GESTIÓN INTEGRAL DE RIESGOS

CONTENIDO

Gestión de riesgos

Gestión de la continuidad del negocio

Retos

Carmen Rosa Ángel Cotes Profesional Gestión Integral de Riesgos

“Nuestra gestión integral de riesgos se orienta a la creación de valor de ISAGEN y es un elemento clave en la toma de decisiones organizacionales, la disminución de pérdidas y la maximización de oportunidades. Nos permite salvaguardar la solidez y sostenibilidad empresarial mediante la gestión efectiva de los riesgos a todos los niveles, la administración de todos los mecanismos de transferencia de riesgos y la elaboración de respuestas efectivas ante eventos que puedan poner en riesgo nuestra continuidad del negocio. Nuestra metodología de continuidad del negocio busca identificar los impactos potenciales, establecer el contexto de la situación, desarrollar las estrategias de recuperación y construir

respuestas efectivas para estar preparados ante dichos impactos”.

Realizamos el ejercicio de identificación de los riesgos corporativos aso-ciados a nuestra estrategia con la Alta Dirección, incluyendo dos nuevos elementos de análisis: el apetito de riesgo en función del EBITDA y el riesgo inherente.

Capacitamos al 100% de las gerencias para resaltar la importancia de la gestión integral de riesgos y fortalecer los roles y las responsabilidades.

Realizamos un simulacro de mayor complejidad que consistió en la activa-ción simultánea de los planes de manejo de crisis, atención de emergen-cias y continuidad de las operaciones. Obtuvimos una respuesta integral, atendiendo aspectos operacionales y estratégicos.

Realizamos 39 pruebas a los planes de continuidad del negocio para vali-dar la funcionalidad de estos y generar un aprendizaje entre las personas involucradas.

HITOS 2016

El entorno actual requiere que las empre-sas vayan más allá de la mitigación de los riesgos en su día a día, asumiendo un enfoque de adaptación al riesgo global y desarrollando la capacidad organizacio-nal para superar situaciones complejas. Tomamos como referencia estos aspectos en la creación de iniciativas corporativas para asegurar la sostenibilidad de nues-tro negocio, garantizar su continuidad, preservar los recursos empresariales y gestionar adecuadamente el impacto de las relaciones con los grupos de interés.

Nuestra gestión integral de riesgos com-prende la gestión de riesgos y la gestión de la continuidad del negocio, ambas prácticas cuentan con diferentes alcances pero son complementarias. La primera se encarga de mitigar integralmente todos los riesgos del negocio, actuando con mayor fuerza antes de la ocurrencia de un evento. La segunda es responsable de esta-blecer una respuesta anticipada e integral para minimizar los impactos potenciales de las actividades críticas, operando con mayor fuerza después de los eventos que ocasionan interrupción de operaciones y reduciendo sus consecuencias.

A continuación presentamos las prácticas, así como los principales resultados y retos de la gestión durante el 2016:

GESTIÓN DE RIESGOSLa gestión de riesgos es un proceso lógico y sistémico en el cual se establece el contexto, se identifican, analizan, evalúan, tratan, monitorean y comunican los riesgos asociados con los procesos y la estrategia de la Empresa. Esta administración se realiza con base en una metodología alineada con la estrategia empresarial y las mejores prácticas y normativas como la ISO 31000 y NTC 5254.

Durante el 2016 realizamos el ejercicio de identificación de los riesgos corporativos asociados a nuestra estrategia con la Alta Dirección (equipo de Gerencia). Comprende el análisis de nues-tros objetivos de negocio y Propósito Superior, los temas emergentes, así como las tendencias y los riesgos identificados por el Foro Económico Mundial; también incluimos en el análisis dos nuevos elementos: el apetito de riesgo en función del EBITDA, es decir, el monto máximo que estamos dispuestos a asumir en caso de materializarse un riesgo, y el riesgo inherente, es decir, la calificación del riesgo sin tener en cuenta los controles.

El inventario de riesgos corporativos es aprobado por el Comité de Auditoría y Riesgos y la Junta Directiva. Para cada riesgo, identificamos y analizamos sus respectivas causas y controles, así como las coyunturas que podrían llegar a materializarlo. De igual forma, implementamos un seguimiento mensual de las coyunturas de los riesgos corporativos y sus respectivas acciones de mitigación en el Comité de Gerencia. El resultado de este seguimiento es analizado durante el Comité de Auditoría y Riesgos y la Junta Directiva.

