GESTIÓN INTEGRAL DE RIESGOS

CONTENIDO

Gestión de riesgos

Gestión de la

continuidad del negocio

Retos

Carmen Rosa Ángel Cotes

Profesional Gestión Integral de Riesgos

“Nuestra gestión integral de riesgos se orienta a la creación de valor de ISAGEN y

es un elemento clave en la toma de decisiones organizacionales, la disminución

de pérdidas y la maximización de oportunidades. Nos permite salvaguardar la

solidez y sostenibilidad empresarial mediante la gestión efectiva de los riesgos

a todos los niveles, la administración de todos los mecanismos de transferencia

de riesgos y la elaboración de respuestas efectivas ante eventos que puedan

poner en riesgo nuestra continuidad del negocio. Nuestra metodología de

continuidad del negocio busca identificar los impactos potenciales, establecer el

contexto de la situación, desarrollar las estrategias de recuperación y construir

Realizamos el ejercicio de identificación de los riesgos corporativos

aso-ciados a nuestra estrategia con la Alta Dirección, incluyendo dos nuevos

elementos de análisis: el apetito de riesgo en función del EBITDA y el riesgo

inherente.

Capacitamos al 100% de las gerencias para resaltar la importancia de la

gestión integral de riesgos y fortalecer los roles y las responsabilidades.

Realizamos un simulacro de mayor complejidad que consistió en la

activa-ción simultánea de los planes de manejo de crisis, atenactiva-ción de

emergen-cias y continuidad de las operaciones. Obtuvimos una respuesta integral,

atendiendo aspectos operacionales y estratégicos.

Realizamos 39 pruebas a los planes de continuidad del negocio para

vali-dar la funcionalidad de estos y generar un aprendizaje entre las personas

involucradas.

El entorno actual requiere que las

empre-sas vayan más allá de la mitigación de

los riesgos en su día a día, asumiendo un

enfoque de adaptación al riesgo global y

desarrollando la capacidad

organizacio-nal para superar situaciones complejas.

Tomamos como referencia estos aspectos

en la creación de iniciativas corporativas

para asegurar la sostenibilidad de

nues-tro negocio, garantizar su continuidad,

preservar los recursos empresariales y

gestionar adecuadamente el impacto de

las relaciones con los grupos de interés.

Nuestra gestión integral de riesgos

com-prende la gestión de riesgos y la gestión

de la continuidad del negocio, ambas

prácticas cuentan con diferentes alcances

pero son complementarias. La primera se

encarga de mitigar integralmente todos

los riesgos del negocio, actuando con

mayor fuerza antes de la ocurrencia de un

evento. La segunda es responsable de

esta-blecer una respuesta anticipada e integral

para minimizar los impactos potenciales

de las actividades críticas, operando con

mayor fuerza después de los eventos que

ocasionan interrupción de operaciones y

reduciendo sus consecuencias.

A continuación presentamos las prácticas,

así como los principales resultados y retos

de la gestión durante el 2016:

GESTIÓN DE RIESGOS

La gestión de riesgos es un proceso lógico y sistémico en el cual se establece el contexto, se identifican, analizan, evalúan, tratan, monitorean y comunican los riesgos asociados con los procesos y la estrategia de la Empresa. Esta administración se realiza con base en una metodología alineada con la estrategia empresarial y las mejores prácticas y normativas como la ISO 31000 y NTC 5254.

Durante el 2016 realizamos el ejercicio de identificación de los riesgos corporativos asociados a nuestra estrategia con la Alta Dirección (equipo de Gerencia). Comprende el análisis de nues-tros objetivos de negocio y Propósito Superior, los temas emergentes, así como las tendencias y los riesgos identificados por el Foro Económico Mundial; también incluimos en el análisis dos nuevos elementos: el apetito de riesgo en función del EBITDA, es decir, el monto máximo que estamos dispuestos a asumir en caso de materializarse un riesgo, y el riesgo inherente, es decir, la calificación del riesgo sin tener en cuenta los controles.

El inventario de riesgos corporativos es aprobado por el Comité de Auditoría y Riesgos y la Junta Directiva. Para cada riesgo, identificamos y analizamos sus respectivas causas y controles, así como las coyunturas que podrían llegar a materializarlo. De igual forma, implementamos un seguimiento mensual de las coyunturas de los riesgos corporativos y sus respectivas acciones de mitigación en el Comité de Gerencia. El resultado de este seguimiento es analizado durante el Comité de Auditoría y Riesgos y la Junta Directiva.

A continuación presentamos los 15 riesgos corporativos con su descripción, nivel de riesgo inherente (antes de controles) y residual (después de controles), también su asociación con las tendencias y riesgos emergentes del Foro Económico Mundial, los temas relevantes de la gestión y los Objetivos de Desarrollo Sostenible (ODS):

Riesgo

corporativo Descripción del riesgo

Nivel del riesgo inherente Nivel del riesgo residual Tendencias y riesgos emergentes del Foro Económico Mundial Temas materiales o relevantes de la gestión* ODS priorizados por ISAGEN Riesgo de seguridad y salud en el trabajo

Inadecuada gestión de las actividades que conduzcan a vulnerar la protección, seguridad, salud y bienestar de las

perso-nas involucradas en el trabajo. Extremo Alto

Aparición de enfermedades crónicas Envejecimiento de la población Propagación de enfermedades infecciosas Seguridad y salud en el trabajo Riesgo de seguridad física de las personas e instalaciones

Condiciones sociales o actos malinten-cionados de terceros que vulneran la seguridad de las personas (trabajadores, contratistas o miembros de la comuni-dad) o los activos de ISAGEN y/o afectan

las operaciones empresariales. Extremo Alto

Urbanismo Aumento de la

movilidad geográfica Cambios de poder

Profunda inestabilidad social Conflicto interestatal Fallas en la gobernabilidad nacional Ataques terroristas Seguridad y salud en el trabajo

Derechos humanos y paz

Riesgo ambiental y social

Inadecuada gestión social y biofísica para contribuir a la sostenibilidad ambiental de ISAGEN y de sus áreas de influencia, durante la construcción u operación de

centrales de generación. Extremo Moderado

Degradación del medio ambiente

Cambio climático

Aumento de los ingresos y disparidad de la riqueza Fallas en la mitigación y adaptación a los cambios climáticos

Eventos climáticos extremos Colapsos a nivel del

ecosistema y disminución de la biodiversidad

Catástrofes ambientales ocasionadas por el hombre Crisis del agua

Crisis alimentaria

Migración involuntaria a gran escala

Gestión integral del agua Cambio climático Gestión de la biodiversidad Rol transformador en las regiones

Derechos humanos y paz Desarrollo de nuevas oportunidades de negocio Producción y

comercialización de energía

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

73

Riesgo

corporativo Descripción del riesgo

Nivel del riesgo inherente Nivel del riesgo residual Tendencias y riesgos emergentes del Foro Económico Mundial Temas materiales o relevantes de la gestión* ODS priorizados por ISAGEN Riesgo en la

gestión comercial Inadecuada gestión comercial que impida o dificulte el logro de la meta de EBITDA.

Extremo Alto

Efectos del precio de la energía Fallas en el manejo de la inflación Producción y comercialización de energía Riesgo de desastres naturales

Fenómeno natural de una cierta exten-sión, intensidad y duración con potencial para causar daños a las personas, los activos o al entorno que afecten las

operaciones. Extremo Alto

Degradación del medio ambiente

Cambio climático Fallas en la mitigación y

adaptación a los cambios climáticos

Eventos climáticos extremos Catástrofes ambientales

ocasionadas por el hombre Catástrofes naturales Cambio climático Riesgo de indisponibilidad en las centrales de generación

Eventos internos o externos que afecten la operación de las centrales y que

impac-ten su disponibilidad. _{Extremo Moderado}

Catástrofes naturales Caídas críticas de la infraestructura tecnológica Fallas en la infraestructura física Producción y comercialización de energía Riesgo de desabastecimiento de combustible

Indisponibilidad de combustibles (sumi-nistro y transporte) para garantizar el respaldo y/o la generación de la central

térmica de ISAGEN. Alto Moderado

Efectos del precio de la energía

Colapsos a nivel del ecosistema y disminución de la biodiversidad Producción y comercialización de energía Abastecimiento

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

74

Riesgo

corporativo Descripción del riesgo

Nivel del riesgo inherente Nivel del riesgo residual Tendencias y riesgos emergentes del Foro Económico Mundial Temas materiales o relevantes de la gestión* ODS priorizados por ISAGEN Riesgo en la gestión de TIC y ciberseguridad

Inadecuada gestión de las tecnologías de la información y las comunicaciones que impida o restrinja el logro de los objeti-vos empresariales y vulnerabilidad de la información por ataques cibernéticos

internos o externos. Extremo Moderado

Ataques cibernéticos Consecuencias adversas por

los avances tecnológicos Caídas críticas de la

infraestructura tecnológica Fraude o robo de datos Aumento de la cyber

dependencia

Innovación y desarrollo de las competencias para la gestión de tecnologías características

Riesgo de gestión legal

Errores u omisiones en la representación judicial o en la asesoría jurídica de la

Empresa. _{Extremo Moderado}

Conflicto interestatal Fallas en la gobernabilidad

nacional

Crisis o colapso estatal Cambios de poder Cambios en el panorama de la gobernanza internacional Todos Riesgo de la gestión del talento humano

Inadecuada gestión del talento humano que impida el desarrollo integral de los trabajadores y le impida a la Empresa contar con trabajadores competentes y

con planes de sucesión eficaces. Alto Bajo

Migración involuntaria a gran escala

Desempleo o subempleo

Desarrollo integral de los trabajadores

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

75

Riesgo

corporativo Descripción del riesgo

Nivel del riesgo inherente Nivel del riesgo residual Tendencias y riesgos emergentes del Foro Económico Mundial Temas materiales o relevantes de la gestión* ODS priorizados por ISAGEN Riesgo de cambios macroeconómicos

Cambios macroeconómicos que impac-ten negativamente los resultados de la Empresa y la creación de valor en la

misma. Extremo Moderado

Deflación Fallas en el manejo de la inflación Valor de empresa Desarrollo de nuevas oportunidades de negocio Riesgo de fraude, soborno y corrupción

Actos de fraude, soborno y corrupción por parte de los trabajadores o los

gru-pos de interés de la Empresa. _{Extremo Bajo}

Aumento de la cyber dependencia Cambios de poder Cambios en el panorama

de la gobernanza internacional Aumento de los ingresos y

disparidad de la riqueza Fraude o robo de datos Consecuencias adversas por

los avances tecnológicos Fallas en la gobernabilidad

nacional

Crisis o colapso estatal

Ética empresarial

Riesgo regulatorio, normativo y de cumplimiento

Incumplimiento o desconocimiento de las leyes, normas y/o regulación.

Extremo Alto

Conflicto interestatal Fallas en la gobernabilidad

nacional

Crisis o colapso estatal Cambios de poder Cambios en el panorama de la gobernanza internacional Producción y comercialización de energía Gestión de la biodiversidad Rol transformador en las regiones Desarrollo de nuevas oportunidades de negocio Gestión integral del agua Cambio climático Valor de empresa

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

Riesgo

corporativo Descripción del riesgo

Nivel del riesgo inherente Nivel del riesgo residual Tendencias y riesgos emergentes del Foro Económico Mundial Temas materiales o relevantes de la gestión* ODS priorizados por ISAGEN Riesgo en la gestión financiera

Inadecuada gestión financiera que impacte negativamente los resultados de la Empresa y la creación de valor en

la misma. Extremo Bajo

Crisis fiscal Deflación

Fallas en el manejo de la inflación

Fallas en los mecanismos de financiación o en la institución de los mismos Conflicto interestatal Crisis o colapso estatal Cambios de poder Cambios en el panorama

de la gobernanza internacional

Efectos del precio de la energía Catástrofes naturales Cambio climático Valor de empresa Riesgo hídrico y de variabilidad del clima

Variabilidad climática e hidrológica que impacta negativamente la producción de energía de las centrales hidroeléctricas

de la Empresa. Extremo Moderado

Cambio climático Gestión integral del agua Gestión de la biodiversidad Desarrollo de nuevas oportunidades de negocio Producción y comercialización de energía

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

77

Capacitamos al 100% de las gerencias para resaltar la importancia de la gestión integral de riegos y fortalecer los roles y las responsabilidades. Así mismo, destacamos dos encuentros:

Encuentro Anual de Gestores de Riesgos: espacio para fortalecer el conocimiento y la actualización sobre los avances en la gestión integral de riesgos. Contamos con la asistencia de 34 Gestores de Riesgos, correspondientes al 63% de los 54 gestores de la Organización. Duración del encuentro: 8 horas.

