, en el ámbito de sus competencias, se encargará de:
    1. Supervisar el funcionamiento eficaz:
      1. Del sistema integral de control y gestión de riesgos establecido a nivel del Grupo, según se define en las Bases generales de control y gestión de riesgos del Grupo Iberdrola, y de su adecuación para asegurar el cumplimiento de las directrices y límites de riesgo.

        Con el objetivo de garantizar la independencia y objetividad de la función de Auditoría Interna, los trabajos de aseguramiento a realizar sobre la función de Riesgos serán ejecutados por profesionales expertos independientes que reportarán directamente sus conclusiones a la Comisión.
      2. De los sistemas de control interno de la información financiera (SCIIF) y de los sistemas de control interno de la información no financiera (SCINF) establecidos para la elaboración y presentación de la información financiera y no financiera del conjunto de sociedades del Grupo, incluyendo aquella información que, por su condición de cotizada, la Sociedad deba hacer pública periódicamente.
      3. Del Sistema de cumplimiento de la Sociedad, que tiene por objeto prevenir, gestionar y mitigar el riesgo de conductas irregulares y de actos ilícitos o contrarios a la ley y al Sistema de gobernanza y sostenibilidad que puedan ser cometidos en el seno de la organización.
      4. De los mecanismos establecidos para la implementación de las políticas del Sistema de gobernanza y sostenibilidad.
    2. Verificar que los procesos de inversión y desinversión cumplen con las directrices y límites de riesgo aplicables en cada caso, y que los procedimientos con arreglo a los cuales se llevan a cabo aseguran un adecuado control interno y gestión eficaz de los riesgos asociados.
  3. La Dirección de Auditoría Interna y Riesgos llevará a cabo cualesquiera otras actuaciones que resulten necesarias para el desarrollo de su función de velar por el funcionamiento eficaz del sistema de control interno.

TÍTULO III. ORGANIZACIÓN DE LA DIRECCIÓN DE AUDITORÍA INTERNA Y RIESGOS 

Artículo 8.- El director de Auditoría Interna y Riesgos 

  1. El director de Auditoría Interna y Riesgos deberá contar con los conocimientos, aptitudes y experiencia adecuados a las funciones que está llamado a desempeñar, en especial, en materias de auditoría interna, gestión de riesgos, control interno y gobierno. 
  2. Conforme a lo previsto en el Sistema de gobernanza y sostenibilidad, el nombramiento y la separación del director de Auditoría Interna y Riesgos corresponde al Consejo de Administración, a propuesta de la Comisión y previo informe de la Comisión de Nombramientos. 
  3. El director de Auditoría Interna tendrá la consideración de miembro de la alta dirección de la Sociedad.
  4. En general, el director de Auditoría Interna y Riesgos gozará de las facultades necesarias para el ejercicio de las funciones que está llamado a desempeñar. 
  5. El director de Auditoría Interna y Riesgos actuará de manera transparente, informando, cuando resulte posible, a los afectados sobre el objeto y el alcance de sus actuaciones.
  6. La Comisión es el órgano encargado de evaluar el funcionamiento de la Dirección de Auditoría Interna y Riesgos y el desempeño de su director, de conformidad con lo previsto en el Reglamento de la Comisión de Auditoría y Supervisión del Riesgo, a cuyo efecto recabará la opinión que pueda tener el presidente del Consejo de Administración. 
  7. El director de Auditoría Interna y Riesgos gestionará el funcionamiento y el presupuesto de la Dirección de Auditoría Interna y Riesgos bajo los principios de independencia y eficacia en la gestión, y será responsable de ejecutar las correspondientes medidas y planes de actuación y de velar por el adecuado cumplimiento de sus funciones. 
  8. El director de Auditoría Interna y Riesgos podrá recabar la colaboración y el asesoramiento de profesionales, externos o internos, en aquellos casos en que se considere necesario. 

Artículo 9.- Marco de relaciones de coordinación e información entre la Dirección de Auditoría Interna y Riesgos de la Sociedad y las direcciones de auditoría interna y riesgos de las sociedades subholding

  1. De conformidad con lo previsto en las Bases para la definición y coordinación del Grupo Iberdrola, las sociedades subholding del Grupo cuentan con una dirección de auditoría interna, sin perjuicio de las particularidades que les resulten aplicables, en su caso, por su condición de sociedad cotizada, nacionalidad, legislación o cualesquiera otras circunstancias.

