Riesgos Corporativos

Comité de Auditoría y Riesgos N° 121

Octubre de 2016
Resumen Ejecutivo
La Gestión Integral de Riesgos es una de las iniciativas implementadas para contribuir al
mejoramiento de la eficiencia operacional, gestionar de manera anticipada las
vulnerabilidades que puedan afectar el logro de los objetivos, fundamentar la toma de
decisiones a todo nivel y fortalecer la mejora continua y el Sistema de Control Empresarial,
mediante la gestión de todos los riesgos de la Organización y de los impactos críticos que
puedan afectar la continuidad del negocio.

El ejercicio de identificación de Riesgos asociados a la Estrategia se ha desarrollado como

parte del Sistema de Gestión Integral de Riesgos desde el año 2012. El resultado de este
proceso se plasma en un Inventario de Riesgos Corporativos, en el cual se detallan las
causas, controles y coyunturas (situación actual que podría materializar el riesgo). Durante
2013, 2014 y 2015 se hizo seguimiento mensual a este inventario en Comité de Gerencia y
Comité de Auditoría y Riesgos. En diciembre de 2016 se realizó la última actualización del
Inventario de Riesgos Corporativos a la luz del Plan de Desarrollo Institucional 2016-2020,
del Propósito Superior, de la Misión, de mejores prácticas a las cuales se ha adherido
ISAGEN y de informes de riesgos globales. Adicionalmente, se tomaron en cuenta los riesgos
emergentes y las Tendencias descritas por el Foro Económico Mundial. A continuación se
muestra el inventario que fue obtenido en el ejercicio:

ID Riesgos
R1 Riesgo de Seguridad y Salud en el Trabajo
R2 Riesgo de Seguridad Física de las Personas e Instalaciones
R3 Riesgo Ambiental y Social
R4 Riesgo en la Gestión Comercial
R5 Riesgo de Desastres Naturales
R6 Riesgo de Indisponibilidad en las Centrales de Generación
R7 Riesgo de Desabastecimiento de Combustible
R8 Riesgo en la Gestión de TIC y Ciberseguridad
R9 Riesgo de Gestión Legal
R10 Riesgo de la Gestión del Talento Humano
R11 Riesgo de Cambios Macroeconómicos
R12 Riesgo de Fraude, Soborno y Corrupción
R13 Riesgo Regulatorio, Normativo y de Cumplimiento
R14 Riesgo en la Gestión Financiera
R15 Riesgo Hídrico y de Variabilidad del Clima

Riesgos Corporativos 1
Objetivo
Dar a conocer los Riesgos Corporativos de ISAGEN, la metodología propuesta para su
gestión y reporte.

Riesgos Corporativos 2
1. Contexto
La Gestión Integral de Riesgos en ISAGEN está orientada a la preservación y creación de
valor y tiene los siguientes objetivos:

▪ Asegurar la continuidad del negocio y la sostenibilidad de la Empresa.

▪ Contribuir a mejorar la eficiencia operacional mediante la mitigación de probabilidad de
ocurrencia e impacto de eventos adversos.
▪ Gestionar de forma anticipada las vulnerabilidades o eventos que puedan afectar el logro
de los objetivos empresariales y aportar información para tomar adecuadas decisiones
estratégicas y operativas.
▪ Complementar y fortalecer la mejora continua en la gestión de los procesos y el Sistema
de Control Empresarial.

Estas iniciativas se soportan en un Sistema de Administración de Riesgos que tiene por

objeto minimizar los riesgos operativos y estratégicos de la Organización y maximizar las
oportunidades, para lo cual los riesgos se identifican, miden, controlan, monitorizan y
comunican de una manera sistemática.

Lo anterior se complementa con la Gestión de la Continuidad del Negocio, la cual busca

desarrollar la capacidad estratégica, táctica y operativa de la Organización para responder a

Riesgos Corporativos 3
eventos adversos que puedan ocasionar altos impactos y amenazar la continuidad y
sostenibilidad de la Empresa.

Para eventos de menor impacto se realiza el registro y gestión de las Acciones de

Mejoramiento y se desarrolla un monitoreo constante de los riesgos.

