Riesgos Corporativos

Transcripción

1 Comité de Auditoría y Riesgos N 121 Octubre de 2016

2 Resumen Ejecutivo La Gestión Integral de Riesgos es una de las iniciativas implementadas para contribuir al mejoramiento de la eficiencia operacional, gestionar de manera anticipada las vulnerabilidades que puedan afectar el logro de los objetivos, fundamentar la toma de decisiones a todo nivel y fortalecer la mejora continua y el Sistema de Control Empresarial, mediante la gestión de todos los riesgos de la Organización y de los impactos críticos que puedan afectar la continuidad del negocio. El ejercicio de identificación de Riesgos asociados a la Estrategia se ha desarrollado como parte del Sistema de Gestión Integral de Riesgos desde el año El resultado de este proceso se plasma en un Inventario de, en el cual se detallan las causas, controles y coyunturas (situación actual que podría materializar el riesgo). Durante 2013, 2014 y 2015 se hizo seguimiento mensual a este inventario en Comité de Gerencia y Comité de Auditoría y Riesgos. En diciembre de 2016 se realizó la última actualización del Inventario de a la luz del Plan de Desarrollo Institucional , del Propósito Superior, de la Misión, de mejores prácticas a las cuales se ha adherido ISAGEN y de informes de riesgos globales. Adicionalmente, se tomaron en cuenta los riesgos emergentes y las Tendencias descritas por el Foro Económico Mundial. A continuación se muestra el inventario que fue obtenido en el ejercicio: ID R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14 R15 Riesgos Riesgo de Seguridad y Salud en el Trabajo Riesgo de Seguridad Física de las Personas e Instalaciones Riesgo Ambiental y Social Riesgo en la Gestión Comercial Riesgo de Desastres Naturales Riesgo de Indisponibilidad en las Centrales de Generación Riesgo de Desabastecimiento de Combustible Riesgo en la Gestión de TIC y Ciberseguridad Riesgo de Gestión Legal Riesgo de la Gestión del Talento Humano Riesgo de Cambios Macroeconómicos Riesgo de Fraude, Soborno y Corrupción Riesgo Regulatorio, Normativo y de Cumplimiento Riesgo en la Gestión Financiera Riesgo Hídrico y de Variabilidad del Clima 1

3 Objetivo Dar a conocer los de ISAGEN, la metodología propuesta para su gestión y reporte. 2

4 1. Contexto La Gestión Integral de Riesgos en ISAGEN está orientada a la preservación y creación de valor y tiene los siguientes objetivos: Asegurar la continuidad del negocio y la sostenibilidad de la Empresa. Contribuir a mejorar la eficiencia operacional mediante la mitigación de probabilidad de ocurrencia e impacto de eventos adversos. Gestionar de forma anticipada las vulnerabilidades o eventos que puedan afectar el logro de los objetivos empresariales y aportar información para tomar adecuadas decisiones estratégicas y operativas. Complementar y fortalecer la mejora continua en la gestión de los procesos y el Sistema de Control Empresarial. Estas iniciativas se soportan en un Sistema de Administración de Riesgos que tiene por objeto minimizar los riesgos operativos y estratégicos de la Organización y maximizar las oportunidades, para lo cual los riesgos se identifican, miden, controlan, monitorizan y comunican de una manera sistemática. Lo anterior se complementa con la Gestión de la Continuidad del Negocio, la cual busca desarrollar la capacidad estratégica, táctica y operativa de la Organización para responder a 3

5 eventos adversos que puedan ocasionar altos impactos y amenazar la continuidad y sostenibilidad de la Empresa. Para eventos de menor impacto se realiza el registro y gestión de las Acciones de Mejoramiento y se desarrolla un monitoreo constante de los riesgos. 4

