La identificación
y gestión de los riesgos

Cinco grandes categorías conforman la estructura de nuestro mapa de riesgos.

La compañía lleva a cabo sus actividades en numerosos países, bajo múltiples marcos regulatorios y en diversos ámbitos del negocio del petróleo y del gas. Como consecuencia de esto, se pueden materializar los siguientes tipos de riesgos:

• Riesgos financieros y de mercado, derivados de la volatilidad de los precios del petróleo, gas natural y sus productos derivados, tipos de cambio y tipos de interés. Además, recogen aquellos relacionados con las posiciones de liquidez y solvencia de Repsol, así como los de contraparte, derivados de los contratos financieros y de los compromisos comerciales con proveedores o clientes.
• Riesgos relacionados con la estrategia de la compañía, gestión del portafolio y asignación de recursos asociados a decisiones internas que requieren de la aprobación del Comité de Dirección/Consejo de Administración.
• Riesgos de entorno, relacionados con factores exógenos a la compañía, como el contexto macroeconómico, sector en el que opera, riesgo país, catástrofes naturales, competidores, relación con socios y la percepción de las partes interesadas.
• Riesgos regulatorios y de cumplimiento, relacionados con cambios regulatorios y con el cumplimiento de la regulación y normativa aplicable en materia legal, fiscal, seguridad y medio ambiente, reporte, y aspectos de gobierno corporativo.
• Riesgos operativos asociados a la eficacia y eficiencia de las operaciones, son aquellos que pudieran materializarse en el caso de existencia de procesos internos inadecuados o erróneos. Entre ellos cabe destacar los de ética y conducta, seguridad y medio ambiente o los relativos a la vulneración de derechos humanos.

Estas cinco grandes categorías conforman la estructura de nuestro mapa de riesgos y recogen los principales riesgos para la compañía, identificándose las unidades participantes en su gestión, control y supervisión, los parámetros y controles existentes, y la normativa aplicable.

Anualmente, sometemos el mapa de riesgos a un proceso de revisión que es coordinado por la Dirección de Auditoría y Control. Se solicita a cada unidad responsable de la gestión de riesgos la actualización de los mismos en función de la evolución de los principales indicadores y condiciones del entorno.

Modelo de prevención de delitos

En 2011, y como consecuencia de la reforma del Código Penal español, la compañía ha implementado un modelo de prevención de delitos en España que tiene como objetivos prevenir y, en su caso, descubrir conductas delictivas por parte de los administradores y empleados de las compañías españolas del grupo y, en consecuencia, mitigar la responsabilidad penal de la sociedad y de los administradores, evitar las posibles sanciones y consecuencias negativas sobre la reputación del grupo y los mercados de capitales, así como alinear a las sociedades españolas de la compañía con las mejores prácticas en materia de anticorrupción. El adecuado diseño y funcionamiento de este modelo ha sido verificado por una firma externa independiente.

Esta iniciativa ha contribuido a reforzar los mecanismos de identificación, valoración y mitigación de riesgos de incumplimiento de los principios establecidos en la Norma de Ética y Conducta de Repsol.

Acciones para minimizar los riesgos

La Dirección de Auditoría y Control evalúa la eficacia de los sistemas de control interno, y monitoriza modelos de cumplimiento y riesgos existentes en la compañía:

• Sistema de Control Interno sobre la Información Financiera (SCIIF) basado en el marco metodológico de COSO (Committee of Sponsoring Organizations of the Treadway Commission) y estructurado en base a cinco componentes: i) entorno de control de la entidad, ii) evaluación de riesgos, iii) actividades de control, iv) información y comunicación y v) supervisión del funcionamiento del sistema. El SCIIF se despliega en ciclos, cada uno de los cuales se compone de procesos a los que se les asigna un grado de criticidad y un conjunto de objetivos de control con el propósito de mitigar los riesgos asociados al proceso de elaboración de la información financiera. A partir de esta asignación se identifican los controles que cubren los riesgos de cada proceso.

  Las distintas unidades de negocio y áreas corporativas identificadas como "dueños de los controles" son las responsables de asegurar la vigencia y ejecución de los controles, así como el adecuado diseño de los procesos asociados a los mismos.

  Todos los controles del modelo son evaluados anualmente en diseño y funcionamiento por la Dirección de Auditoría y Control.

  El SCIIF está formado por un total de 1.082 controles cuyo correcto funcionamiento permite cubrir, de forma razonable, los riesgos asociados a la fiabilidad del reporte financiero de la compañía.

• Modelo de prevención de delitos de las sociedades españolas: La D. Auditoría y Control, en coordinación con las áreas de Servicios Jurídicos y Gobierno Corporativo, monitoriza los procesos de autoevaluación y certificación de los controles por parte de sus responsables, así como la verificación de su adecuado diseño y funcionamiento por parte de una firma externa independiente, conforme a lo establecido en el plan anual del modelo de prevención de delitos de las sociedades españolas. Los resultados de estos procesos de evaluación del modelo son reportados a la Secretaría General y del Consejo de Administración, y a la Comisión de Auditoría y Control.
• Programa de cumplimiento normativo: la compañía dispone de un programa que monitoriza el cumplimiento de las obligaciones legales de carácter formal con entidades públicas (Gobiernos, Administraciones Públicas y/o Autoridades Públicas), relativas a las actividades que se realizan en los diferentes países, y que contribuye a mitigar los riesgos de cumplimiento. Este programa alcanza a 43 países y está fundamentado en la autoevaluación periódica de cumplimento que realizan las distintas áreas.
• Mapa de riesgos.

Adicionalmente, la planificación anual de proyectos de auditoría se lleva a cabo con un enfoque de riesgos, priorizando la revisión de aquellas unidades, procesos o países en los que se percibe una mayor criticidad. Todo ello se realiza conforme a una metodología de identificación y evaluación de riesgos que tiene como punto de partida nuestro mapa de riesgos. Una vez identificados los proyectos a realizar, el alcance de la revisión a acometer en cada caso se determina en función de la evaluación específica de riesgos para la/s unidad/es y proceso/s a revisar.

Asimismo, se monitorizan de forma continua un conjunto de indicadores en procesos relevantes para la compañía. La contribución de esta actividad a la minimización de riesgos viene derivada de un notable incremento de la cobertura de las transacciones auditadas, así como la detección temprana de incidencias que supone una reducción de su impacto potencial. A 31 de diciembre de 2011 se estaban monitorizando 875 puntos de control al mes, correspondientes a indicadores implantados en 27 sociedades de Repsol, ubicadas en 16 países.

Las acciones para minimizar los riesgos se representan en el siguiente cuadro: