Riesgos Corporativos

Comité de Auditoría y Riesgos N° 121

Octubre de 2016

Riesgos Corporativos 1

Resumen Ejecutivo

La Gestión Integral de Riesgos es una de las iniciativas implementadas para contribuir al mejoramiento de la eficiencia operacional, gestionar de manera anticipada las vulnerabilidades que puedan afectar el logro de los objetivos, fundamentar la toma de decisiones a todo nivel y fortalecer la mejora continua y el Sistema de Control Empresarial, mediante la gestión de todos los riesgos de la Organización y de los impactos críticos que puedan afectar la continuidad del negocio.

El ejercicio de identificación de Riesgos asociados a la Estrategia se ha desarrollado como parte del Sistema de Gestión Integral de Riesgos desde el año 2012. El resultado de este proceso se plasma en un Inventario de Riesgos Corporativos, en el cual se detallan las causas, controles y coyunturas (situación actual que podría materializar el riesgo). Durante 2013, 2014 y 2015 se hizo seguimiento mensual a este inventario en Comité de Gerencia y Comité de Auditoría y Riesgos. En diciembre de 2016 se realizó la última actualización del Inventario de Riesgos Corporativos a la luz del Plan de Desarrollo Institucional 2016-2020, del Propósito Superior, de la Misión, de mejores prácticas a las cuales se ha adherido ISAGEN y de informes de riesgos globales. Adicionalmente, se tomaron en cuenta los riesgos emergentes y las Tendencias descritas por el Foro Económico Mundial. A continuación se muestra el inventario que fue obtenido en el ejercicio:

ID Riesgos

R1 Riesgo de Seguridad y Salud en el Trabajo

R2 Riesgo de Seguridad Física de las Personas e Instalaciones

R3 Riesgo Ambiental y Social

R4 Riesgo en la Gestión Comercial

R5 Riesgo de Desastres Naturales

R6 Riesgo de Indisponibilidad en las Centrales de Generación

R7 Riesgo de Desabastecimiento de Combustible

R8 Riesgo en la Gestión de TIC y Ciberseguridad

R9 Riesgo de Gestión Legal

R10 Riesgo de la Gestión del Talento Humano

R11 Riesgo de Cambios Macroeconómicos

R12 Riesgo de Fraude, Soborno y Corrupción

R13 Riesgo Regulatorio, Normativo y de Cumplimiento

R14 Riesgo en la Gestión Financiera

R15 Riesgo Hídrico y de Variabilidad del Clima

Riesgos Corporativos 2

Objetivo

Dar a conocer los Riesgos Corporativos de ISAGEN, la metodología propuesta para su gestión y reporte.

Riesgos Corporativos 3

1. Contexto

La Gestión Integral de Riesgos en ISAGEN está orientada a la preservación y creación de

valor y tiene los siguientes objetivos:

▪ Asegurar la continuidad del negocio y la sostenibilidad de la Empresa. ▪ Contribuir a mejorar la eficiencia operacional mediante la mitigación de probabilidad de

ocurrencia e impacto de eventos adversos. ▪ Gestionar de forma anticipada las vulnerabilidades o eventos que puedan afectar el logro

de los objetivos empresariales y aportar información para tomar adecuadas decisiones estratégicas y operativas.

▪ Complementar y fortalecer la mejora continua en la gestión de los procesos y el Sistema de Control Empresarial.

Estas iniciativas se soportan en un Sistema de Administración de Riesgos que tiene por

objeto minimizar los riesgos operativos y estratégicos de la Organización y maximizar las

oportunidades, para lo cual los riesgos se identifican, miden, controlan, monitorizan y

comunican de una manera sistemática.

Lo anterior se complementa con la Gestión de la Continuidad del Negocio, la cual busca

desarrollar la capacidad estratégica, táctica y operativa de la Organización para responder a

Riesgos Corporativos 4

eventos adversos que puedan ocasionar altos impactos y amenazar la continuidad y

sostenibilidad de la Empresa.

Para eventos de menor impacto se realiza el registro y gestión de las Acciones de

Mejoramiento y se desarrolla un monitoreo constante de los riesgos.

Riesgos Corporativos 5

2. Riesgos Corporativos

ISAGEN cuenta con dos inventarios de riesgos: uno a nivel de la estrategia (Inventario de Riesgos Corporativos) que es identificado por el Equipo de Gerencia y otro, a nivel operacional, identificado por los equipos de trabajo de la Empresa. El primero ayuda a tomar decisiones a alto nivel y a hacer seguimiento y resolver asuntos prioritarios que pueden afectar la ejecución de la estrategia. El segundo está diseñado para hacer control desde los procesos, alimentar el programa de seguros y para soportar el mejoramiento del trabajo. De acuerdo con los roles y responsabilidades definidos en la Política de Gestión Integral de Riesgos, la Alta Dirección debe hacer seguimiento a los Riesgos Corporativos.