6 2. ISAGEN cuenta con dos inventarios de riesgos: uno a nivel de la estrategia (Inventario de ) que es identificado por el Equipo de Gerencia y otro, a nivel operacional, identificado por los equipos de trabajo de la Empresa. El primero ayuda a tomar decisiones a alto nivel y a hacer seguimiento y resolver asuntos prioritarios que pueden afectar la ejecución de la estrategia. El segundo está diseñado para hacer control desde los procesos, alimentar el programa de seguros y para soportar el mejoramiento del trabajo. De acuerdo con los roles y responsabilidades definidos en la Política de Gestión Integral de Riesgos, la Alta Dirección debe hacer seguimiento a los. Los se actualizaron este año con el Equipo de Gerencia en un taller de riesgos, donde se identificaron aquellos riesgos que responden a temas de orientación de negocio, toma de decisiones a alto nivel y el ejercicio de planeación empresarial; adicionalmente se registraron la coyuntura (situación actual del riesgo en el entorno), causas y controles asociados. a. Identificación y Calificación A continuación se describen los criterios bajo los cuales fueron identificados, analizados y evaluados los de ISAGEN: Se definieron los con base en las principales preocupaciones de ISAGEN, buscando hacer vínculo con el Propósito Superior, Misión, y Estrategia de la Empresa. Se investigaron los riesgos globales y las tendencias del Foro Económico Mundial y se presentaron a los gerentes para que fueran tenidas en cuenta. Se realizó un referenciamiento de empresas del sector y riesgos globales, así como tener en cuenta necesidades de reporte para buenas prácticas como Pacto Global y Dow Jones Sustainability Index. Se tuvieron en cuenta los temas relevantes resaltados en el Proceso de Planeación Empresarial: o Cultura o Contexto Global y retención de talentos. o Estructura de Empresa. o Cadena de Abastecimiento. o Gestión Integral del Recurso Hídrico (GIRH). o Cambio Climático. o Tecnologías de la información y comunicaciones. o Fortalecer la Gestión Tecnológica (Tecnología Característica). o Identificación y desarrollo de nuevas oportunidades de negocio. 5

7 o Gestión Ambiental. o Gestión Social. o Relacionamiento con el Entorno o Innovación Se evaluó el Riesgo Corporativo respecto a su calificación de Riesgo Inherente y Residual según los criterios corporativos de evaluación de riesgos de ISAGEN. 1 Se priorizaron los según su evaluación, es decir, teniendo en cuenta las medidas de control establecidas para dichos riesgos. Como resultado del trabajo realizado con el Comité de Gerencia de los, se obtuvieron las Fichas de Riesgos (Ver Anexo 1), las cuales fueron elaboradas por los responsables del riesgo del Equipo de Gerencia 2 con la habilitación del Equipo de Gestión Integral de Riesgos. Cada una de las fichas contiene: Título del Riesgo: Nombre para identificar el riesgo. Descripción del riesgo: Definición del riesgo. Orígenes del riesgo, qué lo podría generar. Toda medida, ya establecida e implementada, que busca disminuir la probabilidad y/o impacto de la materialización de un riesgo. Para el seguimiento de los riesgos se identifican coyunturas o escenarios situacionales que pueden generar la ocurrencia de las causas y por ende puede hacer que se presente un evento de riesgo. Una vez se identifique que hay una coyuntura el Comité de Gerencia debe hacer seguimiento a las acciones de mitigación implementadas y reportarlo al Comité de Auditoría. A continuación se presenta el resultado del ejercicio: 1 Para conocer el detalle de los Criterios de Evaluación de de ISAGEN, se sugiere ver el Anexo 2 Criterios de Calificación de Probabilidad de Ocurrencia 2 Se debe tener en cuenta que la numeración de los no tiene relación directa con la valoración de dichos riesgos, simplemente es un número de identificación consecutivo. 6

8 Tabla 1 Calificación de Riesgos Mapa de Riesgos Corporativo de ISAGEN Calificación Residual ID Riesgos R1 Riesgo de Seguridad y Salud en el Trabajo R2 Riesgo de Seguridad Física de las Personas e Instalaciones R3 Riesgo Ambiental y Social R4 Riesgo en la Gestión Comercial R5 Riesgo de Desastres Naturales R6 Riesgo de Indisponibilidad en las Centrales de Generación R7 Riesgo de Desabastecimiento de Combustible R8 Riesgo en la Gestión de TIC y Ciberseguridad R9 Riesgo de Gestión Legal R10 Riesgo de la Gestión del Talento Humano R11 Riesgo de Cambios Macroeconómicos R12 Riesgo de Fraude, Soborno y Corrupción 7

9 ID Riesgos R13 Riesgo Regulatorio, Normativo y de Cumplimiento R14 Riesgo en la Gestión Financiera R15 Riesgo Hídrico y de Variabilidad del Clima b. Seguimiento y Monitoreo Por último, para la sostenibilidad y dinamismo de los de ISAGEN se proponen los siguientes roles y responsabilidades, tal como se han venido manejando desde el año Responsable del Riesgo Corporativo Informar sobre cambios en el entorno que pudieran afectar el riesgo corporativo. Analizar la Ficha de riesgo corporativo. Actualizar la coyuntura del riesgo. Propuesta de planes de acción y/o controles corporativos adicionales. Equipo Gestión Integral de Riesgos Entregar información sobre cambios en el entorno que afecten los riesgos corporativos y nuevos riesgos corporativos observados, riesgos de asuntos de trabajo relacionados y eventos. Habilitar en el registro y el proceso de análisis del riesgo corporativo. Verificar la implementación de la metodología para el análisis de la gestión de riesgos corporativos. Comité de Gerencia/Comité de Auditoría- Junta Directiva Estar informado del perfil de riesgos corporativos. Retroalimentar el perfil de riesgos corporativo y dar directrices para su gestión. 8

10 Anexo 1 Riesgo No 1 Título del Riesgo: Riesgo de Seguridad y Salud en el Trabajo. Descripción del Riesgo: Inadecuada gestión de las actividades que conduzcan a vulnerar la protección, seguridad, salud y bienestar de las personas involucradas en el trabajo. Ausencia e inadecuada definición de objetivos, indicadores, metas y programas que permitan realizar seguimiento. Inadecuada y/o inoportuna planeación del trabajo e identificación de riesgos y controles en seguridad y salud en el trabajo que pueden afectar a la empresa, sus trabajadores y contratistas. Desconocimiento, inadecuada interpretación e implementación de la normatividad externa y/o estándares aplicables. Inadecuada habilitación a trabajadores y contratistas. Inadecuada preparación y atención de emergencias. Inadecuada investigación y gestión de los incidentes y accidentes de trabajo. Definición y ejecución del Sistema de Gestión de Seguridad y Salud en el Trabajo. Definición y ejecución del Sistema de Gestión de Seguridad Vial. Aplicación de la metodología del PMI para proyectos, mantenimientos y modernizaciones. Definición, aplicación e interventoría de cláusulas contractuales con obligaciones relacionadas con Seguridad y Salud en el Trabajo. Funcionamiento del COPASST. Riesgo N 2 Título del Riesgo: Riesgo de Seguridad Física de las Personas e Instalaciones. Descripción del Riesgo: Condiciones sociales o actos malintencionados de terceros que vulneran la seguridad de las personas (trabajadores, contratistas o miembros de la comunidad) o los activos de ISAGEN y/o afectan las operaciones empresariales. Presencia de agentes generadores de riesgo en las áreas de influencia de ISAGEN, con capacidad de causar afectaciones, en contra de la comunidad y la seguridad de las zonas. 9

11 Materialización de eventos de riesgo público contra las personas y la infraestructura empresarial, que amenazan la continuidad de las operaciones y la sostenibilidad del negocio. Demandas sociales que superan las capacidades de los P.M.A. y de gestión social de ISAGEN, en centrales y proyectos, derivadas de inconformidades de los grupos de interés, relacionadas con acciones de hecho de la población civil. Inadecuada definición y ejecución de la Estrategia para la Gestión del Riesgo Público Definición y ejecución de la Estrategia de Riesgo Público de ISAGEN: Análisis de riesgo, seguridad humana, ingeniería de seguridad, relacionamiento con la Fuerza Pública y cultura de autocuidado. Coordinación interinstitucional permanente con las autoridades civiles. Seguimiento a IPINS (Índices de Preincidencia) sobre eventos de riesgo público ocurridos en las áreas de influencia de ISAGEN, para definir acciones preventivas o correctivas. Implementación de planes preventivos entorno a fechas o eventos que implican riesgos. Suscripción de iniciativas de Derechos Humanos (Principios Voluntarios, Guías Colombia, Business 4 Peace). Capacitaciones para el equipo directivo y los trabajadores. Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia de Riesgo Público. Realización de estudios de riesgos e impactos en derechos humanos en las áreas de influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a los derechos humanos. Riesgo N 3 Título del Riesgo: Riesgo Ambiental y Social. Descripción del Riesgo: Inadecuada gestión social y biofísica para contribuir a la sostenibilidad ambiental de ISAGEN y de sus áreas de influencia, durante la construcción u operación de centrales de generación. Inadecuada planeación, programación, ejecución y evaluación de la gestión ambiental y social. Inadecuado análisis del entorno y de problemáticas ambientales y sociales. 10

