Hugo cuenta con un grado en Economía y otro en Financiera y Actuarial. Además, está certificado por el Instituto de Auditores Internos en COSO ERM y COSO CI, así como, por la European Federation of Financial Analysts Societies en CESGA.
Él nos cuenta un poco sobre cómo son sus actividades en un día a día, lo que aconseja para aquellos que quieren capacitarse en este rol, entre otras cosas, quédate para saber más sobre el área de Riesgos en el Grupo y su importancia.
¿Quién eres y cuál es tu rol en Telefónica?
Mi nombre es Hugo Castaño, con trayectoria académica enfocada a las finanzas, actuaría y negocios. Actualmente ocupo la posición de jefe dentro del área de Gestión de Riesgos de Telefónica S.A. que, a la vez, como sabes, depende del Chief Internal Audit Officer, y bueno, el rol de esta área se resume en que es la encargada de apoyar a la Comisión de Auditoría y Control de Telefónica S.A. en su supervisión del sistema de gestión de riesgos.
Nuestra actividad se encuentra regulada dentro de la normativa interna, por la Política de Gestión de Riesgos y también, tenemos un Procedimiento de Gestión de Riesgos que se actualiza de forma anual y que proporciona una metodología común para identificar, evaluar y reportar los riesgos de alguna forma consistente y efectiva dentro del Grupo. Dentro de la Política encontramos las bases para la metodología y el procedimiento marca la pauta operativa del proceso.
Dentro de ésta misma Política encontramos las tareas que realizan las funciones de gestión de riesgos:
- Asegurar el buen funcionamiento de los sistemas de control y gestión de riesgos y, en particular, que se identifican, gestionan, y cuantifican adecuadamente todos los riesgos importantes que afecten a la Sociedad.
- Participar activamente en la elaboración de la estrategia de riesgos y en las decisiones importantes sobre su gestión.
- Velar por que los sistemas de control y gestión de riesgos mitiguen los riesgos adecuadamente en el marco de la política definida por el Consejo de Administración.
Desde un punto de vista más de gobierno y organización, el Área de Gestión de Riesgos cuenta con áreas locales que se encargan de prestar su actividad de supervisión en las principales operaciones del Grupo y un área corporativa, en la que yo me encuentro, cuya función, aparte de realizar también labores de supervisión a nivel global y en filiales corporativas, es la de coordinar y asegurar la homogeneidad del Modelo de Gestión de Riesgos en el Grupo.
¿Cómo llegaste a Telefónica? ¿Cuál fue tu primer puesto?
Yo llegué a Telefónica en el 2017, gracias a una beca Telefónica Talentum que cubría una posición dentro del área de Auditoría Interna, ahí estuve hasta el 2018, gracias a que ese año me pude internalizar en la Compañía en la misma área. Hasta 2022, que me integré al equipo de Gestión de Riesgos.
Mi relación con la Auditoría Interna y la Gestión de Riesgos fue, en un primer momento accidental, ya que hasta que no empecé a forma parte del Área no tenía muy claro cuáles eran sus objetivos, sus responsabilidades o sus funciones. Después ya, en el momento en el que empecé a conocer y desarrollar distintas funciones, me atrajo sobre todo la visión global y transversal que te ofrece, al permitirte participar en proyectos de diversa índole. En este sentido, fue el día a día de la función y también, el haber conocido a equipos y compañeros de trabajo de primer nivel, lo que ha hecho que quiera desarrollar mi carrera en el marco de estas dos actividades.
La transversalidad, que comentaba antes, te da la oportunidad de ver a la Compañía de inicio a fin y estar presente en todos los ámbitos. No limitas tu visión a una sola parcela, sino que te permite conocer de manera integral el negocio. Tienes presencia y también la oportunidad de aportar valor a la compañía en diversos ámbitos y eso es interesante.
Cuéntame desde tu perspectiva, cuál es la actividad más interesante qué desarrollas
Si me preguntas por la actividad más interesante, de puertas para afuera, serían las actividades de “inteligencia” que realizamos para mantenernos constantemente actualizados sobre tendencias de nuevos riesgos, riesgos emergentes, potenciales riesgos en la Compañía. Lo que realizamos es un seguimiento continuo del contexto para identificar cualquier novedad en el ámbito económico, político, regulatorio, comercial, de las distintas geografías en las que opera el Grupo. Se realiza mediante referentes externos, noticias, publicación de riesgos, lo que nos permite identificar previamente esas tendencias y riesgos con impacto en la Compañía, así como, presentárselas a las áreas para que sean ellos quienes las evalúen, quienes diseñen los planes de mitigación, que busquen reducir su impacto.
¿Cuál es el mayor reto en la gestión de riesgos?