Encuentro de Gestores de Continuidad del Negocio: espacio para identificar a los responsables de los equipos y asuntos de trabajo priorizados, también dar lineamientos que fortalezcan la planeación integrada de las capacitaciones y pruebas. Contamos con la asistencia de 38 gestores de continuidad del negocio, correspondiente al 68% de los 56 gestores de continuidad de la Organización. Duración del encuentro: 8 horas.

Política para la Gestión Integral de Riesgos

Riesgos corporativos alineados con la estrategia de ISAGEN:

Conoce aquí:

78

Nuestra gestión de la continuidad del negocio toma normas nacio-nales e internacionacio-nales de referencia como la ISO 22301 y NTC 5722. Comprende: respuesta a emergencias, manejo de crisis y continuidad de las operaciones, aspectos que orientan nuestra preparación para atender posibles impactos en las personas, el medio ambiente, la re-putación y las operaciones. Contamos con un sistema de gestión para su implementación, mantenimiento y sostenibilidad en un proceso de mejoramiento continuo. Para esto, identificamos las amenazas e impactos potenciales que podrían afectarnos y con base en esta in-formación, establecemos estrategias de respuesta y construimos con anticipación directrices y procedimientos para fortalecer la capacidad de reacción organizacional a situaciones adversas, salvaguardando los intereses de las partes involucradas, su reputación y las activida-des generadoras de valor.

Realizamos 39 pruebas de los planes con el propósito de simular las condiciones de operación normal frente a una interrupción, validar la funcionalidad de los planes existentes y evaluar los resultados para generar aprendizajes y establecer acciones de mejora. La ejecución de pruebas correspondió al 75% de lo planeado por los procesos responsables, debido principalmente a que algunos planes se en-contraban en proceso de actualización por cambios regulatorios o en la metodología para la elaboración y sostenibilidad de los planes. Este resultado será tomado como un indicador base para determinar metas de mejoramiento en años posteriores.

En el 2016, contribuimos al fortalecimiento de la cultura, las habilida-des y los conocimientos sobre la gestión de la continuidad del negocio mediante las siguientes actividades:

Capacitaciones a los gestores de la continuidad del negocio, quie-nes coordinan las actividades requeridas para la sostenibilidad de cada uno de los planes.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Implementación y puesta en marcha del Sistema de Información para la Gestión de Continuidad del Negocio, el cual permite integrar la información de los diferentes planes y del sistema de gestión, con mayores niveles de seguridad, integridad y disponibilidad de la información.

Planeación y ejecución de pruebas a los planes. Destacamos el desarrollo de un simulacro basado en un evento hipotético en la central Termocentro. Esta prueba implicó la activación coordinada de varios planes de continuidad del negocio, posibilitándonos fortalecer la capacidad de respuesta organizacional a eventos de mayor complejidad.

Finalmente, realizamos la contratación de pólizas de seguro, ges-tionamos los reclamos presentados y evaluamos algunos riesgos no cubiertos bajo el actual programa de seguros y la posibilidad de transferencia al mercado asegurador.

Fortalecer la apropiación de la gestión integral de riesgos y la aplicación de la metodología en todos

los niveles organizacionales, integrando la administración de riesgos y continuidad del negocio como un

elemento natural al diseño de los procesos y al desarrollo del trabajo.

Fortalecer la planeación, la ejecución, el monitoreo y el reporte de las pruebas individuales y articuladas de

los planes del Sistema de Gestión de la Continuidad del Negocio para generar una cultura organizacional

adecuada ante situaciones complejas.

Identificar y evaluar los riesgos asociados a la contratación, con el fin de transferirlos adecuadamente

mediante un programa específico de seguros de cumplimiento, que incluya condiciones construidas a la

medida, para facilitar la gestión administrativa y minimizar los riesgos asociados

Cumplimiento

Continuar el fortalecimiento de la cultura de gestión del

ries-go mediante capacitaciones a los trabajadores, Gestores de

Riesgos y directivos.

Realizar pruebas integradas de los planes de continuidad del

negocio, teniendo en cuenta varios componentes del sistema,

lo cual permitirá fortalecer la capacidad de respuesta

organi-zacional ante eventos de mayor complejidad que implican la

activación coordinada de varios planes, a la vez que contribuirá

a una mayor eficiencia de los recursos disponibles para el

de-sarrollo de estas pruebas.

Gestionar el Programa de Seguros y analizar la viabilidad de

implementar esquemas de transferencia alternativa de riesgos,

diferentes al seguro tradicional.

RETOS

2016

RETOS

2017