GESTIÓN EMPRESARIAL

GESTIÓN INTEGRAL DE RIESGOS

En ISA y sus empresas la gestión integral de riesgos soporta las decisiones estratégicas, es transversal y de gran importancia para la organización ya que tiene el fin de proteger y preservar la integridad de los recursos, la continuidad y sostenibilidad de los negocios.

Contamos con un procesos sistemático y homologado de identificación, análisis, evaluación, monitoreo y comunicación de los riesgos a los que estamos expuestos, con el objetivo de minimizar los impactos sobre nuestros recursos empresariales y aprovechar las oportunidades en la estrategia, los proyectos, los procesos y las operaciones. 

Conoce mas de nuestro sistema de gestión integral de riesgos: 

La gestión de riesgos como pilar clave de las conversaciones empresariales

GESTIÓN INTEGRAL DE RIESGOS
GESTIÓN INTEGRAL DE RIESGOS

Permitiendo observar escenarios futuros, en lugar de esperar a que sucedan los eventos

Alto grado de cobertura de riesgos en nuestra organización

En la aplicación del modelo de gestión de riesgos: política y controles, que permitan una exposición adecuada al apetito definido

Tipología y categorías de riesgos

Permiten asociar los riesgos con temáticas comunes y son aplicables para todas las empresas. Tanto la tipología como las categorías posibilitan hacer análisis específicos y generar reportes ejecutivos y hacer correlaciones.

Para la ubicación de los riesgos se realiza una asociación con las causas relevantes de los riesgos, más que con las consecuencias. 

  • Gobernabilidad 
  • Regulatorio
  • Jurídico
  • Político
  • Mercado, liquidez y crédito
  • Mercado, competencia, fusiones y adquisiciones
  • Operación del negocio 
  • Diseño y construcción
  • Cadena de suministro
  • Ciberseguridad y tecnologías de información
  • Capital humano y relaciones laborales
  • Seguridad y salud en el trabajo
  • Fraude y corrupción (FCPA)
  • Datos e información
  • Lavado de Activos (LA), Financiación del terrorismo (FT) y  Financiación de la Proliferación de Armas de Destrucción Masiva (FPADM) 
  • Ambiental 
  • Fenómenos naturales y cambios climatológicos extremos
  • Predial
  • Social
  • Orden público y seguridad ciudadana

Gobierno de la gestión de riesgos

La junta directiva y la alta dirección tienen un fuerte compromiso en la GIR, a través del comité de auditoría y riesgos, en el cual se realiza un seguimiento periódico a los eventos y señales más relevantes en toda la organización. El rol del comité de Auditoría y Riesgos se enmarca en las siguientes funciones:

Se destaca la aprobación y la revisión periódica de la política, manual, criterios de priorización (apetito y tolerancia) e indicadores de seguimiento.  Además de la revisión y evaluación de la integridad y adecuación de la función de gestión de riesgos.

Conoce más sobre la DIRECCIÓN DE RIESGOS CORPORATIVA aquí

Se fomenta en la organización la toma de decisiones basadas en riesgos, se promueve talleres, foros, entrenamientos, el uso de nuevas herramientas con la alta gerencia, líderes y colaboradores para el fortalecimiento de la cultura de la gestión y reporte de riesgos.

Así vivimos el primer foro de gestión de riesgos LATAM ISA y sus empresas

Entrenamiento en continuidad del negocio y crisis ISA y empresas

Se realiza seguimiento de los principales riesgos, sus medidas de administración actuales y futuras, sobre la información reportada a los diferentes grupos de interés, y planes de trabajo asociadas a recomendaciones de las autoridades de supervisión y entes de control.

Se impulsa el avance del modelo y revisión de los riesgos emergentes, así como de los riesgos empresariales más críticos y sus medidas de administración, planes de trabajo, el plan de continuidad de negocio, los análisis de los riesgos materializados, la gestión de crisis y de los riesgos de cumplimiento, asegurables, ciberseguridad y los asociados a la naturaleza.