A continuación presentamos los 15 riesgos corporativos con su descripción, nivel de riesgo inherente (antes de controles) y residual (después de controles), también su asociación con las tendencias y riesgos emergentes del Foro Económico Mundial, los temas relevantes de la gestión y los Objetivos de Desarrollo Sostenible (ODS):

Riesgo corporativo Descripción del riesgo

Nivel del riesgo

inherente

Nivel del riesgo

residual

Tendencias y riesgos emergentes del Foro Económico Mundial

Temas materiales o relevantes de la

gestión*

ODS priorizados por ISAGEN

Riesgo de seguridad y salud en el trabajo

Inadecuada gestión de las actividades que conduzcan a vulnerar la protección, seguridad, salud y bienestar de las perso-nas involucradas en el trabajo. Extremo Alto

Aparición de enfermedades crónicas

Envejecimiento de la población Propagación de enfermedades infecciosas

Seguridad y salud en el trabajo

Riesgo de seguridad física de las personas e instalaciones

Condiciones sociales o actos malinten-cionados de terceros que vulneran la seguridad de las personas (trabajadores, contratistas o miembros de la comuni-dad) o los activos de ISAGEN y/o afectan las operaciones empresariales.

Extremo Alto

Urbanismo Aumento de la movilidad geográfica

Cambios de poder Profunda inestabilidad social Conflicto interestatal Fallas en la gobernabilidad nacional

Ataques terroristas

Seguridad y salud en el trabajoDerechos humanos y paz

Riesgo ambiental y social

Inadecuada gestión social y biofísica para contribuir a la sostenibilidad ambiental de ISAGEN y de sus áreas de influencia, durante la construcción u operación de centrales de generación. Extremo Moderado

Degradación del medio ambiente

Cambio climático Aumento de los ingresos y disparidad de la riqueza

Fallas en la mitigación y adaptación a los cambios climáticos

Eventos climáticos extremos Colapsos a nivel del ecosistema y disminución de la biodiversidad

Catástrofes ambientales ocasionadas por el hombre

Crisis del agua Crisis alimentaria Migración involuntaria a gran escala

Gestión integral del agua Cambio climáticoGestión de la biodiversidadRol transformador en las regionesDerechos humanos y pazDesarrollo de nuevas oportunidades de negocioProducción y comercialización de energía

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

73

Riesgo corporativo Descripción del riesgo

Nivel del riesgo

inherente

Nivel del riesgo

residual

Tendencias y riesgos emergentes del Foro Económico Mundial

Temas materiales o relevantes de la

gestión*

ODS priorizados por ISAGEN

Riesgo en la gestión comercial

Inadecuada gestión comercial que impida o dificulte el logro de la meta de EBITDA.

Extremo Alto

Efectos del precio de la energía

Fallas en el manejo de la inflación

Producción y comercialización de energía

Riesgo de desastres naturales

Fenómeno natural de una cierta exten-sión, intensidad y duración con potencial para causar daños a las personas, los activos o al entorno que afecten las operaciones. Extremo Alto

Degradación del medio ambiente

Cambio climático Fallas en la mitigación y adaptación a los cambios climáticos

Eventos climáticos extremos Catástrofes ambientales ocasionadas por el hombre

Catástrofes naturales

Cambio climático

Riesgo de indisponibilidad en las centrales de generación

Eventos internos o externos que afecten la operación de las centrales y que impac-ten su disponibilidad. Extremo Moderado

Catástrofes naturales Caídas críticas de la infraestructura tecnológica

Fallas en la infraestructura física

Producción y comercialización de energía

Riesgo de desabastecimiento de combustible

Indisponibilidad de combustibles (sumi-nistro y transporte) para garantizar el respaldo y/o la generación de la central térmica de ISAGEN. Alto Moderado

Efectos del precio de la energía

Colapsos a nivel del ecosistema y disminución de la biodiversidad

Producción y comercialización de energía

Abastecimiento

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

74

Riesgo corporativo Descripción del riesgo

Nivel del riesgo

inherente

Nivel del riesgo

residual

Tendencias y riesgos emergentes del Foro Económico Mundial

Temas materiales o relevantes de la

gestión*

ODS priorizados por ISAGEN

Riesgo en la gestión de TIC y ciberseguridad

Inadecuada gestión de las tecnologías de la información y las comunicaciones que impida o restrinja el logro de los objeti-vos empresariales y vulnerabilidad de la información por ataques cibernéticos internos o externos.