Los Riesgos Corporativos se actualizaron este año con el Equipo de Gerencia en un taller de riesgos, donde se identificaron aquellos riesgos que responden a temas de orientación de negocio, toma de decisiones a alto nivel y el ejercicio de planeación empresarial; adicionalmente se registraron la coyuntura (situación actual del riesgo en el entorno), causas y controles asociados.

a. Identificación y Calificación

A continuación se describen los criterios bajo los cuales fueron identificados, analizados y evaluados los Riesgos Corporativos de ISAGEN: ▪ Se definieron los Riesgos Corporativos con base en las principales preocupaciones de

ISAGEN, buscando hacer vínculo con el Propósito Superior, Misión, y Estrategia de la Empresa.

▪ Se investigaron los riesgos globales y las tendencias del Foro Económico Mundial y se

presentaron a los gerentes para que fueran tenidas en cuenta. ▪ Se realizó un referenciamiento de empresas del sector y riesgos globales, así como tener

en cuenta necesidades de reporte para buenas prácticas como Pacto Global y Dow Jones Sustainability Index.

▪ Se tuvieron en cuenta los temas relevantes resaltados en el Proceso de Planeación

Empresarial:

o Cultura o Contexto Global y retención de talentos. o Estructura de Empresa. o Cadena de Abastecimiento. o Gestión Integral del Recurso Hídrico (GIRH). o Cambio Climático. o Tecnologías de la información y comunicaciones. o Fortalecer la Gestión Tecnológica (Tecnología Característica). o Identificación y desarrollo de nuevas oportunidades de negocio.

Riesgos Corporativos 6

o Gestión Ambiental. o Gestión Social. o Relacionamiento con el Entorno o Innovación

▪ Se evaluó el Riesgo Corporativo respecto a su calificación de Riesgo Inherente y Residual

según los criterios corporativos de evaluación de riesgos de ISAGEN.1 ▪ Se priorizaron los Riesgos Corporativos según su evaluación, es decir, teniendo en cuenta

las medidas de control establecidas para dichos riesgos. Como resultado del trabajo realizado con el Comité de Gerencia de los Riesgos Corporativos, se obtuvieron las Fichas de Riesgos (Ver Anexo 1), las cuales fueron elaboradas por los responsables del riesgo del Equipo de Gerencia2 con la habilitación del Equipo de Gestión Integral de Riesgos. Cada una de las fichas contiene: ▪ Título del Riesgo: Nombre para identificar el riesgo. ▪ Descripción del riesgo: Definición del riesgo. ▪ Causas: Orígenes del riesgo, qué lo podría generar. ▪ Controles: Toda medida, ya establecida e implementada, que busca disminuir la

probabilidad y/o impacto de la materialización de un riesgo. Para el seguimiento de los riesgos se identifican coyunturas o escenarios situacionales que pueden generar la ocurrencia de las causas y por ende puede hacer que se presente un evento de riesgo. Una vez se identifique que hay una coyuntura el Comité de Gerencia debe hacer seguimiento a las acciones de mitigación implementadas y reportarlo al Comité de Auditoría. A continuación se presenta el resultado del ejercicio:

1 Para conocer el detalle de los Criterios de Evaluación de Riesgos Corporativos de ISAGEN, se sugiere ver el Anexo 2 Criterios de Calificación de Probabilidad de Ocurrencia 2 Se debe tener en cuenta que la numeración de los Riesgos Corporativos no tiene relación directa con la valoración de dichos riesgos, simplemente es un número de identificación consecutivo.

Riesgos Corporativos 7

Tabla 1 Calificación de Riesgos

Mapa de Riesgos Corporativo de ISAGEN – Calificación Residual

ID Riesgos

R1 Riesgo de Seguridad y Salud en el Trabajo

R2 Riesgo de Seguridad Física de las Personas e Instalaciones

R3 Riesgo Ambiental y Social

R4 Riesgo en la Gestión Comercial

R5 Riesgo de Desastres Naturales

R6 Riesgo de Indisponibilidad en las Centrales de Generación

R7 Riesgo de Desabastecimiento de Combustible

R8 Riesgo en la Gestión de TIC y Ciberseguridad

R9 Riesgo de Gestión Legal

R10 Riesgo de la Gestión del Talento Humano

R11 Riesgo de Cambios Macroeconómicos

R12 Riesgo de Fraude, Soborno y Corrupción

Riesgos Corporativos 8

ID Riesgos

R13 Riesgo Regulatorio, Normativo y de Cumplimiento

R14 Riesgo en la Gestión Financiera

R15 Riesgo Hídrico y de Variabilidad del Clima

b. Seguimiento y Monitoreo

Por último, para la sostenibilidad y dinamismo de los Riesgos Corporativos de ISAGEN se proponen los siguientes roles y responsabilidades, tal como se han venido manejando desde el año 2013. Responsable del Riesgo Corporativo ▪ Informar sobre cambios en el entorno que pudieran afectar el riesgo corporativo. ▪ Analizar la Ficha de riesgo corporativo. ▪ Actualizar la coyuntura del riesgo. ▪ Propuesta de planes de acción y/o controles corporativos adicionales. Equipo Gestión Integral de Riesgos ▪ Entregar información sobre cambios en el entorno que afecten los riesgos corporativos y

nuevos riesgos corporativos observados, riesgos de asuntos de trabajo relacionados y eventos.

