GESTIÓN DE RIESGOS
La gestión de riesgos forma parte de la cultura de NH Hotel Group y se integra de forma transversal en las operaciones de la Compañía.
GOBIERNO DE LA GESTIÓN DE RIESGOS
El Consejo de Administración de la Compañía es el órgano responsable de la supervisión del sistema de gestión de riesgos, de conformidad con lo establecido en el artículo 5 del Reglamento del Consejo de Administración.
Tal y como se regula en el artículo 25 b) Apartado 3 del Reglamento del Consejo de Administración de la Sociedad, la Comisión de Auditoría y Control apoya al Consejo de Administración en la supervisión de la eficacia del control interno, la auditoría interna y los sistemas de gestión de riesgos, incluidos los fiscales. En este sentido, como en años anteriores, en 2020, la Comisión de Auditoría y Control ha supervisado y validado la actualización del Mapa de Riesgos y la correcta implantación de los planes de acción que contribuyen a mitigar total o parcialmente los riesgos principales.
Por otra parte, el Comité de Dirección de la Compañía tiene, entre otras funciones, la gestión y control de los riesgos en función de la tolerancia al riesgo, la asignación de la titularidad de los principales riesgos, el seguimiento periódico de la evolución de estos, la identificación de acciones de mitigación, así como la definición de planes de respuesta. A estos efectos, el Comité Ejecutivo de Riesgos, formado por miembros del Comité de Dirección y Altos Ejecutivos, apoya al Comité de Dirección en dicha supervisión, así como promueve una cultura de riesgos en la Compañía. Para ellos la Compañía dispone de un manual interno de gestión de riesgos que detalla los principios, procesos y controles en vigor.
La función de Gestión de Riesgos, integrada en el departamento de Auditoría Interna, se encarga de velar por el correcto funcionamiento del sistema de control y gestión de riesgos en la Compañía y su vinculación a los objetivos estratégicos.
Para garantizar que no existen conflictos de independencia y que el sistema de control y gestión de riesgos de NH funciona tal y como está previsto en la Política Corporativa de Gestión de Riesgos, un tercero independiente revisa periódicamente su funcionamiento.
Además, como garantía de independencia, la función de Gestión de Riesgos es independiente de las Unidades de Negocio y, al igual que el departamento de Auditoría Interna, mantiene una dependencia funcional de la Comisión de Auditoría y Control.
En línea con lo anterior, NH Hotel Group sigue el modelo de las Tres Líneas actualizado en Julio 2020 por el Institute of Internal Auditors (IIA) a nivel mundial.
• Primera línea: realizada por las funciones (unidades de negocio y corporativas) propietarias de los riesgos y de su gestión (Operaciones, Comercial, Marketing, etc.).
• Segunda línea: realizada por las funciones encargadas de la supervisión de los riesgos (Gestión de Riesgos, Cumplimiento, Protección de Datos, Control Interno, etc.).
• Tercera línea: realizada por la función de auditoría interna que proporciona aseguramiento independiente.
La Política Corporativa de Gestión de Riesgos de NH Hotel Group (aprobada en 2015 por el Consejo de Administración), así como el manual interno que la desarrolla, tiene como objetivo definir los principios básicos y el marco general de actuación para la identificación y control de riesgos de toda naturaleza que puedan afectar a las sociedades sobre las que NH Hotel Group tiene un control efectivo, así como asegurar el alineamiento con la estrategia de la Compañía.
Además, existen una serie de políticas específicas que complementan la Política de Corporativa de Gestión de Riesgos y que se encuentran establecidas en relación con determinados riesgos:
MODELO DE GESTIÓN DE RIESGOS
El modelo de gestión de riesgos de NH Hotel Group, que se encuentra desplegado tanto en la sede corporativa del Grupo como en las Unidades de Negocio, tiene por objeto la identificación de aquellos eventos que puedan afectar negativamente a la consecución de los objetivos del Plan Estratégico de la Compañía, obteniendo el máximo nivel de garantía para los accionistas y grupos de interés y protegiendo los ingresos del grupo, así como su reputación, en el corto, medio y largo plazo.
