Bases generales de control y gestión de riesgos del Grupo Iberdrola
Iberdrola gestiona las amenazas que puedan impedir lograr sus objetivos y ejecutar sus estrategias con éxito


Bases generales de control y gestión de riesgos del Grupo Iberdrola
25 de febrero de 2025
El Consejo de Administración de IBERDROLA, S.A. (la “Sociedad”) tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad de la Sociedad y, específicamente, de aprobar y actualizar las bases o las políticas, las cuales contienen las pautas que rigen la actuación de la Sociedad y, además, en lo que sea de aplicación, inspiran, presiden e informan las políticas que, en ejercicio de su autonomía de la voluntad, decidan aprobar las sociedades integradas en el grupo cuya entidad dominante es, en el sentido establecido por la ley, la Sociedad (el “Grupo”).
En ejercicio de estas competencias y en el marco de la normativa aplicable, de los Estatutos Sociales y del Propósito y Valores del Grupo Iberdrola, el Consejo de Administración aprueba estas Bases generales de control y gestión de riesgos del Grupo Iberdrola (las “Bases”).
1. Finalidad
La finalidad de estas Bases es establecer mecanismos de gestión de riesgos, identificar los principales riesgos a los que se enfrentan las sociedades del Grupo dada la naturaleza de sus actividades y los mercados en los que operan, y fijar el marco general de actuación para la configuración del Sistema integral de control y gestión de riesgos y para su seguimiento periódico y la supervisión de los sistemas internos de control y gestión de riesgos.
Estas Bases se desarrollan y complementan con directrices y limites que puedan establecerse en relación con determinados riesgos corporativos o de negocios y que también son objeto de aprobación y revisión por el Consejo de Administración de la Sociedad (las “Directrices”), a propuesta de la Comisión de Auditoría y Supervisión del Riesgo.
Asimismo, estas Bases y las Directrices se complementan con las políticas y normas integrantes del Sistema de gobernanza y sostenibilidad de la Sociedad o de los sistemas de gobernanza y sostenibilidad que las demás compañías del Grupo aprueben en el ejercicio de sus competencias y de su autonomía de la voluntad.
Corresponde a las sociedades subholding adoptar las Bases, así como las Directrices aprobadas por el Consejo de Administración de la Sociedad y concretar su aplicación, aprobando, en su caso directrices y límites de riesgo específicos, atendiendo a las necesidades, características y singularidades de los negocios y de los distintos países o territorios.
Los órganos de administración correspondientes de las sociedades cabecera de los negocios o países (las “Sociedades cabecera”) deberán aprobar los límites riesgo específicos aplicables a cada una de las directrices y límites de riesgo aprobadas por las sociedades subholding e implantar los sistemas de control necesarios para garantizar su cumplimiento, para lo cual tomarán en consideración las directrices y límites de riesgo establecidos por la correspondiente sociedad subholding.
2. Ámbito de aplicación
Estas Bases son de aplicación a todas las sociedades que integran el Grupo, así como a las sociedades participadas por la Sociedad que no forman parte del Grupo, pero sobre las que tiene un control efectivo, dentro de los límites establecidos por las normas legales y por sus respectivos sistemas de gobernanza y sostenibilidad.
Sin perjuicio de lo dispuesto en el párrafo anterior, en la medida en que formen parte del Grupo sociedades subholding cotizadas, ellas y sus filiales, al amparo de su propio marco especial de autonomía reforzada, podrán establecer principios y normas, que deberán tener un contenido conforme a lo previsto en estas Bases.
3. Mecanismos de gestión de riesgos
Las sociedades del Grupo se encuentran afectadas por diversos riesgos inherentes a la naturaleza de las actividades que desarrollan y a los distintos países, territorios, negocios, sectores y mercados en los que operan, que pueden dificultar o impedir el logro de sus objetivos y la ejecución de sus estrategias con éxito.