Riesgos Corporativos 4
2. Riesgos Corporativos
ISAGEN cuenta con dos inventarios de riesgos: uno a nivel de la estrategia (Inventario de
Riesgos Corporativos) que es identificado por el Equipo de Gerencia y otro, a nivel
operacional, identificado por los equipos de trabajo de la Empresa. El primero ayuda a tomar
decisiones a alto nivel y a hacer seguimiento y resolver asuntos prioritarios que pueden
afectar la ejecución de la estrategia. El segundo está diseñado para hacer control desde los
procesos, alimentar el programa de seguros y para soportar el mejoramiento del trabajo. De
acuerdo con los roles y responsabilidades definidos en la Política de Gestión Integral de
Riesgos, la Alta Dirección debe hacer seguimiento a los Riesgos Corporativos.

Los Riesgos Corporativos se actualizaron este año con el Equipo de Gerencia en un taller
de riesgos, donde se identificaron aquellos riesgos que responden a temas de orientación de
negocio, toma de decisiones a alto nivel y el ejercicio de planeación empresarial;
adicionalmente se registraron la coyuntura (situación actual del riesgo en el entorno), causas
y controles asociados.

a. Identificación y Calificación

A continuación se describen los criterios bajo los cuales fueron identificados, analizados y
evaluados los Riesgos Corporativos de ISAGEN:

▪ Se definieron los Riesgos Corporativos con base en las principales preocupaciones de

ISAGEN, buscando hacer vínculo con el Propósito Superior, Misión, y Estrategia de la
Empresa.

▪ Se investigaron los riesgos globales y las tendencias del Foro Económico Mundial y se
presentaron a los gerentes para que fueran tenidas en cuenta.

▪ Se realizó un referenciamiento de empresas del sector y riesgos globales, así como tener
en cuenta necesidades de reporte para buenas prácticas como Pacto Global y Dow Jones
Sustainability Index.

▪ Se tuvieron en cuenta los temas relevantes resaltados en el Proceso de Planeación

Empresarial:

o Cultura o Contexto Global y retención de talentos.

o Estructura de Empresa.
o Cadena de Abastecimiento.
o Gestión Integral del Recurso Hídrico (GIRH).
o Cambio Climático.
o Tecnologías de la información y comunicaciones.
o Fortalecer la Gestión Tecnológica (Tecnología Característica).
o Identificación y desarrollo de nuevas oportunidades de negocio.

Riesgos Corporativos 5
 o Gestión Ambiental.
o Gestión Social.
o Relacionamiento con el Entorno
o Innovación

▪ Se evaluó el Riesgo Corporativo respecto a su calificación de Riesgo Inherente y Residual

según los criterios corporativos de evaluación de riesgos de ISAGEN. 1

▪ Se priorizaron los Riesgos Corporativos según su evaluación, es decir, teniendo en cuenta

las medidas de control establecidas para dichos riesgos.

Como resultado del trabajo realizado con el Comité de Gerencia de los Riesgos Corporativos,
se obtuvieron las Fichas de Riesgos (Ver Anexo 1), las cuales fueron elaboradas por los
responsables del riesgo del Equipo de Gerencia 2 con la habilitación del Equipo de Gestión
Integral de Riesgos. Cada una de las fichas contiene:

▪ Título del Riesgo: Nombre para identificar el riesgo.

▪ Descripción del riesgo: Definición del riesgo.
▪ Causas: Orígenes del riesgo, qué lo podría generar.
▪ Controles: Toda medida, ya establecida e implementada, que busca disminuir la
probabilidad y/o impacto de la materialización de un riesgo.

Para el seguimiento de los riesgos se identifican coyunturas o escenarios situacionales que

pueden generar la ocurrencia de las causas y por ende puede hacer que se presente un
evento de riesgo. Una vez se identifique que hay una coyuntura el Comité de Gerencia debe
hacer seguimiento a las acciones de mitigación implementadas y reportarlo al Comité de
Auditoría.

A continuación se presenta el resultado del ejercicio:

1 Para conocer el detalle de los Criterios de Evaluación de Riesgos Corporativos de ISAGEN, se sugiere ver
el Anexo 2 Criterios de Calificación de Probabilidad de Ocurrencia
2 Se debe tener en cuenta que la numeración de los Riesgos Corporativos no tiene relación directa con la

valoración de dichos riesgos, simplemente es un número de identificación consecutivo.

