Riesgos

Ferrovial, en el cumplimiento de sus objetivos empresariales, está expuesta a una diversidad de factores de riesgo derivados de la naturaleza de los sectores en los que opera, de los países en los que se ubican sus actividades y de los diversos marcos regulatorios a los que está sujeta. La gestión de riesgos se fomenta en todo el Grupo y se integra en todos los procesos clave, desde la gestión de activos hasta las fusiones y adquisiciones.

Política

Ferrovial dispone de una Política en materia de Control y Gestión de Riesgos (en adelante, la “Política”), en línea con COSO ERM y con el “Modelo de las Tres Líneas” como estándares internacionales de referencia. Esta tiene por objeto proporcionar a los empleados de Ferrovial un marco general de actuación para el control y la gestión de los riesgos de cualquier naturaleza a los que se enfrentan en el cumplimiento de los objetivos de negocio y de la estrategia general de la compañía. Siguiendo las directrices de COSO, el apetito de riesgo hacia nuestros objetivos estratégicos ha sido determinada por el Consejo de Administración, y se han identificado los objetivos y la tolerancia para factores de riesgo clave, integrándolos en la toma de decisiones.

La Política, aprobada por el Consejo de Administración, se actualiza al menos cada tres años y se comunica a toda la organización para su puesta en práctica. La actualización más reciente tuvo lugar en 2025.

El apetito de riesgo es un elemento clave tanto de la Política como del marco de Gestión Integral de Riesgos (ERM, por sus siglas en inglés) de Ferrovial. Se han establecido métricas específicas para los factores de riesgo más relevantes, lo que permite a la organización cuantificarlo y supervisarlo de forma eficaz.

Recientemente, se ha revisado el proceso de inversión, lo que ha dado lugar a la introducción de nuevas métricas y objetivos de apetito de riesgo, así como a la actualización de los ya existentes. Asimismo, se ha revisado el Procedimiento de Inversión para garantizar la plena integración de la metodología de riesgos, reforzando así el principio de la Política de que las consideraciones de riesgo deben incorporarse en todos los procesos estratégicos. Este enfoque refuerza el compromiso de Ferrovial con la integración de la gestión de riesgos en todos los procesos críticos, incluyendo no solo el crecimiento a través de la inversión, sino también todo el espectro de sus actividades principales de prestación de servicios, como la gestión de infraestructuras, la construcción y las infraestructuras energéticas y digitales.

El cumplimiento del apetito de riesgo aprobado se supervisa de forma continua y se comunica periódicamente a la Comisión de Auditoría y Control, que, a su vez, informa al Consejo de Administración. El objetivo es alinear a toda la organización, utilizando el apetito de riesgo como una herramienta esencial para la gestión de riesgos y la toma de decisiones.

Consejo de Administración

El Consejo de Administración de Ferrovial identifica y analiza los riesgos asociados a la estrategia y actividades de la Sociedad y sus negocios, de acuerdo con la Política de Control y Gestión de Riesgos. Es responsable de la supervisión de la gestión de riesgos, de establecer el apetito de riesgo, así como de las medidas adoptadas para contrarrestar el riesgo asumido. Sobre la base de la evaluación de riesgos, el Consejo diseña, implementa y mantiene sistemas internos adecuados de gestión y control de riesgos.

El Consejo de Administración cuenta con las competencias adecuadas para desempeñar su función de supervisión de riesgos. Además, se ha establecido un plan para proporcionar al Consejo de Administración diversas sesiones de formación relacionadas con su función de supervisión de riesgos, entre otras áreas. La formación anual abarca temas clave junto con sesiones periódicas, según sea necesario, sobre temas específicos, como la ciberseguridad y la sostenibilidad. El objetivo es seguir desarrollando el conocimiento también mediante la formación sobre ciertos riesgos, y mejorar los procesos de toma de decisiones.

Comisión de Auditoría y Control

La Comisión de Auditoría y Control asiste al Consejo de Administración en el cumplimiento de sus responsabilidades, discutiendo las políticas de la Compañía con respecto a la evaluación y la gestión de riesgos, y supervisando el sistema de control y gestión de riesgos corporativos de la Compañía.

Auditoria Interna

La función de Auditoría Interna, que actúa como tercera línea dentro del “Modelo de las Tres Líneas”, supervisa el sistema de gestión de riesgos a través de auditorías internas de los diversos procesos de gestión del riesgo que la compañía dispone (financieros, operativos, de cumplimiento, etc.), emitiendo recomendaciones para corregir las debilidades, en su caso, detectadas.

Departamento de Riesgos Corporativos

El departamento de Riesgos Corporativos, independiente de las líneas de negocio y actuando como segunda línea del “Modelo de las Tres Líneas”, es el responsable de desarrollar el proceso de gestión de riesgos, denominado Ferrovial Risk Management (FRM). De este modo, se garantiza una gestión homogénea del riesgo en Ferrovial y conlleva el reporte periódico a la Comisión de Auditoría y Control y, cuando procede, al Consejo de Administración, sobre los riesgos que amenazan la consecución de los objetivos de negocio y el cumplimiento de los objetivos de riesgo aprobados por el propio Consejo.

Asimismo, ciertas divisiones y direcciones corporativas, en su área de responsabilidad y como parte de la segunda línea, son responsables de establecer políticas y estrategias para sus riesgos específicos, así como de realizar el seguimiento y la supervisión de la gestión de riesgos en toda la organización.

Gestores de negocio

Los gestores de negocio, actuando como primera línea del “Modelo de las Tres Líneas”, son responsables de la identificación y gestión de los riesgos asociados al logro de los objetivos en su ámbito de actividad.

Ferrovial Risk Management

La Política se complementa con el Procedimiento de Ferrovial Risk Management (FRM), que describe en detalle los distintos componentes del proceso de gestión de riesgos (identificación, evaluación, gestión, seguimiento y reporte), así como las actividades desarrolladas por el Grupo.

La identificación y evaluación de riesgos, incluidas en FRM, constituyen un proceso ascendente impulsado por el Comité de Dirección e implantado en todas las áreas de negocio de la compañía, bajo la supervisión periódica de la Comisión de Auditoría y Control del Consejo de Administración. Este proceso se lleva a cabo dos veces al año.

Mediante la aplicación de métricas comunes, el proceso permite identificar anticipadamente los eventos de riesgo y evaluarlos en función de su probabilidad de ocurrencia y de su posible impacto sobre los objetivos de negocio, incluida la reputación corporativa. De este modo, se priorizan los riesgos con mayor valoración para adoptar las medidas de mitigación más idóneas según su naturaleza, así como para aprovechar las oportunidades que, de la correcta gestión de los riesgos, puedan derivarse.

El proceso de gestión de riesgos es revisado periódicamente con el objetivo de mejora continua. Ferrovial ha iniciado durante el año 2025 un proyecto de actualización del modelo FRM, que incluye la implementación de un nuevo sistema GRC, que estará operativo en 2026. Este GRC servirá, además, como una plataforma unificada para otras áreas que gestionan o supervisan riesgos específicos y, cuando corresponda, estos dominios se integrarán con el FRM.

Entre las principales innovaciones introducidas en el nuevo proceso, destacan la incorporación de oportunidades, la cuantificación de determinados riesgos y oportunidades, y la revisión y ampliación de las escalas de evaluación.

En todo caso, la gestión de riesgos está integrada en los distintos procesos del Grupo.

Cultura de Riesgo

Ferrovial promueve una sólida cultura de gestión de riesgos en todas sus divisiones mediante diversas iniciativas, como la formación periódica en esta materia en toda la organización, incluido el Consejo de Administración y los consejeros no ejecutivos, así como la incorporación de métricas específicas de gestión de riesgos a los incentivos financieros de la alta dirección.

Como reflejo del compromiso de la alta dirección y con el fin de reforzar aún más las capacidades del Consejo de Administración en materia de riesgos, se ha establecido un programa de formación estructurado impartido por expertos externos de reconocido prestigio, que ofrece al Consejo sesiones periódicas, especializadas y actualizadas.

Dada la experiencia de los miembros del Consejo, estas sesiones se centran en riesgos clave, como la geopolítica, la ciberseguridad o la sostenibilidad, y contribuyen a la mejora continua de los procesos de toma de decisiones y de la gestión de riesgos. Este enfoque garantiza que el Consejo mantenga una comprensión sólida y actualizada de los riesgos en evolución, lo que mejora la calidad de la supervisión y refuerza la mejora continua tanto de la toma de decisiones como de los procesos de gestión de riesgos.

Además, en línea con las recientes mejoras metodológicas y con la introducción de una nueva herramienta de gestión de riesgos, en febrero de 2026 se impartieron sesiones de formación obligatoria para todos los gestores de negocio. Se celebraron cuatro sesiones, a las que asistieron un total de 162 directivos. En ellas se presentaron de forma integral las últimas actualizaciones y se reforzaron los principios fundamentales de la gestión de riesgos. Asimismo, se celebró una sesión monográfica con el Comité de Dirección y se impartió formación individualizada a cada gestor, garantizando una comprensión profunda y adaptada de los procesos y responsabilidades revisados.

Riesgos emergentes

El proceso FRM también permite identificar, evaluar y monitorizar los riesgos emergentes. En este sentido, Ferrovial ha lanzado una iniciativa que supone un importante avance en la gestión proactiva de los riesgos emergentes de Ferrovial, que servirá como herramienta de apoyo en la toma de decisiones.

En marzo de 2025, el primer taller de riesgos emergentes reunió a expertos de distintas unidades de negocio de Ferrovial para identificar y analizar posibles riesgos que amenazan a la compañía. Entre los riesgos identificados y comunicados al Consejo de Administración, destacan los siguientes:

Tecnologías disruptivas en la movilidad, como la proliferación de vehículos autónomos y la inteligencia artificial, están llamadas a alterar de forma significativa los patrones de movilidad. Esto podría traducirse en una disminución de la demanda de viajes y en una menor disposición a pagar por el ahorro de tiempo, mientras que la expansión de la IA podría provocar pérdidas de empleo entre quienes actualmente se desplazan a diario. Para afrontar estos desafíos, Ferrovial supervisa activamente las tendencias emergentes, realiza análisis de escenarios y busca alianzas estratégicas que garanticen la resiliencia y la capacidad de adaptación.

Las preocupaciones en torno a la sostenibilidad del transporte aéreo, impulsadas por sus percibidos efectos negativos sobre el cambio climático y la salud, así como por una mayor conciencia medioambiental, pueden dar lugar a una disminución de la demanda de tráfico aéreo. Estos cambios podrían afectar en un primer momento a los vuelos de negocios, como consecuencia de políticas de sostenibilidad más estrictas, y posteriormente a los viajes de ocio y turismo. Además, la adopción de nuevas normativas podría incrementar los costes operativos y modificar los planes estratégicos, así como las futuras oportunidades de negocio. Para afrontar estos riesgos, Ferrovial realiza un seguimiento continuo de las tendencias y desarrolla análisis de escenarios con el objetivo de reforzar su resiliencia.

Google play App Store

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 meses 29 días 23 horas 59 minutos	Esta cookie es establecida por el plugin GDPR Cookie Consentimiento y se utiliza para registrar el consentimiento del usuario para las cookies publicitarias.
cookielawinfo-checkbox-analytics	11 meses 29 días 23 horas 59 minutos	Esta cookie es establecida por el plugin de Wordpress GDPR Cookie Consentimiento. La cookie es utilizada para recodar el consentimiento del usuario respecto de las cookies catalogadas como “analíticas”
cookielawinfo-checkbox-language	11 meses 29 días 23 horas 59 minutos	Esta cookie es establecida por el plugin de Wordpress GDPR Cookie Consentimiento. La cookie recordará las preferencias de idioma.
cookielawinfo-checkbox-necessary	11 meses	Esta cookie es establecida por el plugin DE Consentimiento de Cookies del RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie es establecida por el plugin DE Consentimiento de Cookies del RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesario".
csrftoken	11 meses	Esta cookie está asociada con la plataforma de desarrollo web Django para Python. Se utiliza para ayudar a proteger el sitio web contra ataques de falsificación de solicitudes entre sitios.
lang		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para servir contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el fin de administrar la sesión de usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	11 meses	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha dado su consentimiento o no al uso de cookies. No almacena ningún dato personal.
wp-wpml_current_language	1 día	Usado por WPML para almacenar configuraciones de idioma.

