Comité de Auditoría y Riesgos N° 121 Octubre de 2016 · PDF fileR8 Riesgo en...
Transcript of Comité de Auditoría y Riesgos N° 121 Octubre de 2016 · PDF fileR8 Riesgo en...
Riesgos Corporativos
Comité de Auditoría y Riesgos N° 121
Octubre de 2016
Riesgos Corporativos 1
Resumen Ejecutivo
La Gestión Integral de Riesgos es una de las iniciativas implementadas para contribuir al mejoramiento de la eficiencia operacional, gestionar de manera anticipada las vulnerabilidades que puedan afectar el logro de los objetivos, fundamentar la toma de decisiones a todo nivel y fortalecer la mejora continua y el Sistema de Control Empresarial, mediante la gestión de todos los riesgos de la Organización y de los impactos críticos que puedan afectar la continuidad del negocio.
El ejercicio de identificación de Riesgos asociados a la Estrategia se ha desarrollado como parte del Sistema de Gestión Integral de Riesgos desde el año 2012. El resultado de este proceso se plasma en un Inventario de Riesgos Corporativos, en el cual se detallan las causas, controles y coyunturas (situación actual que podría materializar el riesgo). Durante 2013, 2014 y 2015 se hizo seguimiento mensual a este inventario en Comité de Gerencia y Comité de Auditoría y Riesgos. En diciembre de 2016 se realizó la última actualización del Inventario de Riesgos Corporativos a la luz del Plan de Desarrollo Institucional 2016-2020, del Propósito Superior, de la Misión, de mejores prácticas a las cuales se ha adherido ISAGEN y de informes de riesgos globales. Adicionalmente, se tomaron en cuenta los riesgos emergentes y las Tendencias descritas por el Foro Económico Mundial. A continuación se muestra el inventario que fue obtenido en el ejercicio:
ID Riesgos
R1 Riesgo de Seguridad y Salud en el Trabajo
R2 Riesgo de Seguridad Física de las Personas e Instalaciones
R3 Riesgo Ambiental y Social
R4 Riesgo en la Gestión Comercial
R5 Riesgo de Desastres Naturales
R6 Riesgo de Indisponibilidad en las Centrales de Generación
R7 Riesgo de Desabastecimiento de Combustible
R8 Riesgo en la Gestión de TIC y Ciberseguridad
R9 Riesgo de Gestión Legal
R10 Riesgo de la Gestión del Talento Humano
R11 Riesgo de Cambios Macroeconómicos
R12 Riesgo de Fraude, Soborno y Corrupción
R13 Riesgo Regulatorio, Normativo y de Cumplimiento
R14 Riesgo en la Gestión Financiera
R15 Riesgo Hídrico y de Variabilidad del Clima
Riesgos Corporativos 2
Objetivo
Dar a conocer los Riesgos Corporativos de ISAGEN, la metodología propuesta para su gestión y reporte.
Riesgos Corporativos 3
1. Contexto
La Gestión Integral de Riesgos en ISAGEN está orientada a la preservación y creación de
valor y tiene los siguientes objetivos:
▪ Asegurar la continuidad del negocio y la sostenibilidad de la Empresa. ▪ Contribuir a mejorar la eficiencia operacional mediante la mitigación de probabilidad de
ocurrencia e impacto de eventos adversos. ▪ Gestionar de forma anticipada las vulnerabilidades o eventos que puedan afectar el logro
de los objetivos empresariales y aportar información para tomar adecuadas decisiones estratégicas y operativas.
▪ Complementar y fortalecer la mejora continua en la gestión de los procesos y el Sistema de Control Empresarial.
Estas iniciativas se soportan en un Sistema de Administración de Riesgos que tiene por
objeto minimizar los riesgos operativos y estratégicos de la Organización y maximizar las
oportunidades, para lo cual los riesgos se identifican, miden, controlan, monitorizan y
comunican de una manera sistemática.
Lo anterior se complementa con la Gestión de la Continuidad del Negocio, la cual busca
desarrollar la capacidad estratégica, táctica y operativa de la Organización para responder a
Riesgos Corporativos 4
eventos adversos que puedan ocasionar altos impactos y amenazar la continuidad y
sostenibilidad de la Empresa.
Para eventos de menor impacto se realiza el registro y gestión de las Acciones de
Mejoramiento y se desarrolla un monitoreo constante de los riesgos.
Riesgos Corporativos 5
2. Riesgos Corporativos
ISAGEN cuenta con dos inventarios de riesgos: uno a nivel de la estrategia (Inventario de Riesgos Corporativos) que es identificado por el Equipo de Gerencia y otro, a nivel operacional, identificado por los equipos de trabajo de la Empresa. El primero ayuda a tomar decisiones a alto nivel y a hacer seguimiento y resolver asuntos prioritarios que pueden afectar la ejecución de la estrategia. El segundo está diseñado para hacer control desde los procesos, alimentar el programa de seguros y para soportar el mejoramiento del trabajo. De acuerdo con los roles y responsabilidades definidos en la Política de Gestión Integral de Riesgos, la Alta Dirección debe hacer seguimiento a los Riesgos Corporativos.