El Consejo de Administración de la Sociedad, consciente de la importancia de este aspecto, se compromete a desarrollar medidas para que, en el ejercicio y con los límites de sus competencias, los riesgos significativos de las actividades y negocios de las sociedades del Grupo se encuentren adecuadamente identificados, medidos, gestionados y controlados. En particular, establece mecanismos para una adecuada gestión del binomio riesgo-oportunidad con un nivel de riesgo que permita:
a) Alcanzar los objetivos estratégicos que se determinen a nivel del Grupo con una volatilidad controlada.
b) Aportar el máximo nivel de garantías a los accionistas.
c) Defender los intereses de los accionistas y comunidad financiera, de los clientes y de otros Grupos de interés de las sociedades del Grupo.
d) Proteger los resultados y la reputación a nivel del Grupo.
e) Garantizar la estabilidad empresarial y la solidez financiera de forma sostenida en el tiempo.
f) Dar a conocer la cultura del riesgo entre los profesionales de las sociedades del Grupo a través de programas de comunicación y de formación.
En este sentido, toda actuación dirigida a controlar y mitigar los riesgos atenderá a los siguientes principios:
(i) Integrar la visión del riesgo-oportunidad en la gestión de la Sociedad y de las demás compañías del Grupo, a través de la definición de la estrategia y del apetito al riesgo e incorporar esta variable a las decisiones estratégicas y operativas que adopten cada una de ellas, todo ello orientado a contribuir de forma activa al correcto funcionamiento y despliegue del Sistema integral de control y gestión de riesgos.
(ii) Segregar, a nivel operativo, las funciones entre las áreas tomadoras de riesgos y las áreas responsables de su análisis, control y supervisión, garantizando un adecuado nivel de independencia e identificación de roles y responsabilidades de los distintos actores en el control y la gestión de riesgos en las sociedades del Grupo.
(iii) Asegurar un cumplimiento adecuado de las normas de gobierno corporativo desarrollando procesos de debida diligencia, control y seguimiento para la adecuada implementación y cumplimiento de las citadas normas aplicables a cada una de las sociedades del Grupo, e instrumentar su seguimiento y medición.
(iv) Informar con transparencia, en particular a los reguladores y principales agentes externos, sobre los riesgos de las sociedades del Grupo y el funcionamiento de los sistemas desarrollados para su control manteniendo los canales adecuados para favorecer la comunicación con aquellos.
(v) Establecer adecuados sistemas de información y control para controlar y gestionar los riesgos.
(vi) Actuar en todo momento al amparo de los valores y estándares de conducta reflejados en el Código ético, bajo el principio de “tolerancia cero” frente a actuaciones irregulares y a actos ilícitos o contrarios a la ley o al sistema de gobernanza y sostenibilidad de las sociedades del Grupo.
Además, toda actuación dirigida a controlar y mitigar los riesgos atenderá a: (i) las particularidades que para cada materia se puedan establecer en las políticas y normas del Sistema de gobernanza y sostenibilidad de la Sociedad o de los sistemas de gobernanza y sostenibilidad que las demás compañías del Grupo aprueban en ejercicio de sus competencias y de su autonomía de la voluntad; y (ii) lo previsto en las Directrices que podrán establecer, entre otros aspectos, pautas básicas de actuación.
4. Categoría de riesgos
Con carácter general, se considera un riesgo cualquier amenaza de que un evento, acción u omisión pueda impedir a las sociedades del Grupo lograr sus objetivos y ejecutar sus estrategias con éxito.
La tipología de riesgos a los que están sometidas las compañías del Grupo dada la naturaleza de sus actividades y los mercados en los que operan son, con carácter general, los que se relacionan a continuación:
a) Riesgos de gobierno y de sostenibilidad: riesgos derivados de un eventual incumplimiento de lo dispuesto por los sistemas de gobernanza y sostenibilidad de cada sociedad del Grupo, incluyendo la legislación contra la corrupción y el fraude.
b) Riesgos de negocio y mercado: riesgos relacionados con variables clave intrínsecas a las distintas actividades de la Sociedad y de las demás compañías del Grupo, a través de sus negocios, como son las características de la demanda, posicionamiento y gestión de la cartera de productos, así como la incertidumbre generada por la volatilidad de los precios de mercado de variables fundamentales como son el precio de la electricidad o del gas y de las materias primas.
