En ISA y sus empresas la gestión integral de riesgos soporta las decisiones estratégicas, es transversal y de gran importancia para la organización ya que tiene el fin de proteger y preservar la integridad de los recursos, la continuidad y sostenibilidad de los negocios.
Contamos con un procesos sistemático y homologado de identificación, análisis, evaluación, monitoreo y comunicación de los riesgos a los que estamos expuestos, con el objetivo de minimizar los impactos sobre nuestros recursos empresariales y aprovechar las oportunidades en la estrategia, los proyectos, los procesos y las operaciones.
Conoce mas de nuestro sistema de gestión integral de riesgos:
ISA se compromete de manera responsable, transparente y ética a gestionar los riesgos y las oportunidades; con el fin de crear valor para sus grupos de interés, mantener su ventaja competitiva y contribuir al desarrollo de las sociedades donde tiene presencia.
La Junta Directiva y Comité de Presidencia de ISA son conscientes de los riesgos y participen activamente en su gestión, para mayor detalle haz clic aquí.
Se fomenta en la organización la toma de decisiones basadas en riesgos, se promueve talleres, foros, entrenamientos, el uso de nuevas herramientas con la alta gerencia, líderes y colaboradores para el fortalecimiento de la cultura de la gestión y reporte de riesgos.
Así vivimos el encuentro de riesgos ISA y sus empresas 2023, clic aquí
Programa de capacitación y entrenamiento 2023, conócelo aquí
Se realiza seguimiento de los principales riesgos, sus medidas de administración actuales y futuras, sobre la información reportada a los diferentes grupos de interés, y planes de trabajo asociadas a recomendaciones de las autoridades de supervisión y entes de control.
Se impulsa el avance del modelo y revisión de los riesgos emergentes, así como de los riesgos empresariales más críticos y sus medidas de administración, planes de trabajo, el plan de continuidad de negocio, los análisis de los riesgos materializados, la gestión de crisis y de los riesgos de cumplimiento, asegurables, ciberseguridad y los asociados a la naturaleza.
Permitiendo observar escenarios futuros, en lugar de esperar a que sucedan los eventos
Alto grado de cobertura de riesgos en nuestra organización
En la aplicación del modelo de gestión de riesgos: política y controles, que permitan una exposición adecuada al apetito definido
El ciclo de gestión de riesgos está basado en el estándar ISO 31000 y alineado con las mejores prácticas, y la implementación se soporta bajo valores y normas que orientan el ciclo de gestión integral de riesgos en todos los niveles y habilitan a la organización para gestionar los efectos de la incertidumbre sobre los objetivos, y son:
Permiten asociar los riesgos con temáticas comunes y son aplicables para todas las empresas. Tanto la tipología como las categorías posibilitan hacer análisis específicos y generar reportes ejecutivos y hacer correlaciones.
Para la ubicación de los riesgos se realiza una asociación con las causas relevantes de los riesgos, más que con las consecuencias.
La valoración de los riesgos dependerá de la naturaleza de cada categoría de riesgos; actualmente ISA y sus empresas cuenta con tres recursos (financiero, reputacional y personas) que permiten priorizar los riesgos identificados. Para mayor detalle, haz clic aquí
Los análisis de sensibilidad durante este año fueron realizados principalmente para:
La identificación, análisis, valoración y tratamiento de los riesgos asociados al cambio climático se integra en forma holística al sistema de gestión de riesgos empresariales en el corto y mediano plazo. En el largo plazo se incluye en los análisis de los riesgos emergentes.
En el 2023 se realizó el reporte por octavo año consecutivo de los riesgos y oportunidades asociados al cambio climático de acuerdo con las recomendaciones del grupo de trabajo de divulgaciones financieras relacionadas con el clima (TCFD). En el 2023 se realizó un análisis más profundo para Colombia de los riesgos asociados a la adaptación de la infraestructura al cambio climático. Mayor información aquí.
La gestión del riesgo cibernético en ISA y empresas se articula al modelo de gestión integral de riesgos y es analizado desde el ámbito de TI y TO, siguiendo las buenas prácticas basadas en los marcos ISO 27001 y NIST para la estructuración de mecanismos de control y monitoreo de amenazas y vulnerabilidades cibernéticas. Al ser un riesgo relevante y categorizado como prioritario en su valoración, su gestión es impulsada por la alta gerencia en todos los niveles de la Compañía y líneas de negocio, haciendo participes a los colaboradores en la responsabilidad para su adecuada identificación y tratamiento.
Dada la criticidad de este riesgo para la continuidad operacional y seguridad de la información, su gestión se realiza para el corto y mediano plazo a nivel de riesgo empresarial y de procesos y en el largo plazo a nivel de riesgo emergentes, permitiendo un análisis holístico para el robustecimiento de la estrategia de ciber seguridad en el aseguramiento de las etapas del ciclo de vida de los activos y transferencia del riesgo al mercado asegurador.
En ISA, la transferencia de riesgos al mercado asegurador se soporta en el entendimiento objetivo y cuantitativo de los impactos de los riesgos a los cuales está expuesta la operación como son: el recurso humano, el medio ambiente, la reputación, los activos y la tecnología. Este entendimiento se origina en la gestión integral de riesgos mediante la articulación sinérgica de los equipos de riesgos y seguros y avanza hacia la aplicación de técnicas de costo total de riesgo para escenarios críticos, cuantificación de riesgos y análisis de distribución de pérdidas de eventos históricos, los cuales apalancan la toma de decisiones para la negociación optima sobre la relación cobertura de riesgos y costo de los seguros.
Para robustecer el seguimiento se creó la dimensión de cumplimiento (CO) y se ampliaron las categorías incluyendo en lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva (LF – LA/FT/FPAMD); privacidad de información (PI) y fraude, corrupción y soborno (FC). El alcance de la gestión de riesgos de cumplimiento está asociado con la declaración de “Cero acciones ilegales o faltas a la ética” realizada en el ejercicio de apetito y tolerancia de riesgos de ISA y sus empresas.
La evaluación de riegos para la biodiversidad se aborda, en el corto y mediano plazo, desde las tipologías de riesgos “Ambiental” y “Fenómenos naturales y cambios climatológicos extremos”, mediante un enfoque Top-down y Bottom -up considerando:
En el largo plazo, desde lo riesgos emergentes, se evalúa la pérdida de biodiversidad con impacto en la organización; principalmente en las regulaciones más estrictas, en la necesidad de mayor inversión y potencial retrasos de proyectos. Sin embargo, también ofrece oportunidades de implementar acciones que aprovechan el poder de la naturaleza para abordar algunos de nuestros desafíos.