Riesgos Corporativos 6
 Tabla 1 Calificación de Riesgos

Mapa de Riesgos Corporativo de ISAGEN – Calificación Residual

ID Riesgos
R1 Riesgo de Seguridad y Salud en el Trabajo
R2 Riesgo de Seguridad Física de las Personas e Instalaciones
R3 Riesgo Ambiental y Social
R4 Riesgo en la Gestión Comercial
R5 Riesgo de Desastres Naturales
R6 Riesgo de Indisponibilidad en las Centrales de Generación
R7 Riesgo de Desabastecimiento de Combustible
R8 Riesgo en la Gestión de TIC y Ciberseguridad
R9 Riesgo de Gestión Legal
R10 Riesgo de la Gestión del Talento Humano
R11 Riesgo de Cambios Macroeconómicos
R12 Riesgo de Fraude, Soborno y Corrupción

Riesgos Corporativos 7
 ID Riesgos
R13 Riesgo Regulatorio, Normativo y de Cumplimiento
R14 Riesgo en la Gestión Financiera
R15 Riesgo Hídrico y de Variabilidad del Clima

b. Seguimiento y Monitoreo

Por último, para la sostenibilidad y dinamismo de los Riesgos Corporativos de ISAGEN se

proponen los siguientes roles y responsabilidades, tal como se han venido manejando desde
el año 2013.

Responsable del Riesgo Corporativo

▪ Informar sobre cambios en el entorno que pudieran afectar el riesgo corporativo.

▪ Analizar la Ficha de riesgo corporativo.
▪ Actualizar la coyuntura del riesgo.
▪ Propuesta de planes de acción y/o controles corporativos adicionales.

Equipo Gestión Integral de Riesgos

▪ Entregar información sobre cambios en el entorno que afecten los riesgos corporativos y
nuevos riesgos corporativos observados, riesgos de asuntos de trabajo relacionados y
eventos.
▪ Habilitar en el registro y el proceso de análisis del riesgo corporativo.
▪ Verificar la implementación de la metodología para el análisis de la gestión de riesgos
corporativos.

Comité de Gerencia/Comité de Auditoría- Junta Directiva

▪ Estar informado del perfil de riesgos corporativos.

▪ Retroalimentar el perfil de riesgos corporativo y dar directrices para su gestión.

Riesgos Corporativos 8
Anexo 1
Riesgo No 1

Título del Riesgo: Riesgo de Seguridad y Salud en el Trabajo.

Descripción del Riesgo: Inadecuada gestión de las actividades que conduzcan a vulnerar
la protección, seguridad, salud y bienestar de las personas involucradas en el trabajo.

Causas:

▪ Ausencia e inadecuada definición de objetivos, indicadores, metas y programas que

permitan realizar seguimiento.
▪ Inadecuada y/o inoportuna planeación del trabajo e identificación de riesgos y controles
en seguridad y salud en el trabajo que pueden afectar a la empresa, sus trabajadores y
contratistas.
▪ Desconocimiento, inadecuada interpretación e implementación de la normatividad externa
y/o estándares aplicables.
▪ Inadecuada habilitación a trabajadores y contratistas.
▪ Inadecuada preparación y atención de emergencias.
▪ Inadecuada investigación y gestión de los incidentes y accidentes de trabajo.

Controles:

▪ Definición y ejecución del Sistema de Gestión de Seguridad y Salud en el Trabajo.

▪ Definición y ejecución del Sistema de Gestión de Seguridad Vial.
▪ Aplicación de la metodología del PMI para proyectos, mantenimientos y modernizaciones.
▪ Definición, aplicación e interventoría de cláusulas contractuales con obligaciones
relacionadas con Seguridad y Salud en el Trabajo.
▪ Funcionamiento del COPASST.

Riesgo N° 2

Título del Riesgo: Riesgo de Seguridad Física de las Personas e Instalaciones.

Descripción del Riesgo: Condiciones sociales o actos malintencionados de terceros que

vulneran la seguridad de las personas (trabajadores, contratistas o miembros de la
comunidad) o los activos de ISAGEN y/o afectan las operaciones empresariales.

Causas:
▪ Presencia de agentes generadores de riesgo en las áreas de influencia de ISAGEN, con
capacidad de causar afectaciones, en contra de la comunidad y la seguridad de las zonas.