12 Falta de análisis e inadecuado seguimiento y cumplimiento a la normatividad ambiental proyectada y vigente. Acciones que vulneren los derechos humanos de los trabajadores o comunidades de las áreas de influencia por parte de empleados o contratistas. Incumplimiento de instituciones y comunidad que afectan la gestión ambiental o imagen de la Organización. Definición e implementación del Sistema de Gestión Ambiental. Estrategias de relacionamiento con comunidades, autoridades, gremios, actores relevantes y entes de control. Cumplimiento y seguimiento de los compromisos derivados de la adhesión a las iniciativas de carácter ambiental, globales, nacionales y regionales. Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia de Riesgo Público. Realización de estudios de riesgos e impactos en derechos humanos en las áreas de influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a los derechos humanos. Riesgo No 4 Título del Riesgo: Riesgo en la Gestión Comercial. Descripción del Riesgo: Inadecuada gestión comercial que impida o dificulte el logro de la meta de EBITDA. Inadecuada identificación y análisis de las señales del mercado y/o de las condiciones internas de la Compañía para responder o adaptarse a las señales del mercado. Inadecuada definición de la estrategia comercial. Inadecuada gestión del riesgo asociado a las variables de incertidumbre del negocio. Propuesta de valor a clientes insuficiente o inefectiva. Velocidad de respuesta insuficiente frente a cambios en la normativa. Inadecuado o insuficiente seguimiento y control de la gestión comercial. Proceso de Planeación del Proceso Negociación de Soluciones Energéticas alineado con la estrategia empresarial. Análisis de señales del mercado y su impacto en la estrategia. Evaluación y gestión de coberturas frente al riesgo de exposición a bolsa. 11

13 Complemento de las metodologías de mezcla de canales y revisión periódica de los niveles de contratación. Análisis de alternativas de contratación de combustibles. Revisión y análisis para la incorporación de nuevas variables a tener en cuenta en los modelos hidrológicos de corto y mediano plazo. Control operacional que permita hacer seguimiento a la ejecución de la estrategia. Participación en gremios y escenarios de industria. Riesgo No 5 Título del Riesgo: Riesgo de Desastres Naturales Descripción del Riesgo: Fenómeno natural, de una cierta extensión, intensidad y duración, con potencial para causar daños a personas, activos o al entorno que afecten las operaciones. Variabilidad climatológica. Sismos, movimientos de masa y vulcanismo. Contaminación ambiental. Deforestación. Explotación irracional de los recursos naturales renovables. Sobrepaso de crecientes sobre estructuras de control. Monitoreo permanente de las variables exógenas (climatológicas, sismicidad, de comportamiento estructural) que permita tomar decisiones. Diseño de infraestructura y equipos con cumplimiento de normas nacionales e internacionales antisísmicas, entre otras. Existencia, aplicación y actualización de planes de emergencias y de continuidad de las operaciones. Acciones dentro de los PMA y voluntarias que tiendan a la conservación de las cuencas. Riesgo No 6 Título del Riesgo: Riesgo de Indisponibilidad en las Centrales de Generación. Descripción del Riesgo: Eventos internos o externos que afecten la operación de las centrales y que impacten su disponibilidad. 12