Los Riesgos Corporativos se actualizaron este año con el Equipo de Gerencia en un taller de riesgos, donde se identificaron aquellos riesgos que responden a temas de orientación de negocio, toma de decisiones a alto nivel y el ejercicio de planeación empresarial; adicionalmente se registraron la coyuntura (situación actual del riesgo en el entorno), causas y controles asociados.
a. Identificación y Calificación
A continuación se describen los criterios bajo los cuales fueron identificados, analizados y evaluados los Riesgos Corporativos de ISAGEN: ▪ Se definieron los Riesgos Corporativos con base en las principales preocupaciones de
ISAGEN, buscando hacer vínculo con el Propósito Superior, Misión, y Estrategia de la Empresa.
▪ Se investigaron los riesgos globales y las tendencias del Foro Económico Mundial y se
presentaron a los gerentes para que fueran tenidas en cuenta. ▪ Se realizó un referenciamiento de empresas del sector y riesgos globales, así como tener
en cuenta necesidades de reporte para buenas prácticas como Pacto Global y Dow Jones Sustainability Index.
▪ Se tuvieron en cuenta los temas relevantes resaltados en el Proceso de Planeación
Empresarial:
o Cultura o Contexto Global y retención de talentos. o Estructura de Empresa. o Cadena de Abastecimiento. o Gestión Integral del Recurso Hídrico (GIRH). o Cambio Climático. o Tecnologías de la información y comunicaciones. o Fortalecer la Gestión Tecnológica (Tecnología Característica). o Identificación y desarrollo de nuevas oportunidades de negocio.
Riesgos Corporativos 6
o Gestión Ambiental. o Gestión Social. o Relacionamiento con el Entorno o Innovación
▪ Se evaluó el Riesgo Corporativo respecto a su calificación de Riesgo Inherente y Residual
según los criterios corporativos de evaluación de riesgos de ISAGEN.1 ▪ Se priorizaron los Riesgos Corporativos según su evaluación, es decir, teniendo en cuenta
las medidas de control establecidas para dichos riesgos. Como resultado del trabajo realizado con el Comité de Gerencia de los Riesgos Corporativos, se obtuvieron las Fichas de Riesgos (Ver Anexo 1), las cuales fueron elaboradas por los responsables del riesgo del Equipo de Gerencia2 con la habilitación del Equipo de Gestión Integral de Riesgos. Cada una de las fichas contiene: ▪ Título del Riesgo: Nombre para identificar el riesgo. ▪ Descripción del riesgo: Definición del riesgo. ▪ Causas: Orígenes del riesgo, qué lo podría generar. ▪ Controles: Toda medida, ya establecida e implementada, que busca disminuir la
probabilidad y/o impacto de la materialización de un riesgo. Para el seguimiento de los riesgos se identifican coyunturas o escenarios situacionales que pueden generar la ocurrencia de las causas y por ende puede hacer que se presente un evento de riesgo. Una vez se identifique que hay una coyuntura el Comité de Gerencia debe hacer seguimiento a las acciones de mitigación implementadas y reportarlo al Comité de Auditoría. A continuación se presenta el resultado del ejercicio:
1 Para conocer el detalle de los Criterios de Evaluación de Riesgos Corporativos de ISAGEN, se sugiere ver el Anexo 2 Criterios de Calificación de Probabilidad de Ocurrencia 2 Se debe tener en cuenta que la numeración de los Riesgos Corporativos no tiene relación directa con la valoración de dichos riesgos, simplemente es un número de identificación consecutivo.
Riesgos Corporativos 7
Tabla 1 Calificación de Riesgos
Mapa de Riesgos Corporativo de ISAGEN – Calificación Residual
ID Riesgos
R1 Riesgo de Seguridad y Salud en el Trabajo
R2 Riesgo de Seguridad Física de las Personas e Instalaciones
R3 Riesgo Ambiental y Social
R4 Riesgo en la Gestión Comercial
R5 Riesgo de Desastres Naturales
R6 Riesgo de Indisponibilidad en las Centrales de Generación
R7 Riesgo de Desabastecimiento de Combustible
R8 Riesgo en la Gestión de TIC y Ciberseguridad
R9 Riesgo de Gestión Legal
R10 Riesgo de la Gestión del Talento Humano
R11 Riesgo de Cambios Macroeconómicos
R12 Riesgo de Fraude, Soborno y Corrupción
Riesgos Corporativos 8
ID Riesgos
R13 Riesgo Regulatorio, Normativo y de Cumplimiento
R14 Riesgo en la Gestión Financiera
R15 Riesgo Hídrico y de Variabilidad del Clima
b. Seguimiento y Monitoreo
Por último, para la sostenibilidad y dinamismo de los Riesgos Corporativos de ISAGEN se proponen los siguientes roles y responsabilidades, tal como se han venido manejando desde el año 2013. Responsable del Riesgo Corporativo ▪ Informar sobre cambios en el entorno que pudieran afectar el riesgo corporativo. ▪ Analizar la Ficha de riesgo corporativo. ▪ Actualizar la coyuntura del riesgo. ▪ Propuesta de planes de acción y/o controles corporativos adicionales. Equipo Gestión Integral de Riesgos ▪ Entregar información sobre cambios en el entorno que afecten los riesgos corporativos y
nuevos riesgos corporativos observados, riesgos de asuntos de trabajo relacionados y eventos.
