6. Planes de respuesta y supervisión para los principales riesgos de la entidad
El Grupo cuenta con planes de respuesta que están dirigidos a reducir el impacto y la probabilidad de materialización de los riesgos críticos detallados en el punto 3 o a mejorar el nivel de preparación al riesgo.
A continuación se exponen los principales planes respuesta para cada categoría de riesgos:
6.1. Entorno de negocio
Con el fin de reducir la exposición al riesgo en esta área, el Grupo realiza un análisis de viabilidad de cada nuevo mercado, línea de negocio o tienda, contemplando escenarios pesimistas, y realiza a posteriori un seguimiento del cumplimiento de las cifras estimadas. Por otra parte, el modelo de negocio del Grupo no sólo se basa en la gestión de nuevas aperturas sino en la mejora de la eficiencia y eficacia de los mercados, líneas de negocio y tiendas ya existentes, de forma que el crecimiento, vía expansión y diversificación, se vea complementado por el crecimiento orgánico del negocio actual.
En esta línea, la política de internacionalización, el formato multimarca del Grupo y la apuesta por las nuevas tecnologías como alternativa de comunicación y venta a nuestros clientes representan una vía de diversificación del riesgo que mitiga la exposición conjunta a este riesgo del entorno.
6.2. Normativo y Regulatorio
Con el fin de reducir la exposición al riesgo en esta área, y garantizar un adecuado cumplimiento de la legislación local vigente, los departamentos Jurídico, de Propiedad Industrial, de Recursos Humanos, Auditoría Interna y Responsabilidad Social Corporativa, así como Secretaría General realizan una labor de coordinación con los distintos responsables y con los asesores legales externos de cada país o zona geográfica.
Especial mención merecen los riesgos normativos de carácter penal. Con la finalidad de mitigar tales riesgos, el Grupo dispone de un Manual de Prevención de Riesgos Penales, supervisado por el Comité de Ética.
Adicionalmente, el Grupo cuenta con un sistema de control interno tendente a mitigar los riesgos fiscales y aduaneros.
El departamento de Auditoría Interna realiza periódicamente auditorías de cumplimiento normativo con equipos de profesionales independientes especializados en determinadas normativas aplicables al negocio.
6.3. Reputación
El Grupo desarrolla un Programa de Cumplimiento del Código de Conducta de Fabricantes y Proveedores a través de Auditorías Sociales y Pre-Assessment basado en la verificación externa e independiente de las instalaciones necesarias para la producción de los artículos de moda que distribuye, con la finalidad de minimizar los riesgos potenciales de daños a la imagen debidos a comportamientos incorrectos de terceros. Dicho programa especifica los procedimientos de revisión que garantizan la obtención de la información, y las evidencias sobre las condiciones de trabajo mínimas que todos los fabricantes, proveedores y talleres externos deben cumplir. La Memoria Anual y la web corporativa recogen información adicional sobre éste y otros programas. Asimismo, el departamento de Responsabilidad Social Corporativa realiza periódicamente auditorías técnicas y de producción y el de Medio Ambiente lleva a cabo auditorías y controles en las instalaciones en las que se realizan procesos húmedos.
En organizaciones de la dimensión y visibilidad del Grupo, podrían surgir conflictos derivados de una inadecuada relación con terceros ajenos a la actividad operativa del mismo (CNMV, medios de comunicación, inversores, autoridades públicas ).
El Grupo, a través de la Dirección General de Comunicación y Relaciones Institucionales, y del Departamento de Responsabilidad Social Corporativa, establece los procedimientos y protocolos necesarios para mitigar este riesgo. Asimismo, dada su importancia, la Secretaría General y el departamento de Mercado de Capitales se encargan de gestionar específicamente la relación con la CNMV y, este último departamento, además, con los inversores.
Adicionalmente, varios departamentos, entre ellos la Dirección General de Comunicación y Relaciones Institucionales, se encargan del seguimiento de la imagen del Grupo en redes sociales.
Para mitigar los riesgos asociados a las características del producto terminado, garantizando que los mismos no impliquen riesgo para la salud y seguridad de los clientes, el Grupo realiza controles y verificaciones de los estándares de salud y seguridad de los productos “Clear to Wear” y “Safe to Wear”), de aplicación general y obligatoria en la cadena de suministro para la totalidad del producto confeccionado, calzado y complementos.