14 Eventos naturales (Sismos, crecientes súbitas que afecten los equipos, etc.). Daño en equipos de generación principales y en sistemas de control. Error humano en la ejecución de la operación y en el mantenimiento. Incidente y/o accidente de personas. Incumplimiento de la normatividad ambiental y/o de la industria de la energía. Riesgo Público. Sedimentación en los embalses que limite el aprovechamiento del recurso. Ejecución de los planes de Mantenimiento y Modernización. Análisis y evaluación del comportamiento de equipos y obras (SEO). Seguimiento y evaluación periódica de las centrales en el Comité de Operación y Mantenimiento. Seguimiento a la normatividad ambiental y de la industria de la energía. Seguimiento de acciones en Comité de Riesgo Público. Definición y aplicación de los Planes de Continuidad del Negocio. Gestión sostenible de embalses. Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural. Participar con los gremios en propuestas conjuntas que mejoren la integración entre sectores de gas y electricidad. Riesgo No 7 Título del Riesgo: Riesgo de Desabastecimiento de Combustible. Descripción del Riesgo: Indisponibilidad de combustibles (suministro y transporte) para garantizar el respaldo y/o la generación de la central térmica de ISAGEN. Evento ENSO (El Niño Oscilación del Sur) y otros factores climatológicos o energéticos. No contar con la contratación de suministro y/o con el transporte de los energéticos para atender la generación de Termocentro y las obligaciones del cargo por confiabilidad. Actos malintencionados de terceros que afecten el sistema de gas. Declaración de racionamiento de gas. Intervención del mercado por riesgo de desabastecimiento. Presiones de precios de la energía, en especial, del precio de escasez. Regulación sobre asignación de gas. Restricciones a la operación con combustible líquido y costos asociados. 13

15 Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e internacionales. Evaluaciones técnicas, económicas y comerciales de opciones de abastecimiento de energéticos para la Central Termoeléctrica. Seguimiento periódico para la definición de las necesidades de compra de energía. Definición de escenarios de contingencia para el seguimiento energético del CNO. Entrega de las series semanales históricas para alimentar el modelo del seguimiento energético. Seguimiento a las subastas de gas con interrupciones de diferentes campos y procesos de comercialización de gas. Seguimiento a la condición del sistema y Subcomité de Planeamiento Operativo del CNO. Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural. Participar con los gremios en propuestas conjuntas que mejoren la integración entre sectores de gas y electricidad. Riesgo No 8 Título del Riesgo: Riesgo en la Gestión de TIC y Ciberseguridad. Descripción del Riesgo: Inadecuada gestión de las tecnologías de la información y las comunicaciones que impida o restrinja el logro de los objetivos empresariales y, vulnerabilidad de la información por ataques cibernéticos internos o externos. Insuficiente capacidad de los equipos y sistemas para soportar las exigencias de procesamiento de información requerida por la empresa. Inadecuada tecnología de seguridad para la información. Falta de procedimientos adecuados de seguridad en información. Falta de recursos, conciencia o conocimientos de actuación frente a seguridad, privacidad y mantenimiento. Inadecuadas condiciones físicas y de seguridad para los sitios de procesamiento y almacenamiento de información. Incremento de la dependencia tecnológica. Incremento de conectividad interna y externa. Centralización de operaciones. Análisis del entorno en la evolución de las tecnologías y su impacto en ISAGEN. Planeación y aprobación de la estrategia y arquitectura TIC. Referenciamiento en mejores prácticas para la gestión de las TIC (Cobit, ITIL, PMI, ISO 27000, NERC CIP). 14

16 Monitoreo del uso de los recursos de la plataforma tecnológica y definición de planes para incrementar la capacidad de procesamiento. Implementación del Sistema de Gestión de Seguridad de la Información. Aplicación del Sistema de Gestión de Continuidad de Negocio. Establecimiento de convenios y contactos con autoridades y centros de respuesta a incidentes de nivel nacional para monitoreo y apoyo en la respuesta a incidentes (CCOC, Colcert, CCP). Riesgo No 9 Título del Riesgo: Riesgo de Gestión Legal. Descripción del Riesgo: Errores u omisiones en la representación judicial o en la asesoría jurídica de la empresa. Inadecuado seguimiento a los procesos judiciales. Inadecuada construcción o implementación de soluciones jurídicas. Inadecuada habilitación a los usuarios de los servicios legales. Definición y aplicación del manual de contratación. Operatividad de la herramienta de Control de Procesos Judiciales, y adecuada vigilancia de los mismos. Acompañamiento y habilitación en temas legales a todos los equipos de la Organización. Contratación de abogados externos especializados para temas puntuales. Comité Jurídico y Comité de Contratación. Riesgo No 10 Título del Riesgo: Riesgo de Gestión del Talento Humano. Descripción del Riesgo: Inadecuada gestión del talento humano que impida el desarrollo integral de los trabajadores y le impida a la empresa contar con trabajadores competentes y con planes de sucesión eficaces. Inadecuada identificación de líderes con potencial de desarrollo de competencias cognitivas y conductuales para los cargos críticos. Debilidades en el proceso de selección. Inadecuada planeación y ejecución de la gestión de conocimiento. 15

