[5.2] El Modelo de las Tres Líneas

Un modelo basado en principios

El Sistema de control interno de Iberdrola y las sociedades de su grupo se configura tomando como referencia las mejores prácticas internacionales. El Modelo de las Tres Líneas, publicado el 20 de julio de 2020 por el Institute of Internal Auditors, actualiza el anterior Modelo de las Tres Líneas de Defensa, y está basado en un aseguramiento combinado en torno a tres líneas, proporcionando una visión integrada de cómo las diferentes partes de la organización interactúan de una manera efectiva y coordinada, haciendo más eficaces los procesos de gestión y control interno de los riesgos relevantes de la entidad.

El Modelo de las Tres Líneas

Basado en el documento “El modelo de las tres líneas del IIA 2020. Una actualización de las tres líneas de defensa”. IIA 2020.

Iberdrola adopta el Modelo de las Tres Líneas como garantía de su modelo de control interno.

Principio 1:
Gobierno

El gobierno de Iberdrola cuenta con estructuras y procesos apropiados que permiten:

  • Rendición de cuentas por parte del Consejo de Administración a los grupos de interés para la supervisión de la organización a través de la integridad, el liderazgo y la transparencia.
  • Acciones (incluyendo la gestión del riesgo) por parte de la dirección para lograr los objetivos del plan estratégico a través de la toma de decisiones basada en el riesgo y la aplicación de recursos.
  • Aseguramiento y asesoramiento por parte de la función de auditoría interna para proporcionar claridad y confianza y para promover y facilitar la mejora continua a través de una investigación rigurosa y una comunicación perspicaz.

Principio 2:
Funciones del órgano de gobierno

El Consejo de Administración de Iberdrola:

  • Asegura que se han establecido estructuras y procesos adecuados para un gobierno eficaz.
  • Asegura que los objetivos y actividades de la organización están alineados con los intereses prioritarios de los grupos de interés.
  • Delega la responsabilidad y proporciona recursos a la dirección para alcanzar los objetivos mientras asegura que se cumplan las expectativas legales, regulatorias y éticas.
  • Establece y supervisa la función de auditoría interna independiente, objetiva y competente para proporcionar claridad y confianza en el progreso hacia el logro de los objetivos.

Principio 3:
Dirección y funciones de primera y segunda líneas

La responsabilidad de la dirección de alcanzar los objetivos organizativos comprende tanto las funciones de primera como las de segunda línea. El equipo directivo y los profesionales de Iberdrola y su grupo son los gestores directos de los riesgos de la entidad. De esta forma, la Dirección de la Sociedad es la responsable de mantener un control efectivo y de ejecutar procedimientos de control sobre los riesgos de manera continuada, basados en los objetivos de Control Interno del modelo COSO (operativos, de información y de cumplimiento – Committee of Sponsoring Organizations, mayo 2013).

Riesgos relevantes de los principales negocios de Iberdrola: Redes
Riesgos relevantes de los principales negocios de Iberdrola: Renovables
Riesgos relevantes de los principales negocios de Iberdrola: Generación y clientes

Las principales funciones de aseguramiento en Iberdrola, dentro de sus respectivos ámbitos de responsabilidad, son: (i) la Dirección de Riesgos del grupo, en el marco de sus funciones en el Sistema integral de control y gestión de riesgos; (ii) la Dirección de Aseguramiento Interno, perteneciente, como la anterior, al área de Gestión de Riesgos y Aseguramiento Interno, en sus responsabilidades relativas a los sistemas internos de control y gestión de riesgos en relación con el proceso de elaboración de la información financiera (Sistema de Control Interno de la Información Financiera, SCIIF) y no financiera (Sistema de Control Interno de la Información No Financiera, SCIINF) y con el entorno SAP; (iii) la Unidad de Cumplimiento, responsable de velar proactivamente por el funcionamiento eficaz del Sistema de cumplimiento —sin perjuicio de lo anterior, en los procesos de información financiera y no financiera, su papel se considera de tercera línea por el aseguramiento que proporciona de manera independiente en relación con el riesgo de incumplimiento de la normativa legal—; y (iv) la Dirección de Ciberseguridad, parte de la Dirección de Seguridad Corporativa, que supervisa, monitoriza e informa de los riesgos de ciberseguridad.

Sistema integral de control y gestión de riesgos
Unidad de Cumplimiento

Principio 4:
Funciones de la tercera línea

La función del área de Auditoría Interna es la de velar proactivamente por el buen funcionamiento de los sistemas de control interno, de gestión de riesgos y de gobierno, auditando de forma sistemática las funciones de primera y segunda línea en la ejecución de sus respectivas responsabilidades de gestión y control.

Como garantía de independencia, la directora del Área de Auditoría Interna depende jerárquicamente del presidente del Consejo de Administración y funcionalmente de la Comisión de Auditoría y Supervisión del Riesgo de Iberdrola (CASR). Con este mismo posicionamiento existen Comisiones de Auditoría y Cumplimiento (CAC) y direcciones de Auditoría Interna en las distintas sociedades subholding, coordinadas bajo el marco de la Norma Básica de Auditoría Interna. Esta norma, aprobada por el Consejo de Administración, forma parte del Sistema de gobernanza y sostenibilidad y establece la regulación, los deberes, competencias y facultades de Auditoría Interna, así como su marco de relaciones dentro del grupo.

Los planes anuales de actividades 2020 de la Dirección del Área de Auditoría Interna de Iberdrola y de las direcciones de Auditoría Interna del grupo, con un enfoque basado en riesgos, respondieron a los requerimientos fijados por la CASR y las respectivas CAC de las sociedades subholding, e incluyeron:

  • Revisiones semestrales de la operación de los controles más críticos del SCIIF, así como de diversos ciclos de la elaboración de la información financiera, en el marco de la revisión de todo el SCIIF en 5 años.
  • Auditorías sobre procesos y riesgos clave, corporativos y de negocio, tomando como marco de referencia las Políticas de riesgo aprobadas anualmente por el Consejo de Administración.
  • Auditorías sobre los programas de cumplimiento.

En 2020, Iberdrola ha completado satisfactoriamente la Evaluación de Calidad realizada por el Instituto de Auditores Internos de España (Quality Assurance).

Principio 5:
Independencia de la tercera línea

La independencia de la auditoría interna de las responsabilidades de la dirección es fundamental para su objetividad, autoridad y credibilidad. En Iberdrola se establece mediante: la rendición de cuentas ante el Consejo de Administración; el acceso sin restricciones a las personas, los recursos y los datos necesarios para completar su trabajo; y la ausencia de prejuicios o interferencias en la prestación de servicios de auditoría.

Principio 6:
Creación y protección de valor

En Iberdrola, todas las funciones están alineadas entre sí y con los intereses de los grupos de interés, contribuyendo a la creación y protección del valor.

Proveedores de aseguramiento externo

Los reguladores establecen requerimientos para fortalecer los controles de las organizaciones y realizan una función de vigilancia independiente. Adicionalmente, entre sus competencias, la CASR y las CAC velan por preservar la independencia de los auditores de cuentas, que proporcionan aseguramiento sobre la imagen fiel de la información financiera de Iberdrola.

Informe de auditoría de cuentas anuales consolidadas