El Grupo dispone, de un Código de Conducta y Prácticas Responsables y de un Código de Conducta de Fabricantes y Proveedores. La aplicación e interpretación de dichos Códigos corresponde al Comité de Ética, mientras que el departamento de Cumplimiento Normativo imparte sesiones formativas a determinados empleados en relación con el Código de Conducta y Prácticas Responsables.
6.4. Recursos Humanos
Para minimizar estos riesgos, el departamento de Recursos Humanos lleva a cabo procesos continuos de selección y contratación de nuevo personal, incluyendo procesos de detección de personas clave. Además, desarrolla un programa de formación periódica para su plantilla, disponiendo de sistemas específicos para:
- conciliar la calidad en el desempeño profesional de los empleados, con la satisfacción que cada uno de ellos obtiene en su puesto de trabajo.
- facilitar el intercambio de puestos de trabajo entre aquellos empleados que desean enriquecer su experiencia en las distintas áreas de la Organización.
- facilitar oportunidades de desarrollo a las personas de la Organización con mayor talento y disponibilidad.
Por otro lado, el sistema de trabajo implantado en la Organización propicia la transmisión de conocimientos entre las personas involucradas en las distintas áreas, de forma que se minimiza el riesgo derivado de la concentración de conocimiento en personas clave. Adicionalmente, la utilización de políticas de desarrollo profesional, formación y compensación, busca retener a los empleados clave.
Para asegurar un adecuado clima laboral, el departamento de Recursos Humanos se rige por una serie de principios de actuación que se exponen de manera más detallada en capítulo de Impulsar el talento de todas las personas (página 80) de esta Memoria Anual.
Por otra parte, en los últimos tiempos existe una exigencia creciente del mercado laboral, relacionada con la responsabilidad social de las compañías, habiendo pasado a constituir un factor clave en la elección de éstas como destino laboral preferido. Es por ello, que aspectos como la igualdad de oportunidades, los mecanismos de retribución alternativos al salario o la conciliación de vida laboral o familiar, por ejemplo, constituyen factores que la Compañía tiene en consideración, aplicando políticas al respecto.
En este sentido, el Grupo Inditex desarrolla Planes de Igualdad, en los que se establecen medidas que persiguen diversos objetivos, entre los que se encuentran, entre otros: promover el compromiso y aplicación efectiva del principio de igualdad entre mujeres y hombres, contribuyendo a reducir desigualdades y desequilibrios, prevenir la discriminación laboral, reforzar el compromiso de la empresa en orden a mejorar la calidad de vida, garantizar un entorno de trabajo saludable y establecer medidas que favorezcan la conciliación de la vida laboral con la vida personal y familiar.
6.5. Operaciones
El Grupo reduce su exposición a estos riesgos mediante un sistema de fabricación y aprovisionamiento que asegura una flexibilidad razonable en la respuesta a variaciones imprevistas en la demanda de nuestros clientes. El permanente contacto de las tiendas con el equipo de diseñadores, a través del departamento de Gestión de Producto, permite captar los cambios en los gustos de los clientes. Por su parte, la integración vertical de las operaciones posibilita acortar los plazos de producción y entrega y reducir los volúmenes de inventarios, a la vez que se conserva la capacidad de maniobra para introducir nuevos productos a lo largo de cada campaña.
Debido a la relevancia que una gestión logística eficiente tiene en la materialización de estos riesgos, el Grupo realiza un análisis de todos los factores que podrían afectar negativamente al objetivo de lograr la máxima eficiencia en la gestión logística, para monitorizar dichos factores de manera activa, bajo la supervisión del Comité de Logística.
Para mitigar el riesgo derivado de la interrupción de operaciones asociado a la posibilidad de que sucedan eventos extraordinarios ajenos al control del Grupo, se ha optimizado la dimensión y uso de todos los centros en atención al volumen de cada cadena o a las necesidades particulares del área geográfica a la que dan servicio. En particular, parte de los centros logísticos mencionados están especializados en la distribución de la mercancía procedente de la venta on-line. Los distintos centros se han configurado de forma que podrían ser versátiles para asumir capacidad de almacenamiento y reparto de otros centros ante una situación de contingencia motivada por potenciales accidentes o paralizaciones de las actividades de distribución.