▪ Habilitar en el registro y el proceso de análisis del riesgo corporativo. ▪ Verificar la implementación de la metodología para el análisis de la gestión de riesgos

corporativos. Comité de Gerencia/Comité de Auditoría- Junta Directiva ▪ Estar informado del perfil de riesgos corporativos. ▪ Retroalimentar el perfil de riesgos corporativo y dar directrices para su gestión.

Riesgos Corporativos 9

Anexo 1 Riesgo No 1

Título del Riesgo: Riesgo de Seguridad y Salud en el Trabajo. Descripción del Riesgo: Inadecuada gestión de las actividades que conduzcan a vulnerar la protección, seguridad, salud y bienestar de las personas involucradas en el trabajo. Causas: ▪ Ausencia e inadecuada definición de objetivos, indicadores, metas y programas que

permitan realizar seguimiento. ▪ Inadecuada y/o inoportuna planeación del trabajo e identificación de riesgos y controles

en seguridad y salud en el trabajo que pueden afectar a la empresa, sus trabajadores y contratistas.

▪ Desconocimiento, inadecuada interpretación e implementación de la normatividad externa y/o estándares aplicables.

▪ Inadecuada habilitación a trabajadores y contratistas. ▪ Inadecuada preparación y atención de emergencias. ▪ Inadecuada investigación y gestión de los incidentes y accidentes de trabajo. Controles: ▪ Definición y ejecución del Sistema de Gestión de Seguridad y Salud en el Trabajo. ▪ Definición y ejecución del Sistema de Gestión de Seguridad Vial. ▪ Aplicación de la metodología del PMI para proyectos, mantenimientos y modernizaciones. ▪ Definición, aplicación e interventoría de cláusulas contractuales con obligaciones

relacionadas con Seguridad y Salud en el Trabajo. ▪ Funcionamiento del COPASST.

Riesgo N° 2 Título del Riesgo: Riesgo de Seguridad Física de las Personas e Instalaciones. Descripción del Riesgo: Condiciones sociales o actos malintencionados de terceros que vulneran la seguridad de las personas (trabajadores, contratistas o miembros de la comunidad) o los activos de ISAGEN y/o afectan las operaciones empresariales. Causas: ▪ Presencia de agentes generadores de riesgo en las áreas de influencia de ISAGEN, con

capacidad de causar afectaciones, en contra de la comunidad y la seguridad de las zonas.

Riesgos Corporativos 10

▪ Materialización de eventos de riesgo público contra las personas y la infraestructura empresarial, que amenazan la continuidad de las operaciones y la sostenibilidad del negocio.

▪ Demandas sociales que superan las capacidades de los P.M.A. y de gestión social de ISAGEN, en centrales y proyectos, derivadas de inconformidades de los grupos de interés, relacionadas con acciones de hecho de la población civil.

▪ Inadecuada definición y ejecución de la Estrategia para la Gestión del Riesgo Público Controles: ▪ Definición y ejecución de la Estrategia de Riesgo Público de ISAGEN:

• Análisis de riesgo, seguridad humana, ingeniería de seguridad, relacionamiento con la

Fuerza Pública y cultura de autocuidado. • Coordinación interinstitucional permanente con las autoridades civiles. • Seguimiento a IPINS (Índices de Preincidencia) sobre eventos de riesgo público

ocurridos en las áreas de influencia de ISAGEN, para definir acciones preventivas o correctivas.

• Implementación de planes preventivos entorno a fechas o eventos que implican riesgos.

• Suscripción de iniciativas de Derechos Humanos (Principios Voluntarios, Guías Colombia, Business 4 Peace).

• Capacitaciones para el equipo directivo y los trabajadores.

▪ Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia de Riesgo Público.

▪ Realización de estudios de riesgos e impactos en derechos humanos en las áreas de influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a los derechos humanos.

Riesgo N° 3

Título del Riesgo: Riesgo Ambiental y Social. Descripción del Riesgo: Inadecuada gestión social y biofísica para contribuir a la sostenibilidad ambiental de ISAGEN y de sus áreas de influencia, durante la construcción u operación de centrales de generación. Causas: ▪ Inadecuada planeación, programación, ejecución y evaluación de la gestión ambiental y

social. ▪ Inadecuado análisis del entorno y de problemáticas ambientales y sociales.