El modelo establecido para la gestión de riesgos está basado en el marco integrado de Gestión de Riesgos Empresariales COSO ERM 2017 (Enterprise Risk Management), y comprende un conjunto de metodologías, procedimientos y herramientas de soporte que permiten a NH Hotel Group:
• Adoptar un adecuado gobierno en relación con la gestión de riesgos en la Compañía, así como promover una cultura de gestión de riesgos apropiada.
• Asegurar que los objetivos que se definen en la Compañía están alineados con su estrategia y su perfil de riesgo.
• Identificar, evaluar y priorizar los riesgos más relevantes que pudieran afectar a la consecución de los objetivos estratégicos. Identificar medidas de mitigación de dichos riesgos, así como establecer planes de acción en función de la tolerancia al riesgo de la Compañía.
• Seguir periódicamente los planes de acción establecidos para los riesgos principales, en el marco de un modelo de mejora continua.
• Reportar periódicamente el estatus de los riesgos principales y sus planes de acción a los principales órganos de gobierno de la Compañía.
CATEGORÍAS DE RIESGOS Y PROCESO DE IDENTIFICACIÓN, SUPERVISIÓN Y MONITORIZACIÓN
El Mapa de Riesgos del Grupo es actualizado con carácter anual y aprobado por el Consejo de Administración, previa revisión y validación por parte de la Comisión de Auditoría y Control. En 2020, la Compañía ha actualizado su Mapa de Riesgos mediante un proceso en el que 22 Altos Ejecutivos de todos los Departamentos identificaron y evaluaron los principales riesgos a los que se enfrenta la Compañía. Dicho Mapa fue aprobado por el Consejo de Administración en su reunión del 29 de julio de 2020.
Para los principales riesgos del Mapa de Riesgos, la Comisión de Auditoría y Control recibe periódicamente el estado de implantación de los planes de acción acordados previamente.
De forma adicional, cada uno de los principales riesgos del Mapa de Riesgos de la Compañía es asignado a un gestor de riesgos (“Risk Owner”), que a su vez es miembro del Comité de Dirección.
Anualmente, con motivo de la actualización del Mapa de Riesgos, la función de Gestión de Riesgos se encarga de reevaluar el catálogo de riesgos, tanto financieros como no financieros. El catálogo definitivo es validado con los Altos Ejecutivos que participan en el proceso, así como con los órganos que participan en su validación (Comité de Dirección, Comité Ejecutivo de Riesgos y Comisión de Auditoría y Control) y aprobación (Consejo de Administración). De forma adicional, durante el año los gestores de riesgos pueden reportar/sugerir un nuevo riesgo a la Oficina de Riesgos si lo estimen necesario.
A continuación, se muestran las seis categorías de riesgos en las que se clasifican los riesgos a los que está expuesto NH Hotel Group:
En línea con la metodología COSO, NH Hotel Group utiliza los conceptos de riesgo inherente y residual. Se entiende como riesgo inherente el nivel de riesgo existente sin tener en cuenta el efecto de mitigación de los controles implantados en la Compañía. Sin embargo, el riesgo residual sí tiene en cuenta el efecto de estos controles mitigantes, por lo que se conoce como el nivel de riesgo que persiste tras aplicar todas las medidas de control que existen en NH.
RIESGOS ESG
De los 75 riesgos de los que consta el catálogo de riesgos de la Compañía, se ha llevado a cabo un análisis para identificar aquellos relacionados con criterios ESG (Environmental, Social and Governance).
Así, se ha determinado que 24 de 75 riesgos, un 32% del total de riesgos, tienen que ver con criterios Sociales, Medioambientales y de Gobierno Corporativo. La mayor parte de ellos se encuentra en las categorías de riesgos “Negocio” y “Cumpliento”.
FACTORES DE RIESGO Y MEDIDAS DE CONTROL Y GESTIÓN
RIESGOS EMERGENTES Y NUEVOS DESAFÍOS
Los riesgos emergentes son riesgos que se prevé que tengan un impacto significativo en las operaciones y, por tanto, en los resultados financieros de la Compañía en el futuro a largo plazo (de 3 a 5 o más años), si bien puede ser que en algunos casos ya hayan comenzado a impactar al negocio de NH Hotel Group en la actualidad.