Riesgos Corporativos 9
▪ Materialización de eventos de riesgo público contra las personas y la infraestructura
empresarial, que amenazan la continuidad de las operaciones y la sostenibilidad del
negocio.
▪ Demandas sociales que superan las capacidades de los P.M.A. y de gestión social de
ISAGEN, en centrales y proyectos, derivadas de inconformidades de los grupos de interés,
relacionadas con acciones de hecho de la población civil.
▪ Inadecuada definición y ejecución de la Estrategia para la Gestión del Riesgo Público

Controles:

▪ Definición y ejecución de la Estrategia de Riesgo Público de ISAGEN:

• Análisis de riesgo, seguridad humana, ingeniería de seguridad, relacionamiento con la

Fuerza Pública y cultura de autocuidado.
• Coordinación interinstitucional permanente con las autoridades civiles.
• Seguimiento a IPINS (Índices de Preincidencia) sobre eventos de riesgo público
ocurridos en las áreas de influencia de ISAGEN, para definir acciones preventivas o
correctivas.
• Implementación de planes preventivos entorno a fechas o eventos que implican
riesgos.
• Suscripción de iniciativas de Derechos Humanos (Principios Voluntarios, Guías
Colombia, Business 4 Peace).
• Capacitaciones para el equipo directivo y los trabajadores.

▪ Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia

de Riesgo Público.
▪ Realización de estudios de riesgos e impactos en derechos humanos en las áreas de
influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre
la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a
los derechos humanos.

Riesgo N° 3

Título del Riesgo: Riesgo Ambiental y Social.

Descripción del Riesgo: Inadecuada gestión social y biofísica para contribuir a la

sostenibilidad ambiental de ISAGEN y de sus áreas de influencia, durante la construcción u
operación de centrales de generación.

Causas:

▪ Inadecuada planeación, programación, ejecución y evaluación de la gestión ambiental y

social.
▪ Inadecuado análisis del entorno y de problemáticas ambientales y sociales.

Riesgos Corporativos 10
▪ Falta de análisis e inadecuado seguimiento y cumplimiento a la normatividad ambiental
proyectada y vigente.
▪ Acciones que vulneren los derechos humanos de los trabajadores o comunidades de las
áreas de influencia por parte de empleados o contratistas.
▪ Incumplimiento de instituciones y comunidad que afectan la gestión ambiental o imagen
de la Organización.

Controles:

▪ Definición e implementación del Sistema de Gestión Ambiental.

▪ Estrategias de relacionamiento con comunidades, autoridades, gremios, actores
relevantes y entes de control.
▪ Cumplimiento y seguimiento de los compromisos derivados de la adhesión a las iniciativas
de carácter ambiental, globales, nacionales y regionales.
▪ Definición y ejecución de la Gestión Ambiental y Social y su articulación con la estrategia
de Riesgo Público.
▪ Realización de estudios de riesgos e impactos en derechos humanos en las áreas de
influencia de proyectos y centros productivos, para detectar si hay alguna desviación entre
la actuación de la empresa, sus proveedores, contratistas y trabajadores con respecto a
los derechos humanos.

Riesgo No 4

Título del Riesgo: Riesgo en la Gestión Comercial.

Descripción del Riesgo: Inadecuada gestión comercial que impida o dificulte el logro de la
meta de EBITDA.

Causas:

▪ Inadecuada identificación y análisis de las señales del mercado y/o de las condiciones
internas de la Compañía para responder o adaptarse a las señales del mercado.
▪ Inadecuada definición de la estrategia comercial.
▪ Inadecuada gestión del riesgo asociado a las variables de incertidumbre del negocio.
▪ Propuesta de valor a clientes insuficiente o inefectiva.
▪ Velocidad de respuesta insuficiente frente a cambios en la normativa.
▪ Inadecuado o insuficiente seguimiento y control de la gestión comercial.

Controles:

▪ Proceso de Planeación del Proceso Negociación de Soluciones Energéticas alineado con

la estrategia empresarial.
▪ Análisis de señales del mercado y su impacto en la estrategia.
▪ Evaluación y gestión de coberturas frente al riesgo de exposición a bolsa.

Riesgos Corporativos 11
▪ Complemento de las metodologías de mezcla de canales y revisión periódica de los
niveles de contratación.
▪ Análisis de alternativas de contratación de combustibles.
▪ Revisión y análisis para la incorporación de nuevas variables a tener en cuenta en los
modelos hidrológicos de corto y mediano plazo.
▪ Control operacional que permita hacer seguimiento a la ejecución de la estrategia.
▪ Participación en gremios y escenarios de industria.

Riesgo No 5

Título del Riesgo: Riesgo de Desastres Naturales

Descripción del Riesgo: Fenómeno natural, de una cierta extensión, intensidad y duración,
con potencial para causar daños a personas, activos o al entorno que afecten las
operaciones.