▪ Habilitar en el registro y el proceso de análisis del riesgo corporativo. ▪ Verificar la implementación de la metodología para el análisis de la gestión de riesgos
corporativos. Comité de Gerencia/Comité de Auditoría- Junta Directiva ▪ Estar informado del perfil de riesgos corporativos. ▪ Retroalimentar el perfil de riesgos corporativo y dar directrices para su gestión.
Riesgos Corporativos 9
Anexo 1 Riesgo No 1
Título del Riesgo: Riesgo de Seguridad y Salud en el Trabajo. Descripción del Riesgo: Inadecuada gestión de las actividades que conduzcan a vulnerar la protección, seguridad, salud y bienestar de las personas involucradas en el trabajo. Causas: ▪ Ausencia e inadecuada definición de objetivos, indicadores, metas y programas que
permitan realizar seguimiento. ▪ Inadecuada y/o inoportuna planeación del trabajo e identificación de riesgos y controles
en seguridad y salud en el trabajo que pueden afectar a la empresa, sus trabajadores y contratistas.
▪ Desconocimiento, inadecuada interpretación e implementación de la normatividad externa y/o estándares aplicables.
▪ Inadecuada habilitación a trabajadores y contratistas. ▪ Inadecuada preparación y atención de emergencias. ▪ Inadecuada investigación y gestión de los incidentes y accidentes de trabajo. Controles: ▪ Definición y ejecución del Sistema de Gestión de Seguridad y Salud en el Trabajo. ▪ Definición y ejecución del Sistema de Gestión de Seguridad Vial. ▪ Aplicación de la metodología del PMI para proyectos, mantenimientos y modernizaciones. ▪ Definición, aplicación e interventoría de cláusulas contractuales con obligaciones
relacionadas con Seguridad y Salud en el Trabajo. ▪ Funcionamiento del COPASST.
Riesgo N° 2 Título del Riesgo: Riesgo de Seguridad Física de las Personas e Instalaciones. Descripción del Riesgo: Condiciones sociales o actos malintencionados de terceros que vulneran la seguridad de las personas (trabajadores, contratistas o miembros de la comunidad) o los activos de ISAGEN y/o afectan las operaciones empresariales. Causas: ▪ Presencia de agentes generadores de riesgo en las áreas de influencia de ISAGEN, con
capacidad de causar afectaciones, en contra de la comunidad y la seguridad de las zonas.
Riesgos Corporativos 10
▪ Materialización de eventos de riesgo público contra las personas y la infraestructura empresarial, que amenazan la continuidad de las operaciones y la sostenibilidad del negocio.
▪ Demandas sociales que superan las capacidades de los P.M.A. y de gestión social de ISAGEN, en centrales y proyectos, derivadas de inconformidades de los grupos de interés, relacionadas con acciones de hecho de la población civil.
▪ Inadecuada definición y ejecución de la Estrategia para la Gestión del Riesgo Público Controles: ▪ Definición y ejecución de la Estrategia de Riesgo Público de ISAGEN:
• Análisis de riesgo, seguridad humana, ingeniería de seguridad, relacionamiento con la
Fuerza Pública y cultura de autocuidado. • Coordinación interinstitucional permanente con las autoridades civiles. • Seguimiento a IPINS (Índices de Preincidencia) sobre eventos de riesgo público
ocurridos en las áreas de influencia de ISAGEN, para definir acciones preventivas o correctivas.
• Implementación de planes preventivos entorno a fechas o eventos que implican riesgos.
• Suscripción de iniciativas de Derechos Humanos (Principios Voluntarios, Guías Colombia, Business 4 Peace).
• Capacitaciones para el equipo directivo y los trabajadores.
▪ Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia de Riesgo Público.
▪ Realización de estudios de riesgos e impactos en derechos humanos en las áreas de influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a los derechos humanos.
Riesgo N° 3
Título del Riesgo: Riesgo Ambiental y Social. Descripción del Riesgo: Inadecuada gestión social y biofísica para contribuir a la sostenibilidad ambiental de ISAGEN y de sus áreas de influencia, durante la construcción u operación de centrales de generación. Causas: ▪ Inadecuada planeación, programación, ejecución y evaluación de la gestión ambiental y
social. ▪ Inadecuado análisis del entorno y de problemáticas ambientales y sociales.
Riesgos Corporativos 11
▪ Falta de análisis e inadecuado seguimiento y cumplimiento a la normatividad ambiental proyectada y vigente.
▪ Acciones que vulneren los derechos humanos de los trabajadores o comunidades de las áreas de influencia por parte de empleados o contratistas.
▪ Incumplimiento de instituciones y comunidad que afectan la gestión ambiental o imagen de la Organización.
Controles: ▪ Definición e implementación del Sistema de Gestión Ambiental. ▪ Estrategias de relacionamiento con comunidades, autoridades, gremios, actores
relevantes y entes de control. ▪ Cumplimiento y seguimiento de los compromisos derivados de la adhesión a las iniciativas
de carácter ambiental, globales, nacionales y regionales. ▪ Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia
de Riesgo Público. ▪ Realización de estudios de riesgos e impactos en derechos humanos en las áreas de
influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a los derechos humanos.
Riesgo No 4 Título del Riesgo: Riesgo en la Gestión Comercial.
Descripción del Riesgo: Inadecuada gestión comercial que impida o dificulte el logro de la
meta de EBITDA.
Causas: ▪ Inadecuada identificación y análisis de las señales del mercado y/o de las condiciones
internas de la Compañía para responder o adaptarse a las señales del mercado. ▪ Inadecuada definición de la estrategia comercial. ▪ Inadecuada gestión del riesgo asociado a las variables de incertidumbre del negocio. ▪ Propuesta de valor a clientes insuficiente o inefectiva. ▪ Velocidad de respuesta insuficiente frente a cambios en la normativa. ▪ Inadecuado o insuficiente seguimiento y control de la gestión comercial. Controles: ▪ Proceso de Planeación del Proceso Negociación de Soluciones Energéticas alineado con
la estrategia empresarial. ▪ Análisis de señales del mercado y su impacto en la estrategia. ▪ Evaluación y gestión de coberturas frente al riesgo de exposición a bolsa.
Riesgos Corporativos 12
▪ Complemento de las metodologías de mezcla de canales y revisión periódica de los niveles de contratación.
▪ Análisis de alternativas de contratación de combustibles. ▪ Revisión y análisis para la incorporación de nuevas variables a tener en cuenta en los
modelos hidrológicos de corto y mediano plazo. ▪ Control operacional que permita hacer seguimiento a la ejecución de la estrategia. ▪ Participación en gremios y escenarios de industria. Riesgo No 5 Título del Riesgo: Riesgo de Desastres Naturales Descripción del Riesgo: Fenómeno natural, de una cierta extensión, intensidad y duración, con potencial para causar daños a personas, activos o al entorno que afecten las operaciones. Causas: ▪ Variabilidad climatológica. ▪ Sismos, movimientos de masa y vulcanismo. ▪ Contaminación ambiental. ▪ Deforestación. ▪ Explotación irracional de los recursos naturales renovables. ▪ Sobrepaso de crecientes sobre estructuras de control. Controles: ▪ Monitoreo permanente de las variables exógenas (climatológicas, sismicidad, de
comportamiento estructural) que permita tomar decisiones. ▪ Diseño de infraestructura y equipos con cumplimiento de normas nacionales e
internacionales antisísmicas, entre otras. ▪ Existencia, aplicación y actualización de planes de emergencias y de continuidad de las
operaciones. ▪ Acciones dentro de los PMA y voluntarias que tiendan a la conservación de las cuencas. Riesgo No 6 Título del Riesgo: Riesgo de Indisponibilidad en las Centrales de Generación. Descripción del Riesgo: Eventos internos o externos que afecten la operación de las centrales y que impacten su disponibilidad. Causas:
Riesgos Corporativos 13
▪ Eventos naturales (Sismos, crecientes súbitas que afecten los equipos, etc.). ▪ Daño en equipos de generación principales y en sistemas de control. ▪ Error humano en la ejecución de la operación y en el mantenimiento. ▪ Incidente y/o accidente de personas. ▪ Incumplimiento de la normatividad ambiental y/o de la industria de la energía. ▪ Riesgo Público. ▪ Sedimentación en los embalses que limite el aprovechamiento del recurso. Controles: ▪ Ejecución de los planes de Mantenimiento y Modernización. ▪ Análisis y evaluación del comportamiento de equipos y obras (SEO). ▪ Seguimiento y evaluación periódica de las centrales en el Comité de Operación y
Mantenimiento. ▪ Seguimiento a la normatividad ambiental y de la industria de la energía. ▪ Seguimiento de acciones en Comité de Riesgo Público. ▪ Definición y aplicación de los Planes de Continuidad del Negocio. ▪ Gestión sostenible de embalses. ▪ Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural. ▪ Participar con los gremios en propuestas conjuntas que mejoren la integración entre
sectores de gas y electricidad. Riesgo No 7 Título del Riesgo: Riesgo de Desabastecimiento de Combustible.