Adicionalmente, el Grupo gestiona activamente acciones para reducir la exposición de este tipo de riesgos, manteniendo elevados niveles de prevención y de protección en todos sus centros de distribución, junto con pólizas de seguro que cubren tanto los daños materiales que pudieran sufrir las instalaciones y las existencias como el lucro cesante derivado de un siniestro.
Con el objetivo de asegurar el crecimiento del Grupo y reforzar la flexibilidad del modelo de negocio, el Plan de Expansión Logística evalúa la necesidad y contempla, en su caso:
- La realización de inversiones en nuevos centros de distribución o la ampliación de los existentes, que permitan mitigar el riesgo asociado a la planificación y dimensionamiento de la logística.
- La realización de inversiones en mejoras y automatizaciones en los centros existentes, orientadas a incrementar su capacidad y eficiencia, así como a mejorar el control interno sobre la mercancía almacenada en ellos. Cabe destacar en este sentido la progresiva aplicación de tecnología Radio Frequency Identification (RFID) en la cadena de suministro, que permite alcanzar un grado muy elevado de control de la mercancía.
- La búsqueda, validación y control de operadores logísticos externos, en diferentes puntos estratégicos, con integración completa en la capacidad logística de la compañía.
En relación con el potencial riesgo de retención de la mercancía en el proceso de transporte, el Grupo cuenta con una red de agentes en puntos de aprovisionamiento y distribución, así como vías alternativas de transporte de la mercancía.
El Grupo mitiga los riesgos asociados a la gestión inmobiliaria, relacionados con la búsqueda y selección de locales comerciales, así como a la rentabilidad de los mismos, a través de la monitorización de todos los mercados en los que opera, de la evaluación de la viabilidad de los locales antes de su apertura, y de la supervisión de las nuevas aperturas por el Comité de Expansión.
6.6. Financieros
Con el fin de reducir el riesgo de tipo de cambio, este riesgo debe de ser gestionado de forma proactiva, suficiente y sistemática, por lo que el Grupo ha implementado una Política de Gestión de Riesgos Financieros que tiene como objetivos fundamentales minimizar las potenciales pérdidas económicas y la volatilidad en los estados contables resultantes de este riesgo. La exposición cambiaria se manifiesta en términos de riesgos de inversión neta, traslación y transacción. La Política fija las directrices para la gestión de todas estas exposiciones y establece que la gestión cambiaria se centraliza en el departamento de Gestión Financiera del Grupo. La Política establece los procedimientos de análisis y seguimiento de la exposición cambiaria, así como las posibles estrategias de cobertura, el procedimiento para la contratación de derivados financieros, su registro y documentación. Actualmente, el seguro de cambio (contrato forward) es el principal instrumento de cobertura. Además se utilizan en menor medida otros, como collares o “swaps”.
La Política de Gestión de Pagos instituye los principios encaminados a asegurar el cumplimiento de las obligaciones del Grupo, la salvaguarda de sus intereses y el establecimiento de los necesarios procedimientos y procesos para garantizar una gestión eficiente y ágil de los pagos. La Política determina la forma, moneda y el plazo de pago óptimos en términos económicos, contables y legales. Finalmente, la Política de Gestión de Pagos establece las posibles excepciones y el procedimiento para su autorización. Por su parte, la Política de Apoderamientos fija los integrantes del Grupo capacitados para contratar operaciones financieras en su nombre, incluidos pagos, sus niveles de autorización en virtud de su naturaleza, su cuantía, así como de las necesarias combinaciones de apoderados en virtud de esos criterios.
La Política de Inversiones del Grupo, que tiene como objetivo garantizar la seguridad, integridad y liquidez de los activos financieros de la empresa establece los criterios que deben cumplir las contrapartes, las clasifica en paneles de acuerdo con su perfil crediticio, de solvencia y de relevancia para el Grupo. Esta misma Política fija, además, límites máximos de exposición en términos de contraparte y regula los procedimientos para asegurar el control, seguimiento y monitorización del riesgo de crédito.