Causas:

▪ Variabilidad climatológica.
▪ Sismos, movimientos de masa y vulcanismo.
▪ Contaminación ambiental.
▪ Deforestación.
▪ Explotación irracional de los recursos naturales renovables.
▪ Sobrepaso de crecientes sobre estructuras de control.

Controles:

▪ Monitoreo permanente de las variables exógenas (climatológicas, sismicidad, de

comportamiento estructural) que permita tomar decisiones.
▪ Diseño de infraestructura y equipos con cumplimiento de normas nacionales e
internacionales antisísmicas, entre otras.
▪ Existencia, aplicación y actualización de planes de emergencias y de continuidad de las
operaciones.
▪ Acciones dentro de los PMA y voluntarias que tiendan a la conservación de las cuencas.

Riesgo No 6

Título del Riesgo: Riesgo de Indisponibilidad en las Centrales de Generación.

Descripción del Riesgo: Eventos internos o externos que afecten la operación de las
centrales y que impacten su disponibilidad.

Causas:

Riesgos Corporativos 12
▪ Eventos naturales (Sismos, crecientes súbitas que afecten los equipos, etc.).
▪ Daño en equipos de generación principales y en sistemas de control.
▪ Error humano en la ejecución de la operación y en el mantenimiento.
▪ Incidente y/o accidente de personas.
▪ Incumplimiento de la normatividad ambiental y/o de la industria de la energía.
▪ Riesgo Público.
▪ Sedimentación en los embalses que limite el aprovechamiento del recurso.

Controles:

▪ Ejecución de los planes de Mantenimiento y Modernización.

▪ Análisis y evaluación del comportamiento de equipos y obras (SEO).
▪ Seguimiento y evaluación periódica de las centrales en el Comité de Operación y
Mantenimiento.
▪ Seguimiento a la normatividad ambiental y de la industria de la energía.
▪ Seguimiento de acciones en Comité de Riesgo Público.
▪ Definición y aplicación de los Planes de Continuidad del Negocio.
▪ Gestión sostenible de embalses.
▪ Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural.
▪ Participar con los gremios en propuestas conjuntas que mejoren la integración entre
sectores de gas y electricidad.

Riesgo No 7

Título del Riesgo: Riesgo de Desabastecimiento de Combustible.

Descripción del Riesgo: Indisponibilidad de combustibles (suministro y transporte) para

garantizar el respaldo y/o la generación de la central térmica de ISAGEN.

Causas:

▪ Evento ENSO (El Niño Oscilación del Sur) y otros factores climatológicos o energéticos.
▪ No contar con la contratación de suministro y/o con el transporte de los energéticos para
atender la generación de Termocentro y las obligaciones del cargo por confiabilidad.
▪ Actos malintencionados de terceros que afecten el sistema de gas.
▪ Declaración de racionamiento de gas.
▪ Intervención del mercado por riesgo de desabastecimiento.
▪ Presiones de precios de la energía, en especial, del precio de escasez.
▪ Regulación sobre asignación de gas.
▪ Restricciones a la operación con combustible líquido y costos asociados.

Controles:

Riesgos Corporativos 13
▪ Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e
internacionales.
▪ Evaluaciones técnicas, económicas y comerciales de opciones de abastecimiento de
energéticos para la Central Termoeléctrica.
▪ Seguimiento periódico para la definición de las necesidades de compra de energía.
▪ Definición de escenarios de contingencia para el seguimiento energético del CNO.
▪ Entrega de las series semanales históricas para alimentar el modelo del seguimiento
energético.
▪ Seguimiento a las subastas de gas con interrupciones de diferentes campos y procesos
de comercialización de gas.
▪ Seguimiento a la condición del sistema y Subcomité de Planeamiento Operativo del CNO.
▪ Asistencia a diferentes comités que hacen parte de la institucionalidad del gas natural.
▪ Participar con los gremios en propuestas conjuntas que mejoren la integración entre
sectores de gas y electricidad.

Riesgo No 8

Título del Riesgo: Riesgo en la Gestión de TIC y Ciberseguridad.

Descripción del Riesgo: Inadecuada gestión de las tecnologías de la información y las

comunicaciones que impida o restrinja el logro de los objetivos empresariales y,
vulnerabilidad de la información por ataques cibernéticos internos o externos.