Yo creo que el mayor reto, tiene que ver con ser capaces de transmitir la importancia de mantener un sistema de gestión de riesgos eficaz, que identifique, evalúe y de respuesta a los principales riesgos de la compañía, porque, al final todos los gestores de los riesgos tienen que ser conscientes de ello. Es importante transmitir y concientizar que nosotros como función de riesgos, no somos propietarios de estos, si no, que son las áreas gestoras las dueñas de los riesgos y a quienes les corresponde la misión de identificar y dar respuesta a los mismos.
Nosotros somos un apoyo, que soportamos con una Metodología a nivel Grupo, los gestores son los responsables que están día a día conviviendo con los riesgos.
¿Qué característica fortalece al supervisor de gestión de riesgos?
En el caso de Telefónica, la integración del área de Riesgos en Auditoría Interna es un factor diferencial y que de alguna forma, aporta un valor añadido a nuestra función, porque, integra el Control Interno con la Gestión de Riesgos, nos adelanta mucho en el camino de una adecuada gestión de riesgos, esto se hace evidente con la adaptación del Marco Metodológico COSO ERM 2017 para la implantación del Modelo de Gestión de Riesgos en Telefónica, donde aparte de esa vinculación entre el Control Interno y Riesgos, se hace evidente la conexión entre los riesgos y la estrategia de la Compañía. De hecho, la definición del riesgo es la posibilidad de que ocurran eventos que afecten a la consecución de la estrategia de los objetivos del negocio.
Por tanto, una de las características más importantes, a mi juicio, es la de tener la capacidad de integrar la gestión de riesgos en el resto de los procesos y funciones de la Compañía. Tener una visión holística que permita una mejor toma de decisiones para minimizar el impacto de los riesgos y asegurar el cumplimiento de los objetivos.
¿Qué le aconsejarías a alguien que está interesado en dedicarse a la Auditoría Interna o a la Gestión de Riesgos?
Que se lo piense bien… es broma. Ahora en serio, lo que le diría para adentrarse en la Gestión de Riesgos o de Auditoría Interna, estoy pensando en una persona que está decidiendo ahora mismo qué camino o qué formación tomar; lo primero que le recomendaría, obtener una formación académica en Economía, Finanzas o campos relacionados y considerar a futuro, certificaciones profesionales como el CIA o el CRMA, luego adicional de la formación más técnica, es cierto que las soft skills juegan un papel bastante o muy importante en estas dos áreas ¿Por qué? La Auditoría Interna y la Gestión de Riesgos se basan mucho en construir relaciones de confianza y credibilidad con el resto de las áreas de la Compañía.
Por último, diría que es importante siempre mantenerse actualizados, ya que son profesiones que van en continuo cambio, tienes que estar actualizado en cuanto a la normativa, las tendencias de riesgos, en el caso de la Auditoría Interna, sabemos que nuestras normas han cambiado recientemente con la entrada en vigor de las Normas Internacionales para la Práctica Profesional de la Auditoría Interna el 9 de enero de este año. Yo lo resumiría en eso.
Desde la metodología de la gestión de riesgos ¿Me podrías contar 3 tips para aquellas áreas que están interesadas en identificar riesgos en sus áreas u operaciones?
Yo aquí me haría tres preguntas y son:
- ¿Cuáles son los principales riesgos para la consecución de mis objetivos y que se encuentran dentro de mi ámbito de actuación?
- ¿Cuáles son los principales riesgos para la consecución de mis objetivos y que se encuentran fuera de mi ámbito de actuación?
- ¿Cuáles son los riesgos que denominamos cisnes negros (riesgos que tienen baja probabilidad de materializarse pero que, de hacerlo, tendrían un impacto elevado)?
Con estas tres preguntas a la hora de la identificación de riesgos estaríamos abordando todo el espectro y también es importante que, de cara al análisis, así como, la evaluación de las respuestas se considere la causa raíz de ellos y su impacto en los objetivos, esto ayuda a la adecuada definición de los planes de acción. En caso de dudas, siempre es importante apoyarse en las áreas de Gestión de Riesgos locales.
Un último apunte, hoy en día tenemos muchas herramientas a nuestra disposición, por ejemplo, la inteligencia artificial, que pueden ayudarnos en estas fases de identificación a presentarnos riesgos que, a lo mejor, no nos habíamos planteado, aunque también hay que tener cuidado con la información que se les brinda a esas herramientas.
Para finalizar, quisiera agradecer este espacio y comentar que, si la Gestión de Riesgos funciona tan bien, creo que es porque tenemos unos equipos a nivel local que se nutren de gente increíble, enhorabuena a vosotros que son los que impulsan la función.