Por ello, durante el proceso periódico de supervisión y monitorización de riesgos en el Comité Ejecutivo de Riesgos y en la Comisión de Auditoría y Control, así como durante el proceso anual de identificación y evaluación de riesgos, la Compañía cuenta con los mecanismos adecuados para garantizar que los riesgos emergentes y nuevos desafíos son tomados en consideración y se les da una respuesta apropiada. El resultado último de este análisis se plasma en el Mapa de Riesgos corporativo que es presentado anualmente al Consejo de Administración para su aprobación.
De forma adicional, los gestores de riesgos pueden informar en cualquier momento acerca de riesgos emergentes o nuevos riesgos que se detecten para que la Oficina de Riesgos proceda a su análisis y consideración.
A continuación, indicamos los riesgos emergentes que la Compañía ya ha detectado y sobre los que se trabaja en su seguimiento y análisis, valoración de impacto y mitigación:
RIESGOS EMERGENTES CONSIDERADOS EN 2020
Riesgos relacionados con patrones sociales de comportamiento | Economía
colaborativa, preferencias cambiantes de los clientes, cambios demográficos
Ante los cambios en los comportamientos de los consumidores (con un cambio hacia opciones de autoservicio e intercambios de apartamento y casa) y la llegada en el mercado de nuevos jugadores cuyas ofertas y modelos de negocio alteran los códigos de la industria
hotelera; NH Hotel Group necesita ampliar su oferta para diversificar las oportunidades propuestas a los viajeros y satisfacer mejor sus expectativas, mientras atrae nuevos huéspedes. Si el Grupo no detecta nuevos comportamientos de los consumidores y no responde rápidamente ofreciendo experiencias adecuadas a sus huéspedes, la cuota de mercado y el nivel de actividad se podrían ver afectados negativamente, con un impacto negativo tanto en ingresos como en beneficios.
El Grupo responde a estos cambios adaptando sus productos y servicios a las nuevas generaciones y nuevos negocios. El Grupo dispone de un Comité de Innovación dedicado a explorar nuevos negocios y oportunidades de innovación para fortalecer la experiencia del Grupo a la hora de ofrecer soluciones disruptivas específicas a los huéspedes y preparar el crecimiento a futuro.
Para aprovechar el creciente atractivo del mercado de marcas distintivas con una fuerte personalidad, que ofrecen un excelente entorno de trabajo para los nómadas urbanos y un lugar de encuentro ideal, el Grupo también ha optado por redoblar sus esfuerzos para expandir su marca nhow en uno de los segmentos de más rápido crecimiento de industria hotelera, denominada “estilo de vida”.
Riesgos tecnológicos | Ciberataques, seguridad de la información, innovación tecnológica
Los negocios del Grupo se basan en una variedad de procesos y aplicaciones que apoyan tanto a los empleados como a los clientes cuando reservan sus estancias. Algunos de estos procesos y aplicaciones dependen de complejos sistemas de información e infraestructura de TI para la recolección, procesamiento y almacenamiento de cantidades crecientes de datos operativos y estratégicos que son esenciales para apoyar el proceso de creación de valor. Estos datos, que son recopilados, almacenados y procesados directamente por el Grupo o por proveedores de servicios externos, pueden sufrir daño accidentales o maliciosos. Los sistemas del Grupo podrían llegar a sufrir directamente o indirectamente las consecuencias de virus, denegación de servicio u otros ataques, fallas técnicas de hardware o software, sabotaje, intrusión o piratería que afecte negativamente la disponibilidad e integridad de los datos y la confidencialidad de los mismos. Estas amenazas también pueden originarse internamente debido a intenciones maliciosas, errores o derivadas de la posible obsolescencia de las infraestructuras. Cual sea el origen, cualquier alteración, robo, divulgación o indisponibilidad de los datos del Grupo podrían tener un impacto negativo en la consecución de sus objetivos estratégicos.
Garantizar la seguridad, protección y disponibilidad de los datos estratégicos es una prioridad para la Compañía. El Departamento de Seguridad de los Sistemas de Información tiene la tarea de proteger toda la infraestructura, los sistemas y las aplicaciones de TI necesarios para la Operaciones del grupo. Su función consiste en:
- Prevenir intrusiones, virus y ataques mediante la administración de todo el hardware de seguridad de los sistemas dedicados y software y realizando pruebas de intrusión,
- La realización de campañas de sensibilización y formación para los empleados (por ejemplo, alertar sobre los riesgos de phishing).
En el ámbito de los medios de pagos, cada año la Compañía renueva la certificación PCI DSS, factor clave en la prevención de riesgos que afecten a los datos bancarios de los huéspedes.