Esta misma Política, provee directrices en cuanto al papel del riesgo soberano en términos de riesgo de crédito de contraparte, así como de su influencia en los activos financieros y/o vehículos de inversión.
6.7. Información para la toma de decisiones
Con la finalidad de reducir la exposición a este tipo de riesgos, el Grupo revisa periódicamente la información de gestión distribuida a los distintos responsables, e invierte, entre otros, en sistemas de transmisión de la información, de seguimiento del negocio y de presupuestación.
El departamento de Seguridad Informática, dependiente de la Dirección General de Sistemas, es responsable de velar por que esta información sea accesible y/o modificada exclusivamente por las personas autorizadas para ello, parametrizando los sistemas para garantizar la fiabilidad, confidencialidad, integridad y disponibilidad de la información crítica.
En relación con los riesgos de elaboración de información financiera, el Grupo ha establecido un Sistema Interno de Control y Gestión de Riesgos en relación con el proceso de emisión de la información financiera (SCIIF), con el objetivo de realizar un seguimiento y evaluación continua de los principales riesgos asociados que permita asegurar de forma razonable la fiabilidad de la información financiera pública del Grupo. En el capítulo de SCIIF de este informe (página 248) se recoge información adicional al respecto.
Adicionalmente, las Cuentas Anuales consolidadas y las de todas las sociedades relevantes, son sometidas a verificación por los auditores externos, que también realizan determinados trabajos de auditoría relacionados con la información financiera. Asimismo, para las sociedades más significativas, se solicita a los auditores externos que realicen recomendaciones en materia de control interno.
6.8. Tecnología y sistemas de información
Dada la importancia del correcto funcionamiento de los sistemas tecnológicos para la consecución de los objetivos del Grupo, la Dirección General de Sistemas, a través del área de Seguridad Informática y con el apoyo del Comité de Seguridad de la Información, mantiene un control permanente enfocado a garantizar la racionalización y coherencia de los mismos, además de la seguridad y estabilidad precisa para el desarrollo ininterrumpido de las operaciones. El Grupo es consciente de que sus sistemas requerirán mejoras e inversión continua, a fin de evitar la obsolescencia y mantener la capacidad de respuesta de los mismos en los niveles requeridos por la Organización.
Como marco de referencia, orientado al mantenimiento de la seguridad de la información, así como de los elementos que la tratan, el Grupo se rige por la Política de Seguridad de la Información, Política que es aceptada por todos los usuarios con acceso a información y consultable por los mismos en cualquier momento en la intranet corporativa.
Con la finalidad específica de mantener la operación continua de los sistemas, el Grupo dispone de sistemas de contingencia técnicos y procedimentales que reducirían las consecuencias de una avería o parada. Entre los sistemas de contingencia técnicos se puede considerar el centro de datos principal certificado TIER IV, el almacenamiento de datos síncronos en ubicaciones redundantes expuestas a distintos riesgos físicos o geológicos o la duplicidad de equipos y líneas.
Adicionalmente, el área de Seguridad Informática de la Dirección General de Sistemas, dispone de mecanismos de revisión continua, que son evaluados periódicamente por distintas auditorías internas y externas para la prevención, detección y respuesta ante un potencial ataque cibernético. Estos controles permitirían anticipar y/o mitigar las consecuencias de la materialización del riesgo, junto con pólizas de seguro que cubrirían el lucro cesante, los gastos derivados del ataque y la responsabilidad civil de la compañía por daños causados a terceros. Con la información disponible, la Organización considera que estos controles han funcionado con éxito hasta la fecha.
No obstante, teniendo en cuenta que cada año son numerosos los atacantes que intentan acceder a información de las corporaciones a nivel mundial, el Grupo es consciente de que los riesgos tecnológicos evolucionan de manera exponencial, impredecible y en algunos casos de forma muy sofisticada. Por esto, a pesar de que para el Grupo la Seguridad de la Información es una de sus prioridades, existe la posibilidad de un ataque no detectable, incluyendo a sus proveedores de servicios, que pudiera afectar a las operaciones o a la información que la Organización gestiona.
