La gestión inteligente y anticipada de los riesgos no solo nos permite enfrentar lo desconocido sino también construir un futuro más resiliente, sostenible y lleno de posibilidades.
GRI (3-3) La gestión de riesgos es determinante en el cumplimiento de nuestra estrategia. Es un diferenciador para alcanzar la sostenibilidad en el negocio, un principio prioritario para nuestros colaboradores, pues nos permite planificar aquello que pueda afectar significativamente, preparar la mitigación de sus impactos, reducir la percepción de incertidumbre relacionada con la toma de decisiones, asegurándonos el logro de los objetivos de forma segura. Asimismo, nos ayuda a identificar las oportunidades para potenciarlas y gestionarlas correctamente.
Nuestra gestión
GRI (3-3) Gestionamos los riesgos bajo los lineamientos de la Política y el Manual del Sistema de Gestión Integral de Riesgos SGIR, alineados con las mejores prácticas y estándares internacionales, garantizando un marco sólido y eficiente para la identificación, evaluación y mitigación de estos en todas las operaciones. Contamos con una herramienta tecnológica administrada por cada uno de los equipos que nos apoya en la gestión y seguimiento de riesgos y oportunidades en los procesos, y nos permite integrar en un solo lugar los riesgos, su nivel de exposición, las causas, controles, responsables, planes de acción, entre otros.
El Sistema de Gestión Integral de Riesgos (SGIR) tiene como enfoque la identificación de los más relevantes en la estrategia para atender la incidencia y la criticidad de los impactos sobre nuestros objetivos en:
Procesos
Proyectos
Nuevos negocios o productos
Instalaciones
Para realizar la evaluación de nuestros riesgos analizamos los criterios de probabilidad e impacto. Para calificar la probabilidad contamos con una escala que incluye los niveles muy bajo, bajo, moderado, alto y muy alto, de acuerdo con la ocurrencia del evento.
Para valorar el impacto tenemos cuatro criterios posibles:
Económico
Personas
Reputación
Pérdida de información
La escala de impacto económico está alineada con el indicador financiero Ebitda.
Escala menor (nivel muy bajo)
Menor al 0.5% del Ebitda del año anterior.
Escala baja (nivel bajo)
Entre el 0.5% y el 3% del Ebitda del año anterior.
Escala importante (nivel moderado)
Entre el 3% y el 7% del Ebitda del año anterior.
Escala mayor (nivel alto)
Entre el 7% y el 10% del Ebitda del año anterior.
Escala significativo (nivel muy alto)
Mayor al 10% del Ebitda del año anterior
Cuando combinamos los criterios de probabilidad e impacto llegamos al nivel de Exposición:
Estos niveles de exposición representan nuestros umbrales de tolerancia al riesgo.
Los riesgos en niveles de exposición alto y críticos no son tolerables, se priorizan y deben implementarse acciones inmediatas para su control.
Existe un seguimiento y monitoreo permanente por parte del equipo de riesgos y con frecuencia trimestral se miden los indicadores de gestión, que incluye la ejecución de las acciones de mitigación de los riesgos. Los temas relevantes en la gestión de riesgos se presentan cada tres meses al Comité de Auditoría, Finanzas y Riesgos.
El proceso de gestión de riesgos es revisado anualmente en las auditorías internas y externas de los sistemas de gestión de calidad, de medioambiente y de gestión de activos.
Evaluación de la magnitud y alcance potencial de los riesgos
TCFD: Gestión de riesgos – a. El proceso para la gestión de riesgos está definido en el Sistema de Gestión Integral de Riesgos SGIR y ajustado a buenas prácticas internacionales como ISO 31000 y el estándar COSO ERM, las cuales definen componentes similares partiendo del entendimiento del negocio, los objetivos, el entorno y las tendencias.
Posteriormente, identificamos y analizamos los riesgos relevantes, los asociamos a controles de mitigación, evaluamos el riesgo en cuanto a la calificación de probabilidad e impacto y, de acuerdo con el nivel de exposición, definimos su tratamiento, los registramos y reportamos.
Este mismo proceso lo aplicamos para la gestión de riesgos y oportunidades derivados del cambio climático. El riesgo de cambio climático y escasez de recursos es estratégico para la compañía, por eso se encuentra valorado cualitativa y cuantitativamente desde los impactos físicos a nuestros activos originados en las amenazas climáticas hasta las implicaciones asociadas a la transición, como cambios en el mercado, la tecnología y la regulación.