Descripción del Riesgo: Indisponibilidad de combustibles (suministro y transporte) para
garantizar el respaldo y/o la generación de la central térmica de ISAGEN. Causas: ▪ Evento ENSO (El Niño Oscilación del Sur) y otros factores climatológicos o energéticos. ▪ No contar con la contratación de suministro y/o con el transporte de los energéticos para
atender la generación de Termocentro y las obligaciones del cargo por confiabilidad. ▪ Actos malintencionados de terceros que afecten el sistema de gas. ▪ Declaración de racionamiento de gas. ▪ Intervención del mercado por riesgo de desabastecimiento. ▪ Presiones de precios de la energía, en especial, del precio de escasez. ▪ Regulación sobre asignación de gas. ▪ Restricciones a la operación con combustible líquido y costos asociados. Controles:
Riesgos Corporativos 14
▪ Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e internacionales.
▪ Evaluaciones técnicas, económicas y comerciales de opciones de abastecimiento de energéticos para la Central Termoeléctrica.
▪ Seguimiento periódico para la definición de las necesidades de compra de energía. ▪ Definición de escenarios de contingencia para el seguimiento energético del CNO. ▪ Entrega de las series semanales históricas para alimentar el modelo del seguimiento
energético. ▪ Seguimiento a las subastas de gas con interrupciones de diferentes campos y procesos
de comercialización de gas. ▪ Seguimiento a la condición del sistema y Subcomité de Planeamiento Operativo del CNO. ▪ Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural. ▪ Participar con los gremios en propuestas conjuntas que mejoren la integración entre
sectores de gas y electricidad. Riesgo No 8
Título del Riesgo: Riesgo en la Gestión de TIC y Ciberseguridad.
Descripción del Riesgo: Inadecuada gestión de las tecnologías de la información y las comunicaciones que impida o restrinja el logro de los objetivos empresariales y, vulnerabilidad de la información por ataques cibernéticos internos o externos. Causas: ▪ Insuficiente capacidad de los equipos y sistemas para soportar las exigencias de
procesamiento de información requerida por la empresa. ▪ Inadecuada tecnología de seguridad para la información. ▪ Falta de procedimientos adecuados de seguridad en información. ▪ Falta de recursos, conciencia o conocimientos de actuación frente a seguridad, privacidad
y mantenimiento. ▪ Inadecuadas condiciones físicas y de seguridad para los sitios de procesamiento y
almacenamiento de información. ▪ Incremento de la dependencia tecnológica. ▪ Incremento de conectividad interna y externa. ▪ Centralización de operaciones.
Controles: ▪ Análisis del entorno en la evolución de las tecnologías y su impacto en ISAGEN. ▪ Planeación y aprobación de la estrategia y arquitectura TIC. ▪ Referenciamiento en mejores prácticas para la gestión de las TIC (Cobit, ITIL, PMI, ISO
27000, NERC CIP).
Riesgos Corporativos 15
▪ Monitoreo del uso de los recursos de la plataforma tecnológica y definición de planes para incrementar la capacidad de procesamiento.
▪ Implementación del Sistema de Gestión de Seguridad de la Información. ▪ Aplicación del Sistema de Gestión de Continuidad de Negocio. ▪ Establecimiento de convenios y contactos con autoridades y centros de respuesta a
incidentes de nivel nacional para monitoreo y apoyo en la respuesta a incidentes (CCOC, Colcert, CCP).
Riesgo No 9 Título del Riesgo: Riesgo de Gestión Legal. Descripción del Riesgo: Errores u omisiones en la representación judicial o en la asesoría jurídica de la empresa. Causas: ▪ Inadecuado seguimiento a los procesos judiciales. ▪ Inadecuada construcción o implementación de soluciones jurídicas. ▪ Inadecuada habilitación a los usuarios de los servicios legales. Controles: ▪ Definición y aplicación del manual de contratación. ▪ Operatividad de la herramienta de Control de Procesos Judiciales, y adecuada vigilancia
de los mismos. ▪ Acompañamiento y habilitación en temas legales a todos los equipos de la Organización. ▪ Contratación de abogados externos especializados para temas puntuales. ▪ Comité Jurídico y Comité de Contratación. Riesgo No 10 Título del Riesgo: Riesgo de Gestión del Talento Humano. Descripción del Riesgo: Inadecuada gestión del talento humano que impida el desarrollo integral de los trabajadores y le impida a la empresa contar con trabajadores competentes y con planes de sucesión eficaces. Causas: ▪ Inadecuada identificación de líderes con potencial de desarrollo de competencias
cognitivas y conductuales para los cargos críticos. ▪ Debilidades en el proceso de selección. ▪ Inadecuada planeación y ejecución de la gestión de conocimiento.