c) Riesgos de crédito y financieros: riesgos relacionados con la posibilidad de que una contraparte incumpla sus obligaciones contractuales y ocasione en la Sociedad o en las demás compañías del Grupo una pérdida económica o financiera, incluyendo los riesgos de liquidación y coste de sustitución, así como los relativos a la volatilidad de variables (tales como el tipo de cambio, el tipo de interés o la inflación) y aquellos relacionados con la solvencia y la liquidez.
d) Riesgos estratégicos, regulatorios, fiscales y legales: riesgos asociados al entorno macroeconómico, geopolítico y social, así como los provenientes de cambios regulatorios o en la normativa fiscal. Incluyen, también, riesgos asociados a la estrategia de la Sociedad y de las demás compañías del Grupo, como decisiones de inversión y desinversión, o motivados por el entorno competitivo.
e) Riesgos operacionales: riesgos referidos a las pérdidas económicas, directas o indirectas, ocasionadas por eventos externos, errores o procesos internos inadecuados, así como los que afecten a la capacidad de dar una respuesta adecuada ante eventos de cualquier naturaleza que afecten a la continuidad de los procesos prioritarios.
f) Riesgos tecnológicos y de seguridad integral: riesgos relacionados con la gestión y el funcionamiento apropiado de las tecnologías de la información (“IT”, por sus siglas en inglés) y de las operacionales (“OT”, por sus siglas en inglés), así como los motivados por la adopción de nuevas tecnologías, incluyendo la inteligencia artificial. Incluye, también, los riesgos relacionados con la seguridad de las personas, los activos tangibles e intangibles y los sistemas de información, incluyendo la ciberseguridad, así como de la privacidad de los datos personales tratados y el cumplimiento de la normativa relacionada.
Para estos riesgos se tendrá en cuenta su potencial impacto negativo en el valor de las sociedades del Grupo, resultado de comportamientos por parte de la sociedad correspondiente por debajo de las expectativas creadas en los distintos Grupos de interés, −tal y como estos se definen en la Política de relaciones con los Grupos de interés− y que podrían derivar en un riesgo reputacional.
Dado el carácter multidimensional de los riesgos, la taxonomía contempla variables de clasificación adicionales para su mejor seguimiento, control y reporte, incluyéndose, entre otras, la de riesgos emergentes, entendidos como nuevas amenazas posibles, con impacto incierto y de probabilidad indefinida, en crecimiento y que podrían llegar a ser significativos para las sociedades del Grupo.
5. Sistema integral de control y gestión de riesgos
Estas Bases se materializan a través del diseño de un Sistema integral de control y gestión de riesgos, entendido como el modelo operativo global para la identificación, evaluación, control y gestión de los riesgos relevantes a los que se enfrenta la Sociedad y las demás compañías del Grupo.
Este Sistema integral de control y gestión de riesgos se fundamenta en lo previsto en estas Bases, así como en las pautas básicas que se puedan establecer junto con el apetito al riesgo, principalmente, en las Directrices, establecidas en el marco de estas Bases, así como en los objetivos y en el plan estratégico establecido a nivel del Grupo, integrando bajo una metodología y una taxonomía comunes, el conjunto de mecanismos, actuaciones materiales y marcos de control desarrollados a tal fin.
El Sistema integral de control y gestión de riesgos se diseña de acuerdo con las mejores prácticas internacionales en control y gestión de riesgos empresariales e incluye los siguientes elementos:
a) La identificación de forma continuada de los riesgos y amenazas relevantes (incluyendo pasivos contingentes y otros riesgos fuera de balance), atendiendo a su posible incidencia sobre la estrategia, los objetivos clave de gestión, los estados financieros y la reputación de las compañías del Grupo.
b) El análisis y evaluación de dichos riesgos, tanto en cada uno de los negocios o áreas corporativas, como atendiendo a su efecto integrado sobre el conjunto de las sociedades del Grupo, para lo cual se promoverá la utilización de criterios comunes de mediación, control y cuantificación de riesgos.
c) El desarrollo de sistemas de debida diligencia, control y seguimiento para el cumplimiento de las políticas, que incluyan mecanismos de prevención, detección y mitigación ante posibles situaciones de riesgos que se puedan producir.