Extremo Moderado

Ataques cibernéticos Consecuencias adversas por los avances tecnológicos

Caídas críticas de la infraestructura tecnológica

Fraude o robo de datos Aumento de la cyber dependencia

Innovación y desarrollo de las competencias para la gestión de tecnologías características

Riesgo de gestión legal

Errores u omisiones en la representación judicial o en la asesoría jurídica de la Empresa. Extremo Moderado

Conflicto interestatal Fallas en la gobernabilidad nacional

Crisis o colapso estatal Cambios de poder Cambios en el panorama de la gobernanza internacional

Todos

Riesgo de la gestión del talento humano

Inadecuada gestión del talento humano que impida el desarrollo integral de los trabajadores y le impida a la Empresa contar con trabajadores competentes y con planes de sucesión eficaces. Alto Bajo

Migración involuntaria a gran escala

Desempleo o subempleo

Desarrollo integral de los trabajadores

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

75

Riesgo corporativo Descripción del riesgo

Nivel del riesgo

inherente

Nivel del riesgo

residual

Tendencias y riesgos emergentes del Foro Económico Mundial

Temas materiales o relevantes de la

gestión*

ODS priorizados por ISAGEN

Riesgo de cambios macroeconómicos

Cambios macroeconómicos que impac-ten negativamente los resultados de la Empresa y la creación de valor en la misma. Extremo Moderado

Deflación Fallas en el manejo de la inflación

Valor de empresa Desarrollo de nuevas oportunidades de negocio

Riesgo de fraude, soborno y corrupción

Actos de fraude, soborno y corrupción por parte de los trabajadores o los gru-pos de interés de la Empresa. Extremo Bajo

Aumento de la cyber dependencia

Cambios de poder Cambios en el panorama de la gobernanza internacional

Aumento de los ingresos y disparidad de la riqueza

Fraude o robo de datos Consecuencias adversas por los avances tecnológicos

Fallas en la gobernabilidad nacional

Crisis o colapso estatal

Ética empresarial

Riesgo regulatorio, normativo y de cumplimiento

Incumplimiento o desconocimiento de las leyes, normas y/o regulación.

Extremo Alto

Conflicto interestatal Fallas en la gobernabilidad nacional

Crisis o colapso estatal Cambios de poder Cambios en el panorama de la gobernanza internacional

Producción y comercialización de energía

Gestión de la biodiversidad

Rol transformador en las regiones

Desarrollo de nuevas oportunidades de negocio

Gestión integral del agua Cambio climático Valor de empresa

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

Riesgo corporativo Descripción del riesgo

Nivel del riesgo

inherente

Nivel del riesgo

residual

Tendencias y riesgos emergentes del Foro Económico Mundial

Temas materiales o relevantes de la

gestión*

ODS priorizados por ISAGEN

Riesgo en la gestión financiera

Inadecuada gestión financiera que impacte negativamente los resultados de la Empresa y la creación de valor en la misma. Extremo Bajo

Crisis fiscal Deflación Fallas en el manejo de la inflación

Fallas en los mecanismos de financiación o en la institución de los mismos

Conflicto interestatal Crisis o colapso estatal Cambios de poder Cambios en el panorama de la gobernanza internacional

Efectos del precio de la energía Catástrofes naturales Cambio climático

Valor de empresa

Riesgo hídrico y de variabilidad del clima

Variabilidad climática e hidrológica que impacta negativamente la producción de energía de las centrales hidroeléctricas de la Empresa. Extremo Moderado

Cambio climático Gestión integral del agua Gestión de la biodiversidad

Desarrollo de nuevas oportunidades de negocio

Producción y comercialización de energía

* Reconocemos que la buena calidad de las relaciones es la base para evitar que cualquier riesgo se materialice y por esta razón todos los riesgos corporativos se conectan con este tema material o relevante de la gestión. Nuestra concepción de empresa basada en el ser humano se conecta a su vez con los temas materiales.

77

Capacitamos al 100% de las gerencias para resaltar la importancia de la gestión integral de riegos y fortalecer los roles y las responsabilidades. Así mismo, destacamos dos encuentros:

Encuentro Anual de Gestores de Riesgos: espacio para fortalecer el conocimiento y la actualización sobre los avances en la gestión integral de riesgos. Contamos con la asistencia de 34 Gestores de Riesgos, correspondientes al 63% de los 54 gestores de la Organización. Duración del encuentro: 8 horas.