Cookie	Duración	Descripción
_csrf		Cookie anti "Cross-site request forgery".
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_gat	1 minuto	Estas cookies son instaladas por Google Universal Analytics para limitar la tasa de solicitudes para limitar la colocación de datos en sitios de alto tráfico.
_gat_gtag_UA_5784146_31	1 minuto	Google Se utiliza para distinguir a los usuarios.
_gat_UA-141180000-1	1 minuto	Se trata de una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la _gat cookie que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.
_gat_UA-20934186-10	1 minuto	Se trata de una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la _gat cookie que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.
_gat_UA-5826449-38	1 minuto	Utilizado por Google Analytics para controlar la tasa de peticiones
_gat_UA-58630905-1	1 minuto	Utilizado por Google Analytics para controlar la tasa de peticiones
_gat_UA-70491628-1	1 minuto	Se trata de una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la _gat cookie que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.
_gcl_au	2 meses	Utilizada por Google AdSense para experimentar con la eficiencia publicitaria a través de las webs usando sus servicios
_gid	23 horas 59 minutos	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico sobre cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.
_hjAbsoluteSessionInProgress	30 minutos	Esta cookie se utiliza para detectar la primera sesión de vista de página de un usuario. Este es un indicador de Verdadero / Falso establecido por la cookie.
_hjCachedUserAttributes	Sesión	Esta cookie almacena atributos de usuario que se envían a través de la API de identificación de Hotjar, siempre que el usuario no está en la muestra. Estos atributos solo se guardarán si el usuario interactúa con una herramienta Hotjar Feedback.
_hjClosedSurveyInvites	365 días	Cookie de Hotjar que se establece una vez que un visitante interactúa con un modal de invitación de Encuesta de enlace externo. Se utiliza para garantizar que la misma invitación no vuelva a aparecer si ya se ha mostrado.
_hjDonePolls	365 días	Cookie Hotjar que se establece una vez que un visitante completa una encuesta utilizando el widget de encuesta en el sitio. Se utiliza para garantizar que la misma encuesta no vuelva a aparecer si ya se ha rellenado.
_hjid	365 días	Cookie Hotjar que se establece cuando el cliente llega por primera vez a una página con el script Hotjar. Se utiliza para conservar la ID de usuario de Hotjar, única para ese sitio en el navegador. Esto asegura que el comportamiento en visitas posteriores al mismo sitio se atribuirá al mismo ID de usuario.
_hjIncludedInPageviewSample	30 minutos	Esta cookie está configurada para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de visitas a la página de su sitio.
_hjIncludedInSessionSample	30 minutos	Esta cookie está configurada para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de sesiones diarias de su sitio.
_hjLocalStorageTest	Menos de 100ms	Esta cookie se usa para verificar si Hotjar Tracking Script puede usar almacenamiento local. Si puede, se establece un valor de 1 en esta cookie. Los datos almacenados en_hjLocalStorageTest no tienen fecha de caducidad, pero se eliminan casi inmediatamente después de su creación.
_hjMinimizedPolls	365 días	La cookie Hotjar que se establece una vez que un visitante minimiza un widget de encuesta en el sitio. Se utiliza para garantizar que el widget permanezca minimizado cuando el visitante navega por su sitio.
_hjRecordingLastActivity	Sesión	Esto se debe encontrar en el almacenamiento de sesiones (a diferencia de las cookies). Esto se actualiza cuando comienza la grabación de un visitante y cuando se envían datos a través de WebSocket (el visitante realiza una acción que Hotjar registra).
_hjShownFeedbackMessage	365 días	Cookie Hotjar que se establece cuando un visitante minimiza o completa los comentarios entrantes. Esto se hace para que los comentarios entrantes se carguen como minimizados inmediatamente si el visitante navega a otra página donde está configurado para mostrarse.
_hjTLDTest	Sesión	Cuando se ejecuta el script Hotjar, intentamos determinar la ruta de la cookie más genérica que debemos usar, en lugar del nombre de host de la página. Esto se hace para que las cookies se puedan compartir entre subdominios (cuando corresponda). Para determinar esto, intentamos almacenar la cookie _hjTLDTest para diferentes alternativas de subcadena de URL hasta que falle. Después de esta verificación, se elimina la cookie.
_hjUserAttributesHash	Sesión	Los atributos de usuario enviados a través de la API de identificación de Hotjar se almacenan en caché durante la sesión para saber cuándo un atributo ha cambiado y debe actualizarse.
_smvs	23 horas 59 minutos	Registra datos del comportamiento del visitante en la web. Esto se utiliza para el análisis interno y la optimización de la web.
_uetsid	1 día	Esta es una cookie que utiliza Microsoft Bing Ads y se trata de una cookie de rastreo. Permite interactuar con un usuario que ya ha visitado nuestro sitio web.
_uetvid	2 semanas	Cookie instalada por Google Tag Manager para almacenar y rastrear las visitas entre sitios.
apbct_visible_fields	Sesión	Previene contenido spam
apbct_visible_fields_count	Sesión
ct_checkjs	Sesión	Almacena variables dinámicas desde el navegador
ct_fkp_timestamp	Sesión	Almacena el tiempo de visita
ct_pointer_data	Sesión	Almacena variables dinámicas desde el navegador
ct_ps_timestamp	Sesión	Almacena el tiempo de visita
ct_timezone	Sesión	Almacena el tiempo de visita
dtCookie	Sesión
GPS	30 minutos	Esta cookie es establecida por Youtube y registra un ID único para el seguimiento de los usuarios en función de su ubicación geográfica.
lumesse_language	hace 50 años	Esta cookie determina el idioma de la interfaz de usuario del Application Process (etiquetas, interfaz, etc.)
MR	1 semana	Esta cookie se utiliza para medir el uso del sitio web con fines analíticos.
smclient	10 años	Una cookie en sí misma no contiene ninguna información que permita identificar contactos y reconocer, p. Ej. datos personales del visitante del sitio web. La conexión a la tarjeta de contacto se realiza en el sistema SALESmanago.
test_cookie	14 minutos	Esta cookie es instalada por doubleclick.net. La finalidad de la cookie es determinar si el navegador del usuario admite cookies.