Riesgos Corporativos 11

▪ Falta de análisis e inadecuado seguimiento y cumplimiento a la normatividad ambiental proyectada y vigente.

▪ Acciones que vulneren los derechos humanos de los trabajadores o comunidades de las áreas de influencia por parte de empleados o contratistas.

▪ Incumplimiento de instituciones y comunidad que afectan la gestión ambiental o imagen de la Organización.

Controles: ▪ Definición e implementación del Sistema de Gestión Ambiental. ▪ Estrategias de relacionamiento con comunidades, autoridades, gremios, actores

relevantes y entes de control. ▪ Cumplimiento y seguimiento de los compromisos derivados de la adhesión a las iniciativas

de carácter ambiental, globales, nacionales y regionales. ▪ Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia

de Riesgo Público. ▪ Realización de estudios de riesgos e impactos en derechos humanos en las áreas de

influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a los derechos humanos.

Riesgo No 4 Título del Riesgo: Riesgo en la Gestión Comercial.

Descripción del Riesgo: Inadecuada gestión comercial que impida o dificulte el logro de la

meta de EBITDA.

Causas: ▪ Inadecuada identificación y análisis de las señales del mercado y/o de las condiciones

internas de la Compañía para responder o adaptarse a las señales del mercado. ▪ Inadecuada definición de la estrategia comercial. ▪ Inadecuada gestión del riesgo asociado a las variables de incertidumbre del negocio. ▪ Propuesta de valor a clientes insuficiente o inefectiva. ▪ Velocidad de respuesta insuficiente frente a cambios en la normativa. ▪ Inadecuado o insuficiente seguimiento y control de la gestión comercial. Controles: ▪ Proceso de Planeación del Proceso Negociación de Soluciones Energéticas alineado con

la estrategia empresarial. ▪ Análisis de señales del mercado y su impacto en la estrategia. ▪ Evaluación y gestión de coberturas frente al riesgo de exposición a bolsa.

Riesgos Corporativos 12

▪ Complemento de las metodologías de mezcla de canales y revisión periódica de los niveles de contratación.

▪ Análisis de alternativas de contratación de combustibles. ▪ Revisión y análisis para la incorporación de nuevas variables a tener en cuenta en los

modelos hidrológicos de corto y mediano plazo. ▪ Control operacional que permita hacer seguimiento a la ejecución de la estrategia. ▪ Participación en gremios y escenarios de industria. Riesgo No 5 Título del Riesgo: Riesgo de Desastres Naturales Descripción del Riesgo: Fenómeno natural, de una cierta extensión, intensidad y duración, con potencial para causar daños a personas, activos o al entorno que afecten las operaciones. Causas: ▪ Variabilidad climatológica. ▪ Sismos, movimientos de masa y vulcanismo. ▪ Contaminación ambiental. ▪ Deforestación. ▪ Explotación irracional de los recursos naturales renovables. ▪ Sobrepaso de crecientes sobre estructuras de control. Controles: ▪ Monitoreo permanente de las variables exógenas (climatológicas, sismicidad, de

comportamiento estructural) que permita tomar decisiones. ▪ Diseño de infraestructura y equipos con cumplimiento de normas nacionales e

internacionales antisísmicas, entre otras. ▪ Existencia, aplicación y actualización de planes de emergencias y de continuidad de las

operaciones. ▪ Acciones dentro de los PMA y voluntarias que tiendan a la conservación de las cuencas. Riesgo No 6 Título del Riesgo: Riesgo de Indisponibilidad en las Centrales de Generación. Descripción del Riesgo: Eventos internos o externos que afecten la operación de las centrales y que impacten su disponibilidad. Causas:

Riesgos Corporativos 13

▪ Eventos naturales (Sismos, crecientes súbitas que afecten los equipos, etc.). ▪ Daño en equipos de generación principales y en sistemas de control. ▪ Error humano en la ejecución de la operación y en el mantenimiento. ▪ Incidente y/o accidente de personas. ▪ Incumplimiento de la normatividad ambiental y/o de la industria de la energía. ▪ Riesgo Público. ▪ Sedimentación en los embalses que limite el aprovechamiento del recurso. Controles: ▪ Ejecución de los planes de Mantenimiento y Modernización. ▪ Análisis y evaluación del comportamiento de equipos y obras (SEO). ▪ Seguimiento y evaluación periódica de las centrales en el Comité de Operación y

Mantenimiento. ▪ Seguimiento a la normatividad ambiental y de la industria de la energía. ▪ Seguimiento de acciones en Comité de Riesgo Público. ▪ Definición y aplicación de los Planes de Continuidad del Negocio. ▪ Gestión sostenible de embalses. ▪ Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural. ▪ Participar con los gremios en propuestas conjuntas que mejoren la integración entre

sectores de gas y electricidad. Riesgo No 7 Título del Riesgo: Riesgo de Desabastecimiento de Combustible.

Descripción del Riesgo: Indisponibilidad de combustibles (suministro y transporte) para

garantizar el respaldo y/o la generación de la central térmica de ISAGEN. Causas: ▪ Evento ENSO (El Niño Oscilación del Sur) y otros factores climatológicos o energéticos. ▪ No contar con la contratación de suministro y/o con el transporte de los energéticos para

atender la generación de Termocentro y las obligaciones del cargo por confiabilidad. ▪ Actos malintencionados de terceros que afecten el sistema de gas. ▪ Declaración de racionamiento de gas. ▪ Intervención del mercado por riesgo de desabastecimiento. ▪ Presiones de precios de la energía, en especial, del precio de escasez. ▪ Regulación sobre asignación de gas. ▪ Restricciones a la operación con combustible líquido y costos asociados. Controles:

Riesgos Corporativos 14

▪ Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e internacionales.

▪ Evaluaciones técnicas, económicas y comerciales de opciones de abastecimiento de energéticos para la Central Termoeléctrica.

▪ Seguimiento periódico para la definición de las necesidades de compra de energía. ▪ Definición de escenarios de contingencia para el seguimiento energético del CNO. ▪ Entrega de las series semanales históricas para alimentar el modelo del seguimiento

energético. ▪ Seguimiento a las subastas de gas con interrupciones de diferentes campos y procesos

de comercialización de gas. ▪ Seguimiento a la condición del sistema y Subcomité de Planeamiento Operativo del CNO. ▪ Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural. ▪ Participar con los gremios en propuestas conjuntas que mejoren la integración entre

sectores de gas y electricidad. Riesgo No 8

Título del Riesgo: Riesgo en la Gestión de TIC y Ciberseguridad.

Descripción del Riesgo: Inadecuada gestión de las tecnologías de la información y las comunicaciones que impida o restrinja el logro de los objetivos empresariales y, vulnerabilidad de la información por ataques cibernéticos internos o externos. Causas: ▪ Insuficiente capacidad de los equipos y sistemas para soportar las exigencias de

procesamiento de información requerida por la empresa. ▪ Inadecuada tecnología de seguridad para la información. ▪ Falta de procedimientos adecuados de seguridad en información. ▪ Falta de recursos, conciencia o conocimientos de actuación frente a seguridad, privacidad

y mantenimiento. ▪ Inadecuadas condiciones físicas y de seguridad para los sitios de procesamiento y

almacenamiento de información. ▪ Incremento de la dependencia tecnológica. ▪ Incremento de conectividad interna y externa. ▪ Centralización de operaciones.

Controles: ▪ Análisis del entorno en la evolución de las tecnologías y su impacto en ISAGEN. ▪ Planeación y aprobación de la estrategia y arquitectura TIC. ▪ Referenciamiento en mejores prácticas para la gestión de las TIC (Cobit, ITIL, PMI, ISO

27000, NERC CIP).

Riesgos Corporativos 15

▪ Monitoreo del uso de los recursos de la plataforma tecnológica y definición de planes para incrementar la capacidad de procesamiento.

▪ Implementación del Sistema de Gestión de Seguridad de la Información. ▪ Aplicación del Sistema de Gestión de Continuidad de Negocio. ▪ Establecimiento de convenios y contactos con autoridades y centros de respuesta a

incidentes de nivel nacional para monitoreo y apoyo en la respuesta a incidentes (CCOC, Colcert, CCP).

Riesgo No 9 Título del Riesgo: Riesgo de Gestión Legal. Descripción del Riesgo: Errores u omisiones en la representación judicial o en la asesoría jurídica de la empresa. Causas: ▪ Inadecuado seguimiento a los procesos judiciales. ▪ Inadecuada construcción o implementación de soluciones jurídicas. ▪ Inadecuada habilitación a los usuarios de los servicios legales. Controles: ▪ Definición y aplicación del manual de contratación. ▪ Operatividad de la herramienta de Control de Procesos Judiciales, y adecuada vigilancia

de los mismos. ▪ Acompañamiento y habilitación en temas legales a todos los equipos de la Organización. ▪ Contratación de abogados externos especializados para temas puntuales. ▪ Comité Jurídico y Comité de Contratación. Riesgo No 10 Título del Riesgo: Riesgo de Gestión del Talento Humano. Descripción del Riesgo: Inadecuada gestión del talento humano que impida el desarrollo integral de los trabajadores y le impida a la empresa contar con trabajadores competentes y con planes de sucesión eficaces. Causas: ▪ Inadecuada identificación de líderes con potencial de desarrollo de competencias

cognitivas y conductuales para los cargos críticos. ▪ Debilidades en el proceso de selección. ▪ Inadecuada planeación y ejecución de la gestión de conocimiento.

Riesgos Corporativos 16

▪ Escasez de oferta de trabajadores en disciplinas y experiencias requeridas por ISAGEN. ▪ Deterioro del clima laboral o de la percepción de las condiciones laborales por parte de

los trabajadores. ▪ Desvinculación/jubilación de trabajadores que ocupen cargos críticos. Controles: ▪ Diseño y aplicación del Modelo Integral de Gestión Humana. ▪ Aplicación de la política de sucesión de directivos. ▪ Diseño y aplicación del plan carrera para los cargos críticos. Riesgo No 11 Título del Riesgo: Riesgo de Cambios Macroeconómicos. Descripción del Riesgo: Cambios macroeconómicos que impacten negativamente los resultados de la empresa y la creación de valor en la misma. Causas: ▪ Cambios significativos en los mercados internacionales. ▪ Situación geopolítica internacional que afecte la economía. ▪ Volatilidad del IPP afectando los precios de contratos y del IPC afectando gastos

asociados a inflación. ▪ Exposición a tasa de interés. ▪ Exposición a tipo de cambio. ▪ Exposición a precio de comodities. Controles: ▪ Seguimiento a condiciones del mercado. ▪ Lineamientos de cobertura de riesgo financiero. ▪ Lineamientos para la contratación de deuda y para la estrategia de financiación. ▪ Comités de Riesgo e Inversiones. ▪ Lineamientos de Junta Directiva para determinar la actuación de la empresa sobre límites

y responsabilidades para el manejo del riesgo financiero. ▪ Informes de seguimiento al Comité de Auditoría. ▪ Interacción permanente con área comercial para incorporar en la estrategia la variabilidad

macroeconómica. Riesgo No 12 Título del Riesgo: Riesgo de Fraude, Soborno y Corrupción.

Riesgos Corporativos 17

Descripción del Riesgo: Actos de fraude, soborno y corrupción por parte de los trabajadores

o los grupos de interés de la empresa. Causas: ▪ Desconocimiento de la práctica y definiciones establecidas en el Sistema de Ética

Empresarial. ▪ Inadecuadas prácticas de Gobierno Corporativo. ▪ Cultura organizacional que propicie la justificación de conductas en contra de los

lineamientos del Sistema de Ética Empresarial. ▪ Deficiencia en controles de vigilancia, validación y aprobaciones y segregación de

responsabilidades no adecuadas. ▪ Presiones a las empresas (empleados, Directivos, Miembros de Junta Directiva) indebidas

o desproporcionadas, frente al logro de resultados.

Controles: ▪ Aplicación de elementos del Sistema de Ética Empresarial. ▪ Sistema de gestión control interno contable - Prácticas de aseguramiento de la información

financiera. ▪ Sistema Gestión Integral de Riesgos. ▪ Aplicación de la reglamentación para la contratación de bienes y servicios. ▪ Modelo de Reglamentación Interna que contiene segregación de responsabilidades y

delegaciones. ▪ Procedimientos de selección y vinculación del personal. ▪ Modelo de Seguridad de la Información y arquitectura de las TIC. ▪ Prácticas de manejo de información confidencial y propiedad intelectual. Riesgo No 13 Título del Riesgo: Riesgo Regulatorio, Normativo y de Cumplimiento. Descripción del Riesgo: Incumplimiento o desconocimiento de las leyes, normas y/o regulación.

Causas: ▪ Falta de capacidad de respuesta ante la permanente emisión de normativa. ▪ Inadecuada o inoportuna revisión de la normatividad. ▪ Inadecuado seguimiento al cumplimiento normativo. ▪ Falta de claridad en la responsabilidad para el cumplimiento de la normativa. ▪ Diferencias en la interpretación de la normativa. Controles:

Riesgos Corporativos 18

▪ Suscripción y consulta permanente de herramientas de actualización. ▪ Definición de responsables por temáticas de normativa. ▪ Participación en gremios del sector. ▪ Herramienta y procedimiento corporativo de gestión de la normativa. ▪ Participación activa en los talleres explicativos de normas y en los comentarios a proyectos

publicados por las entidades competentes. ▪ Sistemas de Gestión certificados. Riesgo No 14 Título del Riesgo: Riesgo en la Gestión financiera. Descripción del Riesgo: Inadecuada gestión financiera que impacte negativamente los resultados de la empresa y la creación de valor en la misma. Causas: ▪ Inexistencia o inadecuada transferencia y cobertura de riesgos. ▪ Inadecuada gestión de contratos de deuda con respecto a plazos, moneda, covenants,

entre otros. ▪ Inadecuada planeación financiera de corto y largo plazo. ▪ Inadecuada gestión del portafolio de excedentes. ▪ Inadecuada planeación tributaria. ▪ Inadecuado relacionamiento con proveedores de servicios financieros. ▪ Inadecuada valoración y detección de deterioro de las instituciones financieras. ▪ Eventos macroeconómicos.