Causas:

▪ Insuficiente capacidad de los equipos y sistemas para soportar las exigencias de

procesamiento de información requerida por la empresa.
▪ Inadecuada tecnología de seguridad para la información.
▪ Falta de procedimientos adecuados de seguridad en información.
▪ Falta de recursos, conciencia o conocimientos de actuación frente a seguridad, privacidad
y mantenimiento.
▪ Inadecuadas condiciones físicas y de seguridad para los sitios de procesamiento y
almacenamiento de información.
▪ Incremento de la dependencia tecnológica.
▪ Incremento de conectividad interna y externa.
▪ Centralización de operaciones.

Controles:

▪ Análisis del entorno en la evolución de las tecnologías y su impacto en ISAGEN.

▪ Planeación y aprobación de la estrategia y arquitectura TIC.
▪ Referenciamiento en mejores prácticas para la gestión de las TIC (Cobit, ITIL, PMI, ISO
27000, NERC CIP).

Riesgos Corporativos 14
▪ Monitoreo del uso de los recursos de la plataforma tecnológica y definición de planes para
incrementar la capacidad de procesamiento.
▪ Implementación del Sistema de Gestión de Seguridad de la Información.
▪ Aplicación del Sistema de Gestión de Continuidad de Negocio.
▪ Establecimiento de convenios y contactos con autoridades y centros de respuesta a
incidentes de nivel nacional para monitoreo y apoyo en la respuesta a incidentes (CCOC,
Colcert, CCP).

Riesgo No 9

Título del Riesgo: Riesgo de Gestión Legal.

Descripción del Riesgo: Errores u omisiones en la representación judicial o en la asesoría

jurídica de la empresa.

Causas:

▪ Inadecuado seguimiento a los procesos judiciales.

▪ Inadecuada construcción o implementación de soluciones jurídicas.
▪ Inadecuada habilitación a los usuarios de los servicios legales.

Controles:

▪ Definición y aplicación del manual de contratación.

▪ Operatividad de la herramienta de Control de Procesos Judiciales, y adecuada vigilancia
de los mismos.
▪ Acompañamiento y habilitación en temas legales a todos los equipos de la Organización.
▪ Contratación de abogados externos especializados para temas puntuales.
▪ Comité Jurídico y Comité de Contratación.

Riesgo No 10

Título del Riesgo: Riesgo de Gestión del Talento Humano.

Descripción del Riesgo: Inadecuada gestión del talento humano que impida el desarrollo
integral de los trabajadores y le impida a la empresa contar con trabajadores competentes y
con planes de sucesión eficaces.

Causas:

▪ Inadecuada identificación de líderes con potencial de desarrollo de competencias

cognitivas y conductuales para los cargos críticos.
▪ Debilidades en el proceso de selección.
▪ Inadecuada planeación y ejecución de la gestión de conocimiento.

Riesgos Corporativos 15
▪ Escasez de oferta de trabajadores en disciplinas y experiencias requeridas por ISAGEN.
▪ Deterioro del clima laboral o de la percepción de las condiciones laborales por parte de
los trabajadores.
▪ Desvinculación/jubilación de trabajadores que ocupen cargos críticos.

Controles:

▪ Diseño y aplicación del Modelo Integral de Gestión Humana.

▪ Aplicación de la política de sucesión de directivos.
▪ Diseño y aplicación del plan carrera para los cargos críticos.

Riesgo No 11

Título del Riesgo: Riesgo de Cambios Macroeconómicos.

Descripción del Riesgo: Cambios macroeconómicos que impacten negativamente los

resultados de la empresa y la creación de valor en la misma.

Causas:

▪ Cambios significativos en los mercados internacionales.

▪ Situación geopolítica internacional que afecte la economía.
▪ Volatilidad del IPP afectando los precios de contratos y del IPC afectando gastos
asociados a inflación.
▪ Exposición a tasa de interés.
▪ Exposición a tipo de cambio.
▪ Exposición a precio de comodities.

Controles:

▪ Seguimiento a condiciones del mercado.

▪ Lineamientos de cobertura de riesgo financiero.
▪ Lineamientos para la contratación de deuda y para la estrategia de financiación.
▪ Comités de Riesgo e Inversiones.
▪ Lineamientos de Junta Directiva para determinar la actuación de la empresa sobre límites
y responsabilidades para el manejo del riesgo financiero.
▪ Informes de seguimiento al Comité de Auditoría.
▪ Interacción permanente con área comercial para incorporar en la estrategia la variabilidad
macroeconómica.

Riesgo No 12

Título del Riesgo: Riesgo de Fraude, Soborno y Corrupción.