d) El establecimiento de una estructura de directrices y límites e indicadores de riesgo, así como de los correspondientes mecanismos para su aprobación y despliegue, que revisan y establecen el apetito de riesgo respecto de determinados riesgos específicos de las compañías del Grupo, que son aprobadas por el Consejo de Administración de la Sociedad y, en su caso, por otras sociedades del Grupo conforme a lo previsto en estas Bases, y que se revisan, al menos, anualmente.
e) La evaluación continua de la idoneidad y de la eficiencia de la aplicación del sistema y de las mejores prácticas y recomendaciones en materia de riesgos para su eventual incorporación al modelo.
f) La implementación de sistemas de información y control interno para controlar y gestionar los riesgos.
g) La auditoría del Sistema integral de control y gestión de riesgos.
Se han establecido a nivel del Grupo una adecuada asignación de funciones y responsabilidades a nivel operativo y de supervisión de los distintos riesgos y amenazas relevantes, así como procedimientos, metodologías y herramientas de soporte del Sistema integral de control y gestión de riesgos, en las que participan las distintas áreas corporativas y de negocio y funciones. En este sentido, participan:
(i) Las áreas corporativas y de negocio, que son los primeros responsables de la identificación, gestión y control de los riesgos que afectan a su ámbito competencial (“propietarios de los riesgos”).
(ii) Los responsables de la definición, implementación, despliegue y supervisión de las normas y políticas del Sistema de gobernanza y sostenibilidad de la Sociedad y de los sistemas de gobernanza y sostenibilidad de las demás compañías del Grupo, así como de las Directrices que en su caso se aprueben en desarrollo de estas Bases, en cuanto que contienen marcos de control relativos a determinados riesgos transversales para los que se han aprobado unos principios básicos de actuación (“áreas especialistas”).
(iii) La dirección de riesgos, que depende de la Dirección de Auditoría Interna y Riesgos de la Sociedad y se configura como una función independiente, responsable de liderar el diseño e implementación del Sistema integral de control y gestión de riesgos para la identificación y gestión de los riesgos relevantes a los que se enfrentan las sociedades del Grupo.
6. Supervisión del Sistema integral de control y gestión de riesgos
El Consejo de Administración de la Sociedad cuenta con la colaboración de la Comisión de Auditoría y Supervisión del Riesgo que, en el marco de sus competencias como órgano consultivo, supervisa e informa sobre la eficacia del sistema de control y gestión de riesgos.
Para la implementación y el eficaz funcionamiento del Sistema integral de control y gestión de riesgos, se ha creado el Comité de Riesgos como un órgano interno y permanente de carácter transversal, del que forman parte representantes de las distintas áreas corporativas y de negocio de la Sociedad.
Corresponderá al Comité de Riesgos supervisar que: (i) los principales riesgos estén adecuadamente identificados y gestionados dentro del apetito de riesgo establecido por el Consejo de Administración; y (ii) que los sistemas de información y control interno implantados para su gestión y control funcionan adecuadamente.
7. Implementación y seguimiento
La responsabilidad de la implementación de estas Bases y el cumplimiento de sus objetivos recae en la Dirección de Auditoría Interna y Riesgos de la Sociedad, a través de la función de la Dirección de Riesgos (o las direcciones que, en cada momento, asuman sus respectivas facultades), quien establecerá los mecanismos de coordinación necesarios entre los diferentes actores del Sistema integral de control y gestión de riesgos.
La Dirección de Auditoría Interna y Riesgos de la Sociedad (o la dirección que, en cada momento, asuma sus facultades) se coordinará con las correspondientes direcciones de las demás sociedades del Grupo en sus respectivos ámbitos de competencia. En particular, cuenta con el apoyo de las direcciones de auditoría interna y riesgos de las demás compañías del Grupo, que se ocupan de la implantación y seguimiento de las directrices y límites de riesgo.
Estas Bases, que fueron aprobadas por el Consejo de Administración el 25 de febrero de 2025, integran el contenido de la Política general de control y gestión de riesgos acordada inicialmente el 18 de diciembre de 2007, que deja de estar en vigor.