[5.2] Triple línea de defensa

Modelo de control interno

El Sistema de control interno de Iberdrola y las sociedades de su grupo se configura tomando como referencia las mejores prácticas internacionales. Está basado en un aseguramiento combinado en torno a tres líneas de defensa, proporcionando una visión integrada de cómo las diferentes partes de la organización interactúan de una manera efectiva y coordinada, haciendo más eficaces los procesos de gestión y control interno de los riesgos relevantes de la entidad.

Modelo de tres líneas de defensa

Basado en el documento “Guidance on the 8th EU Company Low Directive, article 41” ECIIA/FERMA, Septiembre 2010.

1a línea de defensa Gestión Operativa

El equipo directivo y los profesionales de Iberdrola y su grupo, como primera línea de defensa, son los gestores directos de los riesgos de la entidad. De esta forma, la Dirección de la Sociedad es la responsable de mantener un control efectivo y de ejecutar procedimientos de control sobre los riesgos de manera continuada.

Objetivos de Control Interno (COSO. Mayo 2013)
Objetivos operativos- Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad, incluidos sus objetivos de rendimiento financiero y operacional, y la protección de activos frente a posibles pérdidas.
Objetivos de información- Hacen referencia a la información financiera y no financiera interna y externa y pueden abarcar aspectos de confiabilidad, oportunidad, transparencia u otros conceptos establecidos por los reguladores, organismos reconocidos o políticas de la propia entidad.
Objetivos de cumplimiento- Hacen referencia al cumplimiento de las leyes y regulaciones a las que está sujeta la entidad.

Riesgos relevantes de los principales negocios de Iberdrola: Redes
Riesgos relevantes de los principales negocios de Iberdrola: Generación y Clientes
Riesgos relevantes de los principales negocios de Iberdrola: Renovables

2a línea de defensa Funciones de Aseguramiento

Determinadas funciones proporcionan, como segunda línea de defensa, la base donde se asienta el Sistema de control interno de la entidad, proponiendo al Consejo de Administración directrices y controlando cómo la primera línea de defensa ejecuta las mismas.

Las principales funciones de aseguramiento en Iberdrola, dentro de sus respectivos ámbitos de responsabilidad son: (i) la Dirección de Riesgos del grupo, en el marco de sus funciones en el Sistema integral de control y gestión de riesgos; (ii) la Dirección de Ciberseguridad perteneciente a la Dirección de Seguridad Corporativa, mediante la supervisión, monitorización y reporting de los riesgos de ciberseguridad; (iii) la Unidad de Cumplimiento, responsable de velar proactivamente por el funcionamiento eficaz del Sistema de cumplimiento; y (iv) la Dirección de Control Interno perteneciente a la Dirección de Administración y Control, en sus responsabilidades relativas a los sistemas internos de control y gestión de riesgos en relación con el proceso de elaboración de la información financiera (SCIIF).

Sistema integral de control y gestión de riesgos
Unidad de Cumplimiento

Iberdrola adopta el modelo de tres líneas de defensa como garantía de gestión efectiva e integrada de su Sistema de control interno.

3a línea de defensa Auditoría Interna

La función del área de Auditoría Interna, en su condición de tercera línea de defensa, es la de velar proactivamente por el buen funcionamiento de los sistemas de control interno, de gestión de riesgos y de gobierno, auditando de forma sistemática a la primera y segunda línea en la ejecución de sus respectivas responsabilidades de gestión y control.

Como garantía de independencia, la directora del Área de Auditoría Interna depende jerárquicamente del presidente del Consejo de Administración y funcionalmente de la Comisión de Auditoría y Supervisión del Riesgo. Con este mismo posicionamiento existen direcciones de Auditoría Interna en las distintas sociedades subholding, coordinadas bajo el marco de la Norma Básica de Auditoría Interna de Iberdrola y su grupo, que forma parte del Sistema de gobierno corporativo de Iberdrola.

Los planes anuales de actividades 2019 de la Dirección del Área de Auditoría Interna de Iberdrola y de las direcciones de Auditoría Interna del grupo, con un enfoque basado en riesgos orientado a apoyar la consecución de los objetivos estratégicos de la compañía, respondieron a los requerimientos fijados por la Comisión de Auditoría y Supervisión del Riesgo de Iberdrola y las respectivas Comisiones de Auditoría y Cumplimiento de las sociedades subholding, e incluyeron trabajos para la alta dirección y el resto de la organización, entre otros:

  • Revisiones semestrales de la operación de los controles más críticos del Sistema de Control Interno de Información Financiera (SCIIF), así como revisiones de diversos ciclos de la elaboración de la información financiera de Iberdrola, S.A. y de distintas sociedades del grupo, en el marco del objetivo general de revisar la totalidad del SCIIF en un periodo de 5 años.
  • Auditorías sobre procesos y riesgos clave, corporativos y de negocio, tomando como marco de referencia las Políticas de riesgo aprobadas anualmente por el Consejo de Administración.
  • Auditorías sobre los programas y marcos de cumplimiento, establecidos por el grupo en los distintos ámbitos de aplicación, tales como el programa de prevención de delitos.

Continuando con el compromiso adquirido en 2005, el área de Auditoría Interna se somete una vez cada cinco años a una revisión exhaustiva del cumplimiento de las normas de auditoría interna por parte del Instituto Global de Auditores Internos (denominada Quality Assesment). En la última revisión, realizada en 2015, se renovó la certificación de Iberdrola, S.A. y de ScottishPower, y se extendió el alcance de la certificación a Iberdrola España y a Avangrid.

Además, desde 1999 el área de Auditoría Interna cuenta con la certificación ISO 9001, adaptada a la versión 9001:2015. De esta forma, se garantiza que todos los auditores internos del grupo ejecutan sus funciones bajo el mismo marco y que éste está alineado con las normas profesionales internacionales de la función.

Norma Básica de Auditoría Interna de Iberdrola S.A. y su grupo
Aprobada por el Consejo de Administración de Iberdrola a propuesta de su Comisión de Auditoría y Supervisión del Riesgo (actualizada el 28-mar-2019).
Define la naturaleza, como unidad interna independiente, y establece regulación, competencias, facultades y deberes de Auditoría Interna, entre otros.
Establece el marco de relaciones con: i) el Consejo de Administración, su Presidente y Comisiones; ii) las direcciones de Auditoría Interna de las demás sociedades del grupo; y iii) el resto de la organización.
Difunde el conocimiento de la función de Auditoría Interna entre los profesionales del grupo.
Sirve de referencia para el modelo de gestión y el sistema de calidad del Área de Auditoría Interna de la Sociedad y las direcciones de Auditoría Interna de las demás sociedades del grupo.

Aseguramiento externo

Los organismos reguladores y otros entes externos a la organización juegan un papel relevante en la estructura general de gobierno, control interno y riesgos de Iberdrola, especialmente en los negocios regulados. Así, los reguladores establecen requerimientos con la intención de fortalecer los controles de una organización y realizan una función de vigilancia independiente y separada y los auditores de cuentas proporcionan aseguramiento sobre la imagen fiel de la información financiera de la entidad. Al respecto, entre sus competencias, la Comisión de Auditoría y Supervisión del Riesgo de Iberdrola y las Comisiones de Auditoría y Cumplimiento de las sociedades subholding velan por preservar la independencia de los auditores de cuentas en el ejercicio de sus funciones.

Entorno regulatorio
Informe de auditoría de cuentas anuales consolidadas