17 Escasez de oferta de trabajadores en disciplinas y experiencias requeridas por ISAGEN. Deterioro del clima laboral o de la percepción de las condiciones laborales por parte de los trabajadores. Desvinculación/jubilación de trabajadores que ocupen cargos críticos. Diseño y aplicación del Modelo Integral de Gestión Humana. Aplicación de la política de sucesión de directivos. Diseño y aplicación del plan carrera para los cargos críticos. Riesgo No 11 Título del Riesgo: Riesgo de Cambios Macroeconómicos. Descripción del Riesgo: Cambios macroeconómicos que impacten negativamente los resultados de la empresa y la creación de valor en la misma. Cambios significativos en los mercados internacionales. Situación geopolítica internacional que afecte la economía. Volatilidad del IPP afectando los precios de contratos y del IPC afectando gastos asociados a inflación. Exposición a tasa de interés. Exposición a tipo de cambio. Exposición a precio de comodities. Seguimiento a condiciones del mercado. Lineamientos de cobertura de riesgo financiero. Lineamientos para la contratación de deuda y para la estrategia de financiación. Comités de Riesgo e Inversiones. Lineamientos de Junta Directiva para determinar la actuación de la empresa sobre límites y responsabilidades para el manejo del riesgo financiero. Informes de seguimiento al Comité de Auditoría. Interacción permanente con área comercial para incorporar en la estrategia la variabilidad macroeconómica. Riesgo No 12 Título del Riesgo: Riesgo de Fraude, Soborno y Corrupción. 16

18 Descripción del Riesgo: Actos de fraude, soborno y corrupción por parte de los trabajadores o los grupos de interés de la empresa. Desconocimiento de la práctica y definiciones establecidas en el Sistema de Ética Empresarial. Inadecuadas prácticas de Gobierno Corporativo. Cultura organizacional que propicie la justificación de conductas en contra de los lineamientos del Sistema de Ética Empresarial. Deficiencia en controles de vigilancia, validación y aprobaciones y segregación de responsabilidades no adecuadas. Presiones a las empresas (empleados, Directivos, Miembros de Junta Directiva) indebidas o desproporcionadas, frente al logro de resultados. Aplicación de elementos del Sistema de Ética Empresarial. Sistema de gestión control interno contable - Prácticas de aseguramiento de la información financiera. Sistema Gestión Integral de Riesgos. Aplicación de la reglamentación para la contratación de bienes y servicios. Modelo de Reglamentación Interna que contiene segregación de responsabilidades y delegaciones. Procedimientos de selección y vinculación del personal. Modelo de Seguridad de la Información y arquitectura de las TIC. Prácticas de manejo de información confidencial y propiedad intelectual. Riesgo No 13 Título del Riesgo: Riesgo Regulatorio, Normativo y de Cumplimiento. Descripción del Riesgo: Incumplimiento o desconocimiento de las leyes, normas y/o regulación. Falta de capacidad de respuesta ante la permanente emisión de normativa. Inadecuada o inoportuna revisión de la normatividad. Inadecuado seguimiento al cumplimiento normativo. Falta de claridad en la responsabilidad para el cumplimiento de la normativa. Diferencias en la interpretación de la normativa. 17