Riesgos Corporativos 16
▪ Escasez de oferta de trabajadores en disciplinas y experiencias requeridas por ISAGEN. ▪ Deterioro del clima laboral o de la percepción de las condiciones laborales por parte de
los trabajadores. ▪ Desvinculación/jubilación de trabajadores que ocupen cargos críticos. Controles: ▪ Diseño y aplicación del Modelo Integral de Gestión Humana. ▪ Aplicación de la política de sucesión de directivos. ▪ Diseño y aplicación del plan carrera para los cargos críticos. Riesgo No 11 Título del Riesgo: Riesgo de Cambios Macroeconómicos. Descripción del Riesgo: Cambios macroeconómicos que impacten negativamente los resultados de la empresa y la creación de valor en la misma. Causas: ▪ Cambios significativos en los mercados internacionales. ▪ Situación geopolítica internacional que afecte la economía. ▪ Volatilidad del IPP afectando los precios de contratos y del IPC afectando gastos
asociados a inflación. ▪ Exposición a tasa de interés. ▪ Exposición a tipo de cambio. ▪ Exposición a precio de comodities. Controles: ▪ Seguimiento a condiciones del mercado. ▪ Lineamientos de cobertura de riesgo financiero. ▪ Lineamientos para la contratación de deuda y para la estrategia de financiación. ▪ Comités de Riesgo e Inversiones. ▪ Lineamientos de Junta Directiva para determinar la actuación de la empresa sobre límites
y responsabilidades para el manejo del riesgo financiero. ▪ Informes de seguimiento al Comité de Auditoría. ▪ Interacción permanente con área comercial para incorporar en la estrategia la variabilidad
macroeconómica. Riesgo No 12 Título del Riesgo: Riesgo de Fraude, Soborno y Corrupción.
Riesgos Corporativos 17
Descripción del Riesgo: Actos de fraude, soborno y corrupción por parte de los trabajadores
o los grupos de interés de la empresa. Causas: ▪ Desconocimiento de la práctica y definiciones establecidas en el Sistema de Ética
Empresarial. ▪ Inadecuadas prácticas de Gobierno Corporativo. ▪ Cultura organizacional que propicie la justificación de conductas en contra de los
lineamientos del Sistema de Ética Empresarial. ▪ Deficiencia en controles de vigilancia, validación y aprobaciones y segregación de
responsabilidades no adecuadas. ▪ Presiones a las empresas (empleados, Directivos, Miembros de Junta Directiva) indebidas
o desproporcionadas, frente al logro de resultados.
Controles: ▪ Aplicación de elementos del Sistema de Ética Empresarial. ▪ Sistema de gestión control interno contable - Prácticas de aseguramiento de la información
financiera. ▪ Sistema Gestión Integral de Riesgos. ▪ Aplicación de la reglamentación para la contratación de bienes y servicios. ▪ Modelo de Reglamentación Interna que contiene segregación de responsabilidades y
delegaciones. ▪ Procedimientos de selección y vinculación del personal. ▪ Modelo de Seguridad de la Información y arquitectura de las TIC. ▪ Prácticas de manejo de información confidencial y propiedad intelectual. Riesgo No 13 Título del Riesgo: Riesgo Regulatorio, Normativo y de Cumplimiento. Descripción del Riesgo: Incumplimiento o desconocimiento de las leyes, normas y/o regulación.
Causas: ▪ Falta de capacidad de respuesta ante la permanente emisión de normativa. ▪ Inadecuada o inoportuna revisión de la normatividad. ▪ Inadecuado seguimiento al cumplimiento normativo. ▪ Falta de claridad en la responsabilidad para el cumplimiento de la normativa. ▪ Diferencias en la interpretación de la normativa. Controles:
Riesgos Corporativos 18
▪ Suscripción y consulta permanente de herramientas de actualización. ▪ Definición de responsables por temáticas de normativa. ▪ Participación en gremios del sector. ▪ Herramienta y procedimiento corporativo de gestión de la normativa. ▪ Participación activa en los talleres explicativos de normas y en los comentarios a proyectos
publicados por las entidades competentes. ▪ Sistemas de Gestión certificados. Riesgo No 14 Título del Riesgo: Riesgo en la Gestión financiera. Descripción del Riesgo: Inadecuada gestión financiera que impacte negativamente los resultados de la empresa y la creación de valor en la misma. Causas: ▪ Inexistencia o inadecuada transferencia y cobertura de riesgos. ▪ Inadecuada gestión de contratos de deuda con respecto a plazos, moneda, covenants,
entre otros. ▪ Inadecuada planeación financiera de corto y largo plazo. ▪ Inadecuada gestión del portafolio de excedentes. ▪ Inadecuada planeación tributaria. ▪ Inadecuado relacionamiento con proveedores de servicios financieros. ▪ Inadecuada valoración y detección de deterioro de las instituciones financieras. ▪ Eventos macroeconómicos.
Controles: ▪ Sistemas de información financiera. ▪ Revisión del perfil de riesgo y del programa de transferencia de riesgo. ▪ Seguimiento y aplicación de la reglamentación interna de excedentes de tesorería,
coberturas y deuda. ▪ Informes y seguimiento a la deuda y a la estructura de capital. ▪ Seguimiento a covenants con acreedores financieros. ▪ Planeación financiera y reprogramación trimestral bajo lineamientos formales. ▪ Estrategias de disponibilidad de recursos con los acreedores financieros. ▪ Seguimiento a indicadores de riesgos. ▪ Prácticas de relacionamiento con proveedores de servicios financieros. ▪ Seguimiento a eventos macroeconómicos y su impacto en la estrategia financiera.
Riesgos Corporativos 19
Riesgo No 15
Título del Riesgo: Riesgo Hídrico y de Variabilidad del Clima. Descripción del Riesgo: Variabilidad climática e hidrológica que impacta negativamente la producción de energía de las centrales hidroeléctricas de la empresa. Causas: ▪ Evento ENSO (El Niño Oscilación del Sur) y otros factores climáticos. ▪ Deterioro de la cobertura vegetal en las cuencas de recurso hídrico. ▪ Cambios en el comportamiento de la precipitación y los caudales de las cuencas
hidrográficas de las centrales hidroeléctricas y de futuros proyectos.
Controles: ▪ Elaboración e implementación de modelos de estimación de caudales bajo escenarios de
variabilidad climática. ▪ Adecuada implementación y operación de una red de monitoreo de variables
climatológicas e hidrológicas en las cuencas de interés. ▪ Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e
internacionales. ▪ Promoción de políticas nacionales para el manejo ordenado del recurso hídrico. ▪ Conformación de un portafolio de generación considerando complementariedad
hidrológica con las centrales en operación. ▪ Promoción para la protección y el cuidado de las cuencas de interés. ▪ Investigación sobre los efectos del cambio climático en los recursos hídricos de ISAGEN
y sus futuros proyectos.
Riesgos Corporativos 20
Anexo 2
Tabla 1 Criterios de Calificación de Probabilidad de Ocurrencia
Probabilidad Constante Frecuente Moderada Ocasional Remota
Cualitativos
Alta
probabilidad
de Ocurrencia,
ocurre
permanenteme
nte.
Significativa
probabilidad
de ocurrencia,
ocurre muchas
veces.
Mediana
probabilidad
de ocurrencia,
ocurre varias
veces.
Baja
probabilidad
de ocurrencia,
poco
frecuente.
Improbable,
difícil que
ocurra.
Porcentuales
Se espera la
ocurrencia del
evento en más
del 20% de los
casos.
El evento
ocurrirá entre
el 15 y el
19.9% de los
casos.
El evento
puede ocurrir
entre el 10 y el
14,9% de los
casos.
El evento
puede ocurrir
entre el 3 y el
9,9% de los
casos.
El evento puede
ocurrir en menos
del 3% de los
casos.
Frecuencia
Nos ocurre
con cierta
periodicidad (1
vez al mes).
Se presenta
con alguna
frecuencia (1
vez cada 3
meses).
Se presenta
por lo menos 1
vez cada 6
meses.
Se ha
presentado
alguna vez en
la
Organización ó
en el sector en
los últimos 6
meses.
Se ha
presentado una
vez en la
Organización ó
en el sector en
los últimos 12
meses.
Riesgos Corporativos 21
Tabla 2 Criterios de Calificación de Impacto
Impacto Catastrófico Crítico Grave Moderado Leve
Financiero
Pérdida
mayor o
igual que (>)
10% del
valor de la
meta
EBITDA
Pérdida mayor o
igual que (>=)
3,7% y menor
que (<) el 10%
del valor de la
meta EBITDA
Pérdida mayor
o igual que (>=)
1,35% y menor
que (<) el 3,7%
del valor de la
meta EBITDA
Pérdida mayor o
igual que (>=) el
0,5% y menor o
que (<) el
1,35% del valor
de la meta
EBITDA
Pérdida
menor que
(<) el 0,5%
del valor de la
meta EBITDA
Reputaciona
l
Impacto que
afecte la
imagen de la
Organización
en el
mercado a
nivel
internacional
(incluye
mercado
nacional,
regional o
local).
Impacto que
afecte la imagen
de la
Organización en
el mercado a
nivel nacional
(incluye
mercado
regional o local).