6.9. Gobierno Corporativo
Para la minimización de estos riesgos, resulta fundamental el cumplimiento del sistema de gobierno corporativo de la Sociedad, integrado por los Estatutos Sociales, los Reglamentos del Consejo de Administración y de la Junta General de Accionistas, de la Comisión de Auditoría y Control, de la Comisión de Nombramientos y de la Comisión de Retribuciones, las políticas corporativas desarrolladas para el control y la gestión de riesgos, y la normativa interna del Grupo (el Código de Conducta y Prácticas Responsables, el Código de Conducta de Fabricantes y Proveedores y el Reglamento Interno de Conducta en materias relativas a los Mercados de Valores -en adelante, RIC-).
La supervisión y aplicación del RIC corresponde al Comité de Cumplimiento Normativo y al Director de Cumplimiento Normativo.
Por lo que atañe a los Códigos de Conducta y Prácticas Responsables y de Conducta de Fabricantes y Proveedores, su aplicación e interpretación se atribuye al Comité de Ética, que puede actuar por propia iniciativa o a instancia de cualquier empleado de Inditex, fabricante o proveedor o de un tercero con relación directa e interés comercial o profesional legítimo, mediante denuncia de buena fe.
En cuanto a la supervisión, los principales órganos de gobierno con responsabilidades en el control de riesgos son el Consejo de Administración y la Comisión de Auditoría y Control.
1. Consejo de Administración
El Consejo de Administración es el máximo responsable de la identificación de los principales riesgos del Grupo, así como de la organización de los sistemas de control interno y de información adecuados.
2. Comisión de Auditoría y Control
La Comisión de Auditoría y Control, entre otras funciones, asiste al Consejo de Administración en sus funciones de vigilancia y control del Grupo, mediante la revisión de los sistemas de control interno. Las competencias de la Comisión de Auditoría y Control están establecidas en los Estatutos Sociales, en el Reglamento del Consejo de Administración y en el Reglamento de la Comisión de Auditoría y Control.
El Reglamento de la Comisión de Auditoría y Control establece que corresponde a la Comisión de Auditoría y Control, integrada exclusivamente por Consejeros Externos, entre otras funciones: supervisar la eficacia del control interno de la Sociedad, la auditoría interna y los sistemas de gestión de riesgos, incluidos los fiscales, así como analizar con el auditor de cuentas las debilidades significativas del sistema de control interno detectadas, en su caso, en el desarrollo de la auditoría y supervisar el proceso de elaboración y presentación de la información financiera preceptiva.
Adicionalmente, es responsable de la supervisión del Departamento de Auditoría Interna del Grupo, entre otras funciones, velando por la independencia y eficacia de la función de Auditoría Interna, supervisando que esta disponga de los medios humanos y materiales, internos y externos, suficientes para desarrollar su función, aprobando el presupuesto de la función de Auditoría Interna, el Plan de Auditoría Interna y su informe anual de actividades, asegurándose de que su actividad está enfocada principalmente hacia los riesgos relevantes de la Sociedad y de su Grupo, así como recibiendo información periódica sobre las actividades desarrolladas por Auditoría Interna.
El Departamento de Auditoría Interna se encuadra en la actual estructura organizativa, mediante la vinculación directa con el Consejo de Administración, del que depende funcionalmente a través del Presidente de la Comisión de Auditoría y Control, lo que le permite garantizar la plena independencia en sus actuaciones.
En el Estatuto de Auditoría Interna del Grupo se define la misión de la función de Auditoría Interna, que consiste en contribuir al buen funcionamiento del Grupo, garantizando la supervisión eficaz e independiente del sistema de control interno y aportando al Grupo recomendaciones que contribuyan a reducir a niveles razonables el impacto potencial de los riesgos que dificultan la consecución de los objetivos de la Organización.
Asimismo, dicho estatuto establece como objetivos de la función de Auditoría Interna: propiciar la existencia de adecuados sistemas de control interno y de gestión de riesgos; la aplicación homogénea y eficiente de las políticas y procedimientos que conforman dicho sistema de control interno; y servir como canal de comunicación entre la Organización y el Comité de Auditoría y Control en relación con los asuntos competencia de Auditoría Interna.