Adicionalmente, NH Hotel Group dispone de un plan de continuidad del negocio para garantizar la continuidad de las operaciones y preservar la confidencialidad de los datos.
Ciertos riesgos geopolíticos | Terrorismo, cambio de ciclo económico, inestabilidad política y, en menor medida, el Brexit
La evolución de la situación geopolítica expone al Grupo al riesgo de ataques terroristas, entre otros, en los países donde NH opera. La ocurrencia de tales eventos podría tener un impacto directo o indirecto en huéspedes, empleados, negocios y activos, y afectar negativamente a la consecución de los objetivos estratégicos de la Compañía. Además, actos de terrorismo, agitación política o estallido de guerra afectarían al turismo y al negocio del Grupo (al provocar una caída en números de huéspedes, cierres de hoteles y proyectos de desarrollo abandonados) en las regiones en cuestión, además de amenazar la seguridad de los empleados.
Proteger a los huéspedes y empleados es una prioridad para el Grupo. Para protegerlos de manera efectiva contra las principales amenazas identificadas, el Grupo ha desarrollado una estrategia de seguridad y protección alineada con la severidad de los riesgos estimados. La estrategia se basa en una organización, un sistema de monitoreo y seguridad y medidas de seguridad que evolucionan de acuerdo con la evolución de cada situación. Estas medidas están diseñadas para garantizar la seguridad de los empleados, invitados y activos, a la par que asegurar la continuidad de las operaciones. En caso de alerta, el sistema interno de gestión de crisis se activa inmediatamente para garantizar la seguridad de nuestros clientes y empleados. Los daños a la propiedad son cubiertos por el programa de seguros del Grupo.
Riesgos relacionados con el cambio climático | Desastres naturales, fenómenos meteorológicos extremos, regularios
En la mayoría de los países donde NH opera, el Grupo está expuesto al riesgo de eventos naturales extremos (como terremotos, inundaciones, nevadas y ciclones) cuya frecuencia y / o gravedad pueden verse amplificados por el cambio climático.
La ocurrencia de tal evento podría tener un impacto directo e indirecto en los huéspedes y empleados, pero también en los negocios y activos del Grupo, afectando negativamente a su actividad y comprometiendo su situación financiera.
Proteger a los huéspedes y empleados es una prioridad para el Grupo. Por esta razón, las medidas de protección permanentes o temporales son implementadas tan pronto como se identifiquen estos riesgos, como evacuar hoteles de acuerdo con los procedimientos del Grupo. Para los riesgos sísmicos en particular, los simulacros son realizados periódicamente por los equipos en los países identificados (por ejemplo, México), para que puedan responder eficazmente en caso de un terremoto. La amplia distribución geográfica del Grupo ayuda a limitar los impactos potenciales de estos riesgos en los resultados consolidados de la Compañía.
Además, los cambios regulatorios como el Green Deal de la Unión Europea hacia una economía eficiente en el uso de los recursos y neutra en emisiones de carbono, tendrá un impacto para la Compañía tanto en términos de inversiones como de renovación de hoteles
o adquisición de nuevos hoteles.
Conscientes de los efectos del cambio climático, y con el fin de gestionar los costes operativos de manera más eficiente, el Grupo está tomando medidas para limitar las emisiones de carbono generadas por sus operaciones y toda su cadena de valor. Más información sobre la estrategia climática de NH Hotel Group en el apartado NH ROOM4 Planet.
Riesgos derivados de factores externos | Pandemias, huelgas tanto internas (personal de hotel) como externas (p.ej. controladores aéreos)
Las operaciones del Grupo pueden verse afectadas por la ocurrencia de epidemias en sus regiones de acogida o epidemias mundiales. En 2020 y en lo que va de 2021, NH Hotel Group ha sufrido, como todas las compañías hoteleras del mundo, las consecuencias de la pandemia del COVID-19 que ha provocado una caída de la tasa de ocupación de los hoteles y de los eventos debido a las restricciones sanitarias en todos los países. Los ingresos se han visto negativamente afectados a pesar de que el grupo dispone de planes de contingencia y de continuidad del negocio que mitigan parcialmente la caída de ingresos a la vez que contribuyen a garantizar la salud y seguridad de sus clientes y empleados.