19 Suscripción y consulta permanente de herramientas de actualización. Definición de responsables por temáticas de normativa. Participación en gremios del sector. Herramienta y procedimiento corporativo de gestión de la normativa. Participación activa en los talleres explicativos de normas y en los comentarios a proyectos publicados por las entidades competentes. Sistemas de Gestión certificados. Riesgo No 14 Título del Riesgo: Riesgo en la Gestión financiera. Descripción del Riesgo: Inadecuada gestión financiera que impacte negativamente los resultados de la empresa y la creación de valor en la misma. Inexistencia o inadecuada transferencia y cobertura de riesgos. Inadecuada gestión de contratos de deuda con respecto a plazos, moneda, covenants, entre otros. Inadecuada planeación financiera de corto y largo plazo. Inadecuada gestión del portafolio de excedentes. Inadecuada planeación tributaria. Inadecuado relacionamiento con proveedores de servicios financieros. Inadecuada valoración y detección de deterioro de las instituciones financieras. Eventos macroeconómicos. Sistemas de información financiera. Revisión del perfil de riesgo y del programa de transferencia de riesgo. Seguimiento y aplicación de la reglamentación interna de excedentes de tesorería, coberturas y deuda. Informes y seguimiento a la deuda y a la estructura de capital. Seguimiento a covenants con acreedores financieros. Planeación financiera y reprogramación trimestral bajo lineamientos formales. Estrategias de disponibilidad de recursos con los acreedores financieros. Seguimiento a indicadores de riesgos. Prácticas de relacionamiento con proveedores de servicios financieros. Seguimiento a eventos macroeconómicos y su impacto en la estrategia financiera. 18

20 Riesgo No 15 Título del Riesgo: Riesgo Hídrico y de Variabilidad del Clima. Descripción del Riesgo: Variabilidad climática e hidrológica que impacta negativamente la producción de energía de las centrales hidroeléctricas de la empresa. Evento ENSO (El Niño Oscilación del Sur) y otros factores climáticos. Deterioro de la cobertura vegetal en las cuencas de recurso hídrico. Cambios en el comportamiento de la precipitación y los caudales de las cuencas hidrográficas de las centrales hidroeléctricas y de futuros proyectos. Elaboración e implementación de modelos de estimación de caudales bajo escenarios de variabilidad climática. Adecuada implementación y operación de una red de monitoreo de variables climatológicas e hidrológicas en las cuencas de interés. Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e internacionales. Promoción de políticas nacionales para el manejo ordenado del recurso hídrico. Conformación de un portafolio de generación considerando complementariedad hidrológica con las centrales en operación. Promoción para la protección y el cuidado de las cuencas de interés. Investigación sobre los efectos del cambio climático en los recursos hídricos de ISAGEN y sus futuros proyectos. 19

21 Anexo 2 Tabla 1 Criterios de Calificación de Probabilidad de Ocurrencia Probabilidad Constante Frecuente Moderada Ocasional Remota Alta Significativa Mediana Baja Improbable, probabilidad probabilidad probabilidad probabilidad difícil que Cualitativos de Ocurrencia, ocurre de ocurrencia, ocurre muchas de ocurrencia, ocurre varias de ocurrencia, poco ocurra. permanenteme veces. veces. frecuente. nte. Se espera la El evento El evento El evento El evento puede ocurrencia del ocurrirá entre puede ocurrir puede ocurrir ocurrir en menos Porcentuales evento en más el 15 y el entre el 10 y el entre el 3 y el del 3% de los del 20% de los 19.9% de los 14,9% de los 9,9% de los casos. casos. casos. casos. casos. Nos ocurre Se presenta Se presenta Se ha Se ha con cierta con alguna por lo menos 1 presentado presentado una periodicidad (1 frecuencia (1 vez cada 6 alguna vez en vez en la Frecuencia vez al mes). vez cada 3 meses). meses. la Organización ó Organización ó en el sector en en el sector en los últimos 12 los últimos 6 meses. meses. 20