Encuentro de Gestores de Continuidad del Negocio: espacio para identificar a los responsables de los equipos y asuntos de trabajo priorizados, también dar lineamientos que fortalezcan la planeación integrada de las capacitaciones y pruebas. Contamos con la asistencia de 38 gestores de continuidad del negocio, correspondiente al 68% de los 56 gestores de continuidad de la Organización. Duración del encuentro: 8 horas.

Política para la Gestión Integral de Riesgos Riesgos corporativos alineados con la estrategia de ISAGEN: Conoce

aquí:

Encuentro Anual de Gestores de Riesgos.

78

Nuestra gestión de la continuidad del negocio toma normas nacio-nales e internacionales de referencia como la ISO 22301 y NTC 5722. Comprende: respuesta a emergencias, manejo de crisis y continuidad de las operaciones, aspectos que orientan nuestra preparación para atender posibles impactos en las personas, el medio ambiente, la re-putación y las operaciones. Contamos con un sistema de gestión para su implementación, mantenimiento y sostenibilidad en un proceso de mejoramiento continuo. Para esto, identificamos las amenazas e impactos potenciales que podrían afectarnos y con base en esta in-formación, establecemos estrategias de respuesta y construimos con anticipación directrices y procedimientos para fortalecer la capacidad de reacción organizacional a situaciones adversas, salvaguardando los intereses de las partes involucradas, su reputación y las activida-des generadoras de valor.

Realizamos 39 pruebas de los planes con el propósito de simular las condiciones de operación normal frente a una interrupción, validar la funcionalidad de los planes existentes y evaluar los resultados para generar aprendizajes y establecer acciones de mejora. La ejecución de pruebas correspondió al 75% de lo planeado por los procesos responsables, debido principalmente a que algunos planes se en-contraban en proceso de actualización por cambios regulatorios o en la metodología para la elaboración y sostenibilidad de los planes. Este resultado será tomado como un indicador base para determinar metas de mejoramiento en años posteriores.

En el 2016, contribuimos al fortalecimiento de la cultura, las habilida-des y los conocimientos sobre la gestión de la continuidad del negocio mediante las siguientes actividades:

Capacitaciones a los gestores de la continuidad del negocio, quie-nes coordinan las actividades requeridas para la sostenibilidad de cada uno de los planes.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIOImplementación y puesta en marcha del Sistema de Información para la Gestión de Continuidad del Negocio, el cual permite integrar la información de los diferentes planes y del sistema de gestión, con mayores niveles de seguridad, integridad y disponibilidad de la información.

Planeación y ejecución de pruebas a los planes. Destacamos el desarrollo de un simulacro basado en un evento hipotético en la central Termocentro. Esta prueba implicó la activación coordinada de varios planes de continuidad del negocio, posibilitándonos fortalecer la capacidad de respuesta organizacional a eventos de mayor complejidad.

Finalmente, realizamos la contratación de pólizas de seguro, ges-tionamos los reclamos presentados y evaluamos algunos riesgos no cubiertos bajo el actual programa de seguros y la posibilidad de transferencia al mercado asegurador.

Capacitación a los Gestores de la Continuidad del Negocio.

Fortalecer la apropiación de la gestión integral de riesgos y la aplicación de la metodología en todos los niveles organizacionales, integrando la administración de riesgos y continuidad del negocio como un elemento natural al diseño de los procesos y al desarrollo del trabajo.

Fortalecer la planeación, la ejecución, el monitoreo y el reporte de las pruebas individuales y articuladas de los planes del Sistema de Gestión de la Continuidad del Negocio para generar una cultura organizacional adecuada ante situaciones complejas.

Identificar y evaluar los riesgos asociados a la contratación, con el fin de transferirlos adecuadamente mediante un programa específico de seguros de cumplimiento, que incluya condiciones construidas a la medida, para facilitar la gestión administrativa y minimizar los riesgos asociados

Cumplimiento

Continuar el fortalecimiento de la cultura de gestión del ries-go mediante capacitaciones a los trabajadores, Gestores de Riesgos y directivos.

Realizar pruebas integradas de los planes de continuidad del negocio, teniendo en cuenta varios componentes del sistema, lo cual permitirá fortalecer la capacidad de respuesta organi-zacional ante eventos de mayor complejidad que implican la activación coordinada de varios planes, a la vez que contribuirá a una mayor eficiencia de los recursos disponibles para el de-sarrollo de estas pruebas.

Gestionar el Programa de Seguros y analizar la viabilidad de implementar esquemas de transferencia alternativa de riesgos, diferentes al seguro tradicional.

RETOS 2016

RETOS 2017