Riesgos Corporativos 16
Descripción del Riesgo: Actos de fraude, soborno y corrupción por parte de los trabajadores
o los grupos de interés de la empresa.

Causas:

▪ Desconocimiento de la práctica y definiciones establecidas en el Sistema de Ética

Empresarial.
▪ Inadecuadas prácticas de Gobierno Corporativo.
▪ Cultura organizacional que propicie la justificación de conductas en contra de los
lineamientos del Sistema de Ética Empresarial.
▪ Deficiencia en controles de vigilancia, validación y aprobaciones y segregación de
responsabilidades no adecuadas.
▪ Presiones a las empresas (empleados, Directivos, Miembros de Junta Directiva) indebidas
o desproporcionadas, frente al logro de resultados.

Controles:

▪ Aplicación de elementos del Sistema de Ética Empresarial.

▪ Sistema de gestión control interno contable - Prácticas de aseguramiento de la información
financiera.
▪ Sistema Gestión Integral de Riesgos.
▪ Aplicación de la reglamentación para la contratación de bienes y servicios.
▪ Modelo de Reglamentación Interna que contiene segregación de responsabilidades y
delegaciones.
▪ Procedimientos de selección y vinculación del personal.
▪ Modelo de Seguridad de la Información y arquitectura de las TIC.
▪ Prácticas de manejo de información confidencial y propiedad intelectual.

Riesgo No 13

Título del Riesgo: Riesgo Regulatorio, Normativo y de Cumplimiento.

Descripción del Riesgo: Incumplimiento o desconocimiento de las leyes, normas y/o

regulación.

Causas:

▪ Falta de capacidad de respuesta ante la permanente emisión de normativa.

▪ Inadecuada o inoportuna revisión de la normatividad.
▪ Inadecuado seguimiento al cumplimiento normativo.
▪ Falta de claridad en la responsabilidad para el cumplimiento de la normativa.
▪ Diferencias en la interpretación de la normativa.

Controles:

Riesgos Corporativos 17
▪ Suscripción y consulta permanente de herramientas de actualización.
▪ Definición de responsables por temáticas de normativa.
▪ Participación en gremios del sector.
▪ Herramienta y procedimiento corporativo de gestión de la normativa.
▪ Participación activa en los talleres explicativos de normas y en los comentarios a proyectos
publicados por las entidades competentes.
▪ Sistemas de Gestión certificados.

Riesgo No 14

Título del Riesgo: Riesgo en la Gestión financiera.

Descripción del Riesgo: Inadecuada gestión financiera que impacte negativamente los
resultados de la empresa y la creación de valor en la misma.

Causas:

▪ Inexistencia o inadecuada transferencia y cobertura de riesgos.

▪ Inadecuada gestión de contratos de deuda con respecto a plazos, moneda, covenants,
entre otros.
▪ Inadecuada planeación financiera de corto y largo plazo.
▪ Inadecuada gestión del portafolio de excedentes.
▪ Inadecuada planeación tributaria.
▪ Inadecuado relacionamiento con proveedores de servicios financieros.
▪ Inadecuada valoración y detección de deterioro de las instituciones financieras.
▪ Eventos macroeconómicos.

Controles:

▪ Sistemas de información financiera.

▪ Revisión del perfil de riesgo y del programa de transferencia de riesgo.
▪ Seguimiento y aplicación de la reglamentación interna de excedentes de tesorería,
coberturas y deuda.
▪ Informes y seguimiento a la deuda y a la estructura de capital.
▪ Seguimiento a covenants con acreedores financieros.
▪ Planeación financiera y reprogramación trimestral bajo lineamientos formales.
▪ Estrategias de disponibilidad de recursos con los acreedores financieros.
▪ Seguimiento a indicadores de riesgos.
▪ Prácticas de relacionamiento con proveedores de servicios financieros.
▪ Seguimiento a eventos macroeconómicos y su impacto en la estrategia financiera.

Riesgos Corporativos 18
Riesgo No 15

Título del Riesgo: Riesgo Hídrico y de Variabilidad del Clima.

Descripción del Riesgo: Variabilidad climática e hidrológica que impacta negativamente la

producción de energía de las centrales hidroeléctricas de la empresa.

Causas:

▪ Evento ENSO (El Niño Oscilación del Sur) y otros factores climáticos.
▪ Deterioro de la cobertura vegetal en las cuencas de recurso hídrico.
▪ Cambios en el comportamiento de la precipitación y los caudales de las cuencas
hidrográficas de las centrales hidroeléctricas y de futuros proyectos.