  2. El director de Auditoría Interna y Riesgos de la Sociedad desarrollará un marco adecuado de relaciones de coordinación e información entre la Dirección de Auditoría Interna y Riesgos de la Sociedad y las direcciones de auditoría interna y riesgos de las sociedades subholding y desarrollará la estrategia, directrices y supervisión general de la función de auditoría interna a nivel del Grupo. En concreto, el director de Auditoría Interna y Riesgos:

    1. Definirá las líneas estratégicas de la función de auditoría interna, que estarán alineadas con los objetivos estratégicos de la Sociedad y el dimensionamiento de la función de auditoría interna a nivel del Grupo.

    2. Participará en los nombramientos de los directores de auditoría interna de las sociedades subholding, remitiendo su propuesta al presidente de la comisión de auditoría y cumplimiento de la sociedad subholding correspondiente.

    3. Participará en la definición de los procesos de evaluación del desempeño de la función de auditoría interna y de los responsables de las direcciones de auditoría interna y riesgos de las sociedades subholding (que no sean sociedades cotizadas), sin perjuicio de la autonomía de decisión propia de cada una de las sociedades del Grupo.

    4. Supervisará y coordinará los planes anuales de actividades de las direcciones de auditoría interna, para verificar su correcta coordinación con el plan de actividades de la Dirección de Auditoría Interna y Riesgos de la Sociedad, y trasladará las orientaciones y las directrices del Consejo de Administración y de la Comisión de la Sociedad.

    5. Establecerá procesos de coordinación para la elaboración de los informes anuales de actividad de las direcciones de auditoría interna y riesgos de las sociedades subholding.

    6. Establecerá directrices en cuanto a requerimientos de calidad y promoción de certificaciones globales e impulsará evaluaciones periódicas de las direcciones de auditoría interna y riesgos. De esta forma, el director de Auditoría Interna y Riesgos desarrollará, implementará y mantendrá un Programa de aseguramiento y mejora de la calidad, el cual incluirá: (i) evaluaciones externas e internas de la conformidad de la función de auditoría interna con las Normas globales de auditoría interna y con los preceptos obligatorios del Marco internacional para la práctica profesional de la auditoría interna aprobado por el Instituto de Auditores Internos (IIA); (ii) la medición del desempeño para evaluar el progreso de la función global de auditoría interna hacia el logro de sus objetivos globales; todo ello para promover la mejora continua y de cuyo resultado dará cuenta al Consejo de Administración, a través, de la Comisión y a los miembros de la alta dirección de la Sociedad.

  3. El director de Auditoría Interna y Riesgos y los responsables de las direcciones de auditoría interna y riesgos de las sociedades subholding mantendrán reuniones periódicas de coordinación e información. A estas reuniones podrán asistir, además, aquellos profesionales que el director de Auditoría Interna y Riesgos de la Sociedad considere conveniente.

TÍTULO IV. RECURSOS, PRESUPUESTO Y PLAN ANUAL DE ACTIVIDADES

Artículo 10.- Recursos materiales, humanos y tecnológicos

La Dirección de Auditoría Interna y Riesgos contará con los recursos necesarios, tanto humanos como financieros y tecnológicos, para el desempeño de sus funciones, incluyendo la contratación o participación de expertos para aquellas auditorías o trabajos que requieran de una cualificación especial para su realización.

Artículo 11.- Plan anual de actividades y presupuesto

  1. El director de Auditoría Interna y Riesgos preparará una propuesta de plan anual de actividades de la Dirección de Auditoría Interna y Riesgos y la presentará para la aprobación de la Comisión. Dicha propuesta, en relación con la función de Auditoría Interna:
    1. contendrá el presupuesto de la Dirección de Auditoría Interna y Riesgos para el desarrollo de sus actividades durante el ejercicio siguiente;
    2. considerará las principales áreas de riesgos, financiero y no financiero (incluyendo los riesgos reputacionales) y de los negocios;
    3. identificará y delimitará claramente las responsabilidades de cada área corporativa y de negocio, para la adecuada coordinación con otras funciones de aseguramiento que puedan existir, tales como, control de la información financiera y no financiera, cumplimiento y la auditoría de cuentas;
    4. establecerá los objetivos de la función de Auditoría Interna y los trabajos a realizar, así como los recursos necesarios para su ejecución, tanto humanos (internos y externos) como financieros y tecnológicos; y
    5. tomará en consideración las sugerencias que el Consejo de Administración, la Comisión y los miembros de la alta dirección le hubiesen comunicado.
  2. El director de Auditoría Interna y Riesgos realizará revisiones periódicas del plan anual de actividades con el fin de evaluar su adecuación para cubrir los riesgos identificados y, en su caso, proponer a la Comisión para su aprobación, las modificaciones que considere oportunas, e informará de la ejecución del plan en los términos previstos en el apartado 2 del artículo 12 siguiente.
  3. La Comisión evaluará el cumplimiento del plan anual de actividades de la función de Auditoría Interna.
  4. Una vez aprobado por la Comisión, el presupuesto de la Dirección de Auditoría Interna y Riesgos será remitido al presidente del Consejo de Administración, el cual lo elevará a este último para su toma de razón.