Cookie	Duración	Descripción
_fbp	2 meses 28 días 23 horas 59 minutos	Esta cookie es instalada por Facebook para ofrecer publicidad cuando están en Facebook o en una plataforma digital con publicidad de Facebook después de visitar este sitio web.
everest_g_v2	1 year	La cookie se establece en eversttech.net dominio. El propósito de la cookie es asignar clics a otros eventos en el sitio web del cliente.
fr	2 meses 28 días 23 horas 59 minutos	La cookie es instalada por Facebook para mostrar anuncios relevantes a los usuarios y medir y mejorar los anuncios. La cookie también rastrea el comportamiento del usuario a través de la web en los sitios que tienen el píxel de Facebook o el plugin social de Facebook.
IDE	2 años	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Esto se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil de usuario.
lms_ads	30 días	Se utiliza para identificar a los miembros de LinkedIn de los países designados para fines de publicidad.
mid	9 años	La cookie es establecida por Instagram. La cookie se utiliza para distinguir a los usuarios y para mostrar contenido relevante, para una mejor experiencia de usuario y seguridad.
MUID	1 año	Utilizado por Microsoft como un identificador único. La cookie se establece mediante scripts de Microsoft incrustados. El propósito de esta cookie es sincronizar el identificador en muchos dominios de Microsoft diferentes para permitir el seguimiento de usuarios.
NID	6 meses	Esta cookie se utiliza para un perfil basado en el interés del usuario y mostrar anuncios personalizados a los usuarios.
personalization_id	2 años	Esta cookie es establecida por twitter.com. Se utiliza integrar las características de uso compartido de esta red social. También almacena información sobre cómo el usuario utiliza el sitio web para el seguimiento y la segmentación.
uid	1 año	Esta cookie se utiliza para medir el número y el comportamiento de los visitantes del sitio web de forma anónima. Los datos incluyen el número de visitas, la duración media de la visita en el sitio web, las páginas visitadas, etc. con el fin de comprender mejor las preferencias de los usuarios para los anuncios dirigidos.
VISITOR_INFO1_LIVE	5 meses	Esta cookie está establecida por Youtube. Se utiliza para realizar un seguimiento de la información de los vídeos de YouTube incrustados en un sitio web.
YSC	Sesión	Esta cookie es establecida por Youtube y se utiliza para rastrear las vistas de los vídeos incrustados.

Autopistas

Webs de autopistas

Aeropuertos

Construcción

Energía