Para su gestión hemos definido, principalmente, planes de mitigación, compensación, adaptación, comunicación, así como planes de tratamiento enfocados en estrategias de continuidad de negocio, transferencia de riesgos a través del programa de seguros y el aprovechamiento de las oportunidades como la diversificación de la matriz energética con fuentes renovables no convencionales, la eficiencia energética, la movilidad sostenible, entre otros.
Gobernanza de los riesgos
Junta directiva
- Velar por la implementación del SGIR.
- Aprobar la política.
- Aprobar el apetito de riesgo.
Presidente
- Responder ante la Junta directiva y los accionistas por la implementación del SGIR.
- Reportar sobre el perfil de los riesgos.
- Reportar sobre el estado de los planes de mitigación de los riesgos.
Comité directivo
- Informar sobre el funcionamiento del SGIR en los procesos.
- Alertar sobre nuevos riesgos identificados.
Comité de Auditoría, Finanzas y Riesgos
- Asistir a la Junta directiva en todas las responsabilidades relacionadas con la supervisión del SGIR.
- Monitorear los riesgos estratégicos.
Área de Riesgos
- Diseñar y liderar la implementación de la política, procesos y metodología de riesgos.
- Monitorear la administración efectiva de los riesgos.
- Apoyar a los diferentes equipos en la realización de las evaluaciones de riesgos.
Auditoría interna
- Evaluar la eficiencia y eficacia del SGIR.
- Emitir recomendaciones para mejorar el funcionamiento del SGIR.
- Evaluar la eficacia de los planes de mitigación de riesgo.
- Validar la efectividad de los controles.
Gestores de riesgos
- Construir y actualizar los mapas de riesgos y controles de sus procesos.
- Brindar apoyo en la capacitación y difusión de la cultura de riesgos.
- Apoyar al área de riesgos en la implementación del SGIR en su proceso.
Colaboradores
- Aplicar la gestión integral de riesgos de acuerdo con la política y la metodología.
- Alertar sobre posibles riesgos en sus procesos.
- Reportar eventos de materialización de riesgos.
Primera línea de defensa
La conforman las áreas de negocio y todas las funciones de apoyo que generan una exposición a los riesgos.
Segunda línea de defensa
Está constituida por las áreas de Riesgos y Cumplimiento.
Tercera línea de defensa
Está conformada por la Auditoría interna y es la responsable de la supervisión y control.
Estructura organizacional para la gestión de riesgos
Haz clic para ampliar la imagen
Este gobierno de riesgos tiene alcance al riesgo estratégico de cambio climático y escasez de recursos, adicionalmente se presentan algunos temas específicos al Comité de Sostenibilidad y Gobierno Corporativo
Independencia estructural en la función de gestión del riesgo
GRI (2-13) La gestión de riesgos es transversal a la organización y externa a las líneas de negocio: gestión de activos, hogares y empresas (gestionadas desde las áreas de Generación, Transmisión y Distribución; y Comercialización).
El líder financiero mantiene una interacción constante con la alta dirección y el comité de Auditoría, Finanzas y Riesgos de la Junta directiva, organismos que tienen la mayor responsabilidad sobre la gestión de riesgos en la compañía.
Además, SGIR se encuentra soportado en la Política de Gestión de Riesgos que establece los elementos y el marco general de actuación frente a los riesgos de toda naturaleza a los cuales se enfrenta la organización, así como la estructura de gobierno que indica las instancias, roles y responsabilidades para gestionar y asegurar el adecuado funcionamiento del SGIR.
Formación en gestión de riesgos a directores no ejecutivos en 2023
GRI (2-13) Promovemos la capacitación de los miembros de la Junta directiva sobre temas relacionados con el negocio y la gestión de riesgos. Durante 2023 se proporcionó conocimiento en riesgo regulatorio, cibernético y en temas relevantes climáticos como el fenómeno de El Niño. Adicionalmente, fueron sensibilizados en riesgos ambientales, sociales y de gobierno (ASG).
También, se continuó utilizando el módulo de riesgos en la aplicación de la Junta directiva y el Comité directivo; en dicha herramienta se accede a la información actualizada de riesgos estratégicos, mapa de riesgos y su caracterización, al igual que a las iniciativas de mitigación.
Cultura de riesgos
Con el fin de fortalecer la cultura de gestión de riesgos, durante 2023:
- Llevamos a cabo la Semana de Riesgos, un espacio de charlas y capacitaciones en las que exploramos los diferentes desafíos, tendencias y oportunidades.
- Reforzamos en el uso de la herramienta de gestión de riesgos, oportunidades y reporte de eventos, aplicativo intuitivo y de fácil utilización.