Artículo 12.- Comunicación e información

  1. La naturaleza y el alcance de los trabajos de asesoramiento que, en su caso, realice la Dirección de Auditoría Interna y Riesgos serán comunicados previamente a la dirección involucrada. En ningún caso, la Dirección de Auditoría Interna y Riesgos podrá asumir responsabilidades de gestión ni participar en la toma de decisiones ejecutivas.
  2. El director de Auditoría Interna y Riesgos:
    1. Informará periódicamente a la Comisión y a los miembros de la alta dirección de la ejecución del plan anual de actividades, incluyendo las posibles incidencias y limitaciones al alcance que se presenten en su desarrollo, así como de los resultados y del seguimiento de las recomendaciones.
    2. Remitirá a la Comisión, al final de cada ejercicio, un informe de las actividades de la Dirección de Auditoría Interna y Riesgos que deberá contener, como mínimo, un resumen de las actividades e informes realizados en el ejercicio, explicando los trabajos que, estando previstos en el plan anual, no se han llevado a cabo o los realizados sin estar planificados inicialmente, así como un inventario de las debilidades, recomendaciones y planes de acción y los resultados del Programa de aseguramiento y mejora de la calidad.
    3. Informará periódicamente a la Comisión de si los miembros de la alta dirección de la Sociedad tienen en cuenta las conclusiones y recomendaciones de los informes de la Dirección de Auditoría Interna y Riesgos, y dará cuenta de aquellos casos en los que éstos decidan no implantar una recomendación de riesgo alto o muy alto, aceptando, por tanto, el riesgo existente.
  3. La Dirección de Auditoría Interna y Riesgos promoverá una comunicación constante y fluida con los miembros de la alta dirección de la Sociedad para asegurarse de que éstos conocen las competencias de la función de Auditoría Interna y que la apoyan en la consecución de sus objetivos.

TÍTULO V. ACCESO A INFORMACIÓN Y DEBERES DE SUS MIEMBROS

Artículo 13.- Acceso a información y colaboración

  1. La Dirección de Auditoría Interna y Riesgos, a través de su director o de la persona que éste designe, tendrá acceso a la documentación, información o a los sistemas de información que considere necesarios o convenientes para el ejercicio de sus competencias, cumpliendo en todo caso lo previsto en la normativa legal e interna de la Sociedad.
  2. En el ejercicio de sus competencias, la Dirección de Auditoría Interna y Riesgos podrá recabar la colaboración de cualquier miembro del equipo directivo o profesional de la Sociedad, así como de otras áreas especializadas tanto internas como externas.

Artículo 14.- Deberes

  1. Los miembros de la Dirección de Auditoría Interna y Riesgos deberán:
    1. Actuar con independencia de criterio y de acción respecto del resto de la organización y ejecutar su trabajo conforme con las Normas globales de auditoría interna, incluyendo, en particular, los principios de ética y profesionalidad, integridad, objetividad, competencia, debido cuidado profesional y confidencialidad.
    2. Abstenerse de revelar las informaciones, datos, informes o antecedentes a los que tengan acceso en el ejercicio de su cargo, así como de utilizarlos en beneficio propio o de terceros, sin perjuicio de las obligaciones de transparencia e información aplicables. Esta obligación de confidencialidad subsistirá aun cuando hayan cesado en el cargo.
  2. Los profesionales adscritos a la Dirección de Auditoría Interna y Riesgos se comprometen a cumplir con los preceptos obligatorios establecidos en el Marco internacional para la práctica profesional de la Auditoría Interna aprobado por el Instituto de Auditores Internos (IIA), además de con la demás normativa legal e interna que les resulte aplicable.