Controles: ▪ Sistemas de información financiera. ▪ Revisión del perfil de riesgo y del programa de transferencia de riesgo. ▪ Seguimiento y aplicación de la reglamentación interna de excedentes de tesorería,

coberturas y deuda. ▪ Informes y seguimiento a la deuda y a la estructura de capital. ▪ Seguimiento a covenants con acreedores financieros. ▪ Planeación financiera y reprogramación trimestral bajo lineamientos formales. ▪ Estrategias de disponibilidad de recursos con los acreedores financieros. ▪ Seguimiento a indicadores de riesgos. ▪ Prácticas de relacionamiento con proveedores de servicios financieros. ▪ Seguimiento a eventos macroeconómicos y su impacto en la estrategia financiera.

Riesgos Corporativos 19

Riesgo No 15

Título del Riesgo: Riesgo Hídrico y de Variabilidad del Clima. Descripción del Riesgo: Variabilidad climática e hidrológica que impacta negativamente la producción de energía de las centrales hidroeléctricas de la empresa. Causas: ▪ Evento ENSO (El Niño Oscilación del Sur) y otros factores climáticos. ▪ Deterioro de la cobertura vegetal en las cuencas de recurso hídrico. ▪ Cambios en el comportamiento de la precipitación y los caudales de las cuencas

hidrográficas de las centrales hidroeléctricas y de futuros proyectos.

Controles: ▪ Elaboración e implementación de modelos de estimación de caudales bajo escenarios de

variabilidad climática. ▪ Adecuada implementación y operación de una red de monitoreo de variables

climatológicas e hidrológicas en las cuencas de interés. ▪ Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e

internacionales. ▪ Promoción de políticas nacionales para el manejo ordenado del recurso hídrico. ▪ Conformación de un portafolio de generación considerando complementariedad

hidrológica con las centrales en operación. ▪ Promoción para la protección y el cuidado de las cuencas de interés. ▪ Investigación sobre los efectos del cambio climático en los recursos hídricos de ISAGEN

y sus futuros proyectos.

Riesgos Corporativos 20

Anexo 2

Tabla 1 Criterios de Calificación de Probabilidad de Ocurrencia

Probabilidad Constante Frecuente Moderada Ocasional Remota

Cualitativos

Alta

probabilidad

de Ocurrencia,

ocurre

permanenteme

nte.

Significativa

probabilidad

de ocurrencia,

ocurre muchas

veces.

Mediana

probabilidad

de ocurrencia,

ocurre varias

veces.

Baja

probabilidad

de ocurrencia,

poco

frecuente.

Improbable,

difícil que

ocurra.

Porcentuales

Se espera la

ocurrencia del

evento en más

del 20% de los

casos.

El evento

ocurrirá entre

el 15 y el

19.9% de los

casos.

El evento

puede ocurrir

entre el 10 y el

14,9% de los

casos.

El evento

puede ocurrir

entre el 3 y el

9,9% de los

casos.

El evento puede

ocurrir en menos

del 3% de los

casos.

Frecuencia

Nos ocurre

con cierta

periodicidad (1

vez al mes).

Se presenta

con alguna

frecuencia (1

vez cada 3

meses).

Se presenta

por lo menos 1

vez cada 6

meses.

Se ha

presentado

alguna vez en

la

Organización ó

en el sector en

los últimos 6

meses.

Se ha

presentado una

vez en la

Organización ó

en el sector en

los últimos 12

meses.

Riesgos Corporativos 21

Tabla 2 Criterios de Calificación de Impacto

Impacto Catastrófico Crítico Grave Moderado Leve

Financiero

Pérdida

mayor o

igual que (>)

10% del

valor de la

meta

EBITDA

Pérdida mayor o

igual que (>=)

3,7% y menor

que (<) el 10%

del valor de la

meta EBITDA

Pérdida mayor

o igual que (>=)

1,35% y menor

que (<) el 3,7%

del valor de la

meta EBITDA

Pérdida mayor o

igual que (>=) el

0,5% y menor o

que (<) el

1,35% del valor

de la meta

EBITDA

Pérdida

menor que

(<) el 0,5%

del valor de la

meta EBITDA

Reputaciona

l

Impacto que

afecte la

imagen de la

Organización

en el

mercado a

nivel

internacional

(incluye

mercado

nacional,

regional o

local).

Impacto que

afecte la imagen

de la

Organización en

el mercado a

nivel nacional

(incluye

mercado

regional o local).