22 Tabla 2 Criterios de Calificación de Impacto Impacto Catastrófico Crítico Grave Moderado Leve Pérdida Pérdida mayor o Pérdida mayor Pérdida mayor o Pérdida mayor o igual que (>=) o igual que (>=) igual que (>=) el menor que igual que (>) 3,7% y menor 1,35% y menor 0,5% y menor o (<) el 0,5% Financiero 10% del que (<) el 10% que (<) el 3,7% que (<) el del valor de la valor de la del valor de la del valor de la 1,35% del valor meta EBITDA meta meta EBITDA meta EBITDA de la meta EBITDA EBITDA Impacto que Impacto que Impacto que Impacto que No hay afecte la afecte la imagen afecte la afecte la imagen impacto que imagen de la de la imagen de la de la afecte la Organización Organización en Organización en Organización en imagen de la en el el mercado a el mercado a un segmento de Organización. Reputaciona l mercado a nivel internacional nivel nacional (incluye mercado nivel regional o local. clientes, en un cliente importante o a (incluye regional o local). nivel de mercado inversionistas. nacional, regional o local). Pérdida de Tres o más Más de 7 Siete o menos No se vidas accidentes accidentes en el accidentes en el presentan humanas o graves en un año año accidentes que se año. relacionados relacionados laborales en Vidas genere con actividades con actividades el año, que Humanas incapacidad de trabajo, que de trabajo, que produzcan laboral produzcan cada produzcan cada una permanente. uno una uno una incapacidad incapacidad de incapacidad de de más de 10 más de 10 días. más de 10 días. días. 21

23 Impacto Catastrófico Crítico Grave Moderado Leve O hasta dos accidentes graves en un año. Intervención Sanciones que Sanciones Solicitud de N/A de la impliquen cierre económicas aclaraciones por Organización de instalaciones definitivas parte de por parte de por impuestas por órganos de órganos de incumplimiento órganos de control u otras Intervención y/o Sanciones control u otras entidades por de las normas establecidas / operaciones / obligaciones control u otras entidades por Incumplimientos legales y/o entidades por incumplimientos legales y/o contractuales. Incumplimien contractuales. contractuales. tos legales y/o contractuales. El impacto El impacto no El impacto El impacto El impacto causado es alcanza a ser causado es causado es causado es irreversible y mitigado con los perceptible y perceptible y se mínimo o no es controles reversible puede mitigar imperceptible. susceptible operacionales y se puede con los Requiere Medio Ambiente de ser corregido, mitigado o existentes, medidas establecidas en mitigar a través de las medidas establecidas en controles operacionales existentes. El seguimiento para garantizar compensado el PMA o no se los PMA. El área afectada que no cuenta con la impacto es por el impacto aumente su infraestructura susceptible de es puntual o magnitud requerida y es ser mitigado inferior a 1 Ej: alteración necesario hectárea. El del paisaje 22

24 Impacto Catastrófico Crítico Grave Moderado Leve implementar impacto es durante la acciones susceptible de operación de adicionales para ser corregido una central su control. El impacto es susceptible de ser compensado Impacto que Impacto que Pérdida de Impacto que N/A genera genere medios de genera pérdida y/o enfermedades o trabajo o reclamos ante la afectación de que afecte el productivos de Organización vidas estado de salud la comunidad por prácticas o Sociales humanas de de la comunidad de las zonas de actividades que miembros de de las zonas de influencia. puedan afectar la comunidad influencia. el bienestar de de las zonas la comunidad de de influencia. las zonas de influencia. Pérdida de Pérdida de Pérdida de Pérdida de Pérdida de información información de información de información de información crítica de la la Organización la Organización la Organización de la Organización o de terceros de o de terceros o de terceros Organización o de terceros difícil que sea que sea o de terceros Operativos que no se recuperación. recuperable recuperable y que sea puede pero que que ocasione recuperable recuperar. ocasione retrasos en las pero que no (Activos retrasos labores de las ocasione críticos) significativos en áreas diferentes retrasos en las labores de 23

25 Impacto Catastrófico Crítico Grave Moderado Leve las áreas core a las core de la las diferentes de la Organización. áreas. Organización. N/A Genera Genera Genera Genera reprocesos y/o reprocesos y/o reprocesos y/o reprocesos retrasos que retrasos en los retrasos en los y/o retrasos impacta a nivel procesos de la asuntos de en las organizacional. Organización. trabajo de la actividades Organización. de la Organización. Interrupción Interrupción de Interrupción la Interrupción de NA. de la continuidad continuidad de las operaciones continuidad de las las operaciones de la de las operaciones de de la Organización operaciones la Organización organización menor a 12 de la entre 1 y 2 días. entre 12 y 23 horas Organización horas. por más de 2 días. 24

26 Título del documento