Reporte al comité de auditoría y riesgos

MAPAS DE RIESGOS DE ISA Y SUS EMPRESAS

Mapa de Riesgos Financieros

Proceso de gestión integral de riesgos

El ciclo de gestión de riesgos está basado en el estándar ISO 31000 y alineado con las mejores prácticas, y la implementación se soporta bajo valores y normas que orientan el ciclo de gestión integral de riesgos en todos los niveles y habilitan a la organización para gestionar los efectos de la incertidumbre sobre los objetivos, y son: 

  • Integrada
  • Estructurada y exhaustiva
  • Adaptada: 
  • Inclusiva
  • Dinámica
  • Mejor información disponible
  • Factores humanos y culturales
  • Mejora continua

La gestión integral de riesgos incluye:

Los análisis de sensibilidad durante este año fueron realizados principalmente para:

  • Riesgos regulatorios asociados a cambios en las fórmulas tarifarias en Brasil, mediante la modelación de árboles de decisión. 
  • Riesgos financieros, mediante el análisis de estrés con las utilidades en riesgo (EaR) de acuerdo con los criterios de priorización (apetito y tolerancia) definidos en la organización. 
  • Riesgos de cambio climático, mediante análisis cualitativo de los escenarios RCP 2.6, 4.5, 6 y 8.5 en la afectación de la infraestructura de transmisión en Colombia.

La identificación, análisis, valoración y tratamiento de los riesgos asociados al cambio climático se integra en forma holística al sistema de gestión de riesgos empresariales en el corto y mediano plazo.  En el largo plazo se incluye en los análisis de los riesgos emergentes.

En el 2022 se realizó el reporte por séptimo año consecutivo de los riesgos y oportunidades asociados al cambio climático de acuerdo con las recomendaciones del grupo de trabajo de divulgaciones financieras relacionadas con el clima (TCFD).  En el 2022 se ha realizado un análisis más profundo para Colombia de los riesgos asociados a la adaptación de la infraestructura al cambio climático.  mayor información (link a la estrategia climática).

La gestión del riesgo cibernético en ISA y empresas se articula al modelo de gestión integral de riesgos y es analizado desde el ámbito de TI y TO, siguiendo las buenas prácticas basadas en los marcos ISO 27001 y NIST para la estructuración de mecanismos de control y monitoreo de amenazas y vulnerabilidades cibernéticas. Al ser un riesgo relevante y categorizado como prioritario en su valoración, su gestión es impulsada por la alta gerencia en todos los niveles de la Compañía y líneas de negocio, haciendo participes a los colaboradores en la responsabilidad para su adecuada identificación y tratamiento.

Dada la criticidad de este riesgo para la continuidad operacional y seguridad de la información, su gestión se realiza para el corto y mediano plazo a nivel de riesgo empresarial y de procesos y en el largo plazo a nivel de riesgo emergentes, permitiendo un análisis holístico para el robustecimiento de la estrategia de ciber seguridad en el aseguramiento de las etapas del ciclo de vida de los activos y transferencia del riesgo al mercado asegurador.

En ISA, la transferencia de riesgos al mercado asegurador se soporta en el entendimiento objetivo y cuantitativo de los impactos de los riesgos a los cuales está expuesta la operación como son: el recurso humano, el medio ambiente, la reputación, los activos y la tecnología. Este entendimiento se origina en la gestión integral de riesgos mediante la articulación sinérgica de los equipos de riesgos y seguros y avanza hacia la aplicación de técnicas de costo total de riesgo para escenarios críticos, cuantificación de riesgos y análisis de distribución de pérdidas de eventos históricos, los cuales apalancan la toma de decisiones para la negociación optima sobre la relación cobertura de riesgos y costo de los seguros.

Para robustecer el seguimiento se creó la dimensión de cumplimiento (CO) y se ampliaron las categorías incluyendo en lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva (LF - LA/FT/FPAMD); privacidad de información (PI) y fraude, corrupción y soborno (FC). El alcance de la gestión de riesgos de cumplimiento está asociado con la declaración de “Cero acciones ilegales o faltas a la ética” realizada en el ejercicio de apetito y tolerancia de riesgos de ISA y sus empresas.