- Realizamos ejercicios de prueba de gestión de crisis con escenario de riesgo cibernético. Contamos con el acompañamiento permanente de especialistas en riesgos para compartir tendencias y mejores prácticas.
- Curso de gestión de hallazgos, nos indica cómo gestionar planes de acción de riesgos, desde su creación, seguimiento y cierre de eficacia.
- Adoptando la gestión de riesgos, cuyo fin es generar conciencia frente a los riesgos.
- Guardián de la información, como medida preventiva de gestión del riesgo cibernético que ayuda a sensibilizar a los colaboradores sobre la importancia de proteger la información.
- Plan de manejo de crisis, para el control y mitigación de eventos adversos.
Riesgos estratégicos y emergentes
Realizamos continuamente un trabajo interdisciplinario para identificar y evaluar los riesgos estratégicos y emergentes de la compañía:
Riesgos estratégicos
Son los eventos internos, externos y tendencias que pueden generar una desviación positiva o negativa sobre la trayectoria de crecimiento esperado de la compañía, nuestra estrategia y el valor para los accionistas.
Riesgos emergentes
Son los riesgos que hemos identificado recientemente y cuya materialización podría afectar tanto a la organización como a la industria en un horizonte temporal de tres a cinco años, aproximadamente. Sin embargo, algunas de sus consecuencias pueden impactar el desempeño del negocio en la actualidad. Los riesgos emergentes pueden ser eventos nuevos e imprevistos o estar asociados a la evolución de riesgos conocidos previamente que están cambiado sus características e impactos potenciales.
La identificación de estos riesgos en la compañía obedece al estudio y seguimiento de las tendencias globales y locales en aspectos sociales, políticos, económicos y en el entorno, que son las que permiten considerar posibles escenarios en los cuales podrían darse condiciones que impliquen cambios en las operaciones de nuestro negocio o afectaciones en la continuidad y rentabilidad.
Bajo esta perspectiva nos estamos preparando mediante análisis cualitativos y cuantitativos de valoración de impacto, evaluando posibles mecanismos de mitigación y transferencia de riesgos diseñados para atender las necesidades de la compañía, que permitan mantener la calidad de nuestras actividades operativas y comerciales en el mediano y largo plazo.
Principales resultados
Con el fin de fortalecer la cultura de gestión de riesgos en toda la compañía, llevamos a cabo la Semana de Riesgos donde exploramos los diferentes desafíos, tendencias y oportunidades de nuestro sector.
Apoyamos el análisis de riesgos en los proyectos y nuevos negocios.
Actualizamos las matrices de riesgos en 25 procesos de la cadena de valor y el BIA (análisis de impacto del negocio) para los procesos críticos en Colombia.
Realizamos, en conjunto con el área de Abastecimiento y nuestro aliado Sura, formaciones a proveedores con alto riesgo en sostenibilidad, principalmente, en huella de carbono, impactos y regulación ambiental.
Continuamos con la actualización de los planes de gestión de riesgos de desastres de nuestros activos de acuerdo con el Decreto 2157 de 2017.
Realizamos ejercicio de prueba con el comité Directivo en un escenario de riesgo cibernético.
Adelantamos simulacros con cinco equipos de la operación en escenario de riesgo cibernético.
Actualizamos el Manual de Crisis a nuestro entorno actual e incluimos un playbook de cibercrisis.
Actualizamos valoraciones cuantitativas de los riesgos estratégicos de cambio climático, ciberseguridad y riesgo político.
Implementamos soluciones paramétricas climáticas.
Desarrollamos iniciativas de simplificación para la mejora de nuestro proceso.
Lecciones aprendidas
El fenómeno El Niño 2015-2016 nos permitió identificar posibles riesgos financieros a los que estaríamos expuestos ante la llegada, nuevamente, de este fenómeno climático. Para ello, y como estrategia de gestión, se formularon y estructuraron mecanismo de transferencia de este riesgo con el fin de contar con una cobertura económica que nos permitiera hacer frente condiciones críticas de mercado, derivadas de los cambios significativos en las variables que afectan la generación de energía propia y del país.
Hecho relevante
Plantas hídricas y térmicas de Celsia se preparan para mitigar posibles efectos del fenómeno de El Niño
Hecho relevante
Plantas hídricas y térmicas de Celsia se preparan para mitigar posibles efectos del fenómeno de El Niño
ASG: ambiental, social y gobierno corporativo.
BIA: Business Impact Analysis.
Sistema de Gestión Integral de Riesgos (SGIR): aplicación sistemática de políticas, procedimientos y prácticas para la identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgo, comunicación y monitoreo. Comprende cuatro pilares: gobierno, proceso, cultura de riesgos y tecnología.