Impacto que
afecte la
imagen de la
Organización en
el mercado a
nivel regional o
local.
Impacto que
afecte la imagen
de la
Organización en
un segmento de
clientes, en un
cliente
importante o a
nivel de
inversionistas.
No hay
impacto que
afecte la
imagen de la
Organización.
Vidas
Humanas
Pérdida de
vidas
humanas o
que se
genere
incapacidad
laboral
permanente.
Tres o más
accidentes
graves en un
año.
Más de 7
accidentes en el
año
relacionados
con actividades
de trabajo, que
produzcan cada
uno una
incapacidad de
más de 10 días.
Siete o menos
accidentes en el
año
relacionados
con actividades
de trabajo, que
produzcan cada
uno una
incapacidad de
más de 10 días.
No se
presentan
accidentes
laborales en
el año, que
produzcan
una
incapacidad
de más de 10
días.
Riesgos Corporativos 22
Impacto Catastrófico Crítico Grave Moderado Leve
O hasta dos
accidentes
graves en un
año.
Intervención
y/o
Sanciones
Intervención
de la
Organización
por parte de
órganos de
control u
otras
entidades
por
Incumplimien
tos legales
y/o
contractuales
.
Sanciones que
impliquen cierre
de instalaciones
por
incumplimiento
de las normas
establecidas /
operaciones /
obligaciones
contractuales.
Sanciones
económicas
definitivas
impuestas por
órganos de
control u otras
entidades por
Incumplimientos
legales y/o
contractuales.
Solicitud de
aclaraciones por
parte de
órganos de
control u otras
entidades por
incumplimientos
legales y/o
contractuales.
N/A
Medio
Ambiente
El impacto
causado es
irreversible y
no es
susceptible
de ser
corregido,
mitigado o
compensado
El impacto no
alcanza a ser
mitigado con los
controles
operacionales
existentes,
medidas
establecidas en
el PMA o no se
cuenta con la
infraestructura
requerida y es
necesario
El impacto
causado es
perceptible y
reversible
y se puede
mitigar a través
de las medidas
establecidas en
los PMA. El
impacto es
susceptible de
ser mitigado
El impacto
causado es
perceptible y se
puede mitigar
con los
controles
operacionales
existentes. El
área afectada
por el impacto
es puntual o
inferior a 1
hectárea. El
El impacto
causado es
mínimo o
imperceptible.
Requiere
seguimiento
para
garantizar
que no
aumente su
magnitud
Ej: alteración
del paisaje
Riesgos Corporativos 23
Impacto Catastrófico Crítico Grave Moderado Leve
implementar
acciones
adicionales para
su control. El
impacto es
susceptible de
ser compensado
impacto es
susceptible de
ser corregido
durante la
operación de
una central
Sociales
Impacto que
genera
pérdida y/o
afectación de
vidas
humanas de
miembros de
la comunidad
de las zonas
de influencia.
Impacto que
genere
enfermedades o
que afecte el
estado de salud
de la comunidad
de las zonas de
influencia.
Pérdida de
medios de
trabajo o
productivos de
la comunidad
de las zonas de
influencia.
Impacto que
genera
reclamos ante la
Organización
por prácticas o
actividades que
puedan afectar
el bienestar de
la comunidad de
las zonas de
influencia.
N/A
Operativos
Pérdida de
información
crítica de la
Organización
o de terceros
que no se
puede
recuperar.
(Activos
críticos)
Pérdida de
información de
la Organización
o de terceros de
difícil
recuperación.
Pérdida de
información de
la Organización
o de terceros
que sea
recuperable
pero que
ocasione
retrasos
significativos en
las labores de
Pérdida de
información de
la Organización
o de terceros
que sea
recuperable y
que ocasione
retrasos en las
labores de las
áreas diferentes
Pérdida de
información
de la
Organización
o de terceros
que sea
recuperable
pero que no
ocasione
retrasos en
Riesgos Corporativos 24
Impacto Catastrófico Crítico Grave Moderado Leve
las áreas core
de la
Organización.
a las core de la
Organización.
las diferentes
áreas.
N/A Genera
reprocesos y/o
retrasos que
impacta a nivel
organizacional.
Genera
reprocesos y/o
retrasos en los
procesos de la
Organización.
Genera
reprocesos y/o
retrasos en los
asuntos de
trabajo de la
Organización.
Genera
reprocesos
y/o retrasos
en las
actividades
de la
Organización.
Interrupción
de
continuidad
de las
operaciones
de la
Organización
por más de 2
días.
Interrupción de
la continuidad
de las
operaciones de
la Organización
entre 1 y 2 días.
Interrupción la
continuidad de
las operaciones
de la
organización
entre 12 y 23
horas.
Interrupción de
las operaciones
de la
Organización
menor a 12
horas
NA.
Título del documento