Impacto que

afecte la

imagen de la

Organización en

el mercado a

nivel regional o

local.

Impacto que

afecte la imagen

de la

Organización en

un segmento de

clientes, en un

cliente

importante o a

nivel de

inversionistas.

No hay

impacto que

afecte la

imagen de la

Organización.

Vidas

Humanas

Pérdida de

vidas

humanas o

que se

genere

incapacidad

laboral

permanente.

Tres o más

accidentes

graves en un

año.

Más de 7

accidentes en el

año

relacionados

con actividades

de trabajo, que

produzcan cada

uno una

incapacidad de

más de 10 días.

Siete o menos

accidentes en el

año

relacionados

con actividades

de trabajo, que

produzcan cada

uno una

incapacidad de

más de 10 días.

No se

presentan

accidentes

laborales en

el año, que

produzcan

una

incapacidad

de más de 10

días.

Riesgos Corporativos 22

Impacto Catastrófico Crítico Grave Moderado Leve

O hasta dos

accidentes

graves en un

año.

Intervención

y/o

Sanciones

Intervención

de la

Organización

por parte de

órganos de

control u

otras

entidades

por

Incumplimien

tos legales

y/o

contractuales

.

Sanciones que

impliquen cierre

de instalaciones

por

incumplimiento

de las normas

establecidas /

operaciones /

obligaciones

contractuales.

Sanciones

económicas

definitivas

impuestas por

órganos de

control u otras

entidades por

Incumplimientos

legales y/o

contractuales.

Solicitud de

aclaraciones por

parte de

órganos de

control u otras

entidades por

incumplimientos

legales y/o

contractuales.

N/A

Medio

Ambiente

El impacto

causado es

irreversible y

no es

susceptible

de ser

corregido,

mitigado o

compensado

El impacto no

alcanza a ser

mitigado con los

controles

operacionales

existentes,

medidas

establecidas en

el PMA o no se

cuenta con la

infraestructura

requerida y es

necesario

El impacto

causado es

perceptible y

reversible

y se puede

mitigar a través

de las medidas

establecidas en

los PMA. El

impacto es

susceptible de

ser mitigado

El impacto

causado es

perceptible y se

puede mitigar

con los

controles

operacionales

existentes. El

área afectada

por el impacto

es puntual o

inferior a 1

hectárea. El

El impacto

causado es

mínimo o

imperceptible.

Requiere

seguimiento

para

garantizar

que no

aumente su

magnitud

Ej: alteración

del paisaje

Riesgos Corporativos 23

Impacto Catastrófico Crítico Grave Moderado Leve

implementar

acciones

adicionales para

su control. El

impacto es

susceptible de

ser compensado

impacto es

susceptible de

ser corregido

durante la

operación de

una central

Sociales

Impacto que

genera

pérdida y/o

afectación de

vidas

humanas de

miembros de

la comunidad

de las zonas

de influencia.

Impacto que

genere

enfermedades o

que afecte el

estado de salud

de la comunidad

de las zonas de

influencia.

Pérdida de

medios de

trabajo o

productivos de

la comunidad

de las zonas de

influencia.

Impacto que

genera

reclamos ante la

Organización

por prácticas o

actividades que

puedan afectar

el bienestar de

la comunidad de

las zonas de

influencia.

N/A

Operativos

Pérdida de

información

crítica de la

Organización

o de terceros

que no se

puede

recuperar.

(Activos

críticos)

Pérdida de

información de

la Organización

o de terceros de

difícil

recuperación.

Pérdida de

información de

la Organización

o de terceros

que sea

recuperable

pero que

ocasione

retrasos

significativos en

las labores de

Pérdida de

información de

la Organización

o de terceros

que sea

recuperable y

que ocasione

retrasos en las

labores de las

áreas diferentes

Pérdida de

información

de la

Organización

o de terceros

que sea

recuperable

pero que no

ocasione

retrasos en

Riesgos Corporativos 24

Impacto Catastrófico Crítico Grave Moderado Leve

las áreas core

de la

Organización.

a las core de la

Organización.

las diferentes

áreas.

N/A Genera

reprocesos y/o

retrasos que

impacta a nivel

organizacional.

Genera

reprocesos y/o

retrasos en los

procesos de la

Organización.

Genera

reprocesos y/o

retrasos en los

asuntos de

trabajo de la

Organización.

Genera

reprocesos

y/o retrasos

en las

actividades

de la

Organización.

Interrupción

de

continuidad

de las

operaciones

de la

Organización

por más de 2

días.

Interrupción de

la continuidad

de las

operaciones de

la Organización

entre 1 y 2 días.

Interrupción la

continuidad de

las operaciones

de la

organización

entre 12 y 23

horas.

Interrupción de

las operaciones

de la

Organización

menor a 12

horas

NA.

Título del documento