Controles:

▪ Elaboración e implementación de modelos de estimación de caudales bajo escenarios de

variabilidad climática.
▪ Adecuada implementación y operación de una red de monitoreo de variables
climatológicas e hidrológicas en las cuencas de interés.
▪ Seguimiento a los análisis energéticos y anuncios de agencias climáticas nacionales e
internacionales.
▪ Promoción de políticas nacionales para el manejo ordenado del recurso hídrico.
▪ Conformación de un portafolio de generación considerando complementariedad
hidrológica con las centrales en operación.
▪ Promoción para la protección y el cuidado de las cuencas de interés.
▪ Investigación sobre los efectos del cambio climático en los recursos hídricos de ISAGEN
y sus futuros proyectos.

Riesgos Corporativos 19
Anexo 2
Tabla 1 Criterios de Calificación de Probabilidad de Ocurrencia

Probabilidad Constante Frecuente Moderada Ocasional Remota

Alta Significativa Mediana Baja Improbable,
probabilidad probabilidad probabilidad probabilidad difícil que
de Ocurrencia, de ocurrencia, de ocurrencia, de ocurrencia, ocurra.
Cualitativos
ocurre ocurre muchas ocurre varias poco
permanenteme veces. veces. frecuente.
nte.
Se espera la El evento El evento El evento El evento puede
ocurrencia del ocurrirá entre puede ocurrir puede ocurrir ocurrir en menos
Porcentuales evento en más el 15 y el entre el 10 y el entre el 3 y el del 3% de los
del 20% de los 19.9% de los 14,9% de los 9,9% de los casos.
casos. casos. casos. casos.
Nos ocurre Se presenta Se presenta Se ha Se ha
con cierta con alguna por lo menos 1 presentado presentado una
periodicidad (1 frecuencia (1 vez cada 6 alguna vez en vez en la
vez al mes). vez cada 3 meses. la Organización ó
Frecuencia
meses). Organización ó en el sector en
en el sector en los últimos 12
los últimos 6 meses.
meses.

Riesgos Corporativos 20
 Tabla 2 Criterios de Calificación de Impacto

Impacto Catastrófico Crítico Grave Moderado Leve

Pérdida Pérdida mayor o Pérdida mayor Pérdida mayor o Pérdida

mayor o igual que (>=) o igual que (>=) igual que (>=) el menor que
igual que (>) 3,7% y menor 1,35% y menor 0,5% y menor o (<) el 0,5%
Financiero 10% del que (<) el 10% que (<) el 3,7% que (<) el del valor de la
valor de la del valor de la del valor de la 1,35% del valor meta EBITDA
meta meta EBITDA meta EBITDA de la meta
EBITDA EBITDA
Impacto que Impacto que Impacto que Impacto que No hay
afecte la afecte la imagen afecte la afecte la imagen impacto que
imagen de la de la imagen de la de la afecte la
Organización Organización en Organización en Organización en imagen de la
en el el mercado a el mercado a un segmento de Organización.
mercado a nivel nacional nivel regional o clientes, en un
Reputaciona
nivel (incluye local. cliente
l
internacional mercado importante o a
(incluye regional o local). nivel de
mercado inversionistas.
nacional,
regional o
local).
Pérdida de Tres o más Más de 7 Siete o menos No se
vidas accidentes accidentes en el accidentes en el presentan
humanas o graves en un año año accidentes
que se año. relacionados relacionados laborales en
Vidas genere con actividades con actividades el año, que
Humanas incapacidad de trabajo, que de trabajo, que produzcan
laboral produzcan cada produzcan cada una
permanente. uno una uno una incapacidad
incapacidad de incapacidad de de más de 10
más de 10 días. más de 10 días. días.

Riesgos Corporativos 21
 Impacto Catastrófico Crítico Grave Moderado Leve

O hasta dos
accidentes
graves en un
año.

Intervención Sanciones que Sanciones Solicitud de N/A

de la impliquen cierre económicas aclaraciones por
Organización de instalaciones definitivas parte de
por parte de por impuestas por órganos de
órganos de incumplimiento órganos de control u otras
control u de las normas control u otras entidades por
Intervención
otras establecidas / entidades por incumplimientos
y/o
entidades operaciones / Incumplimientos legales y/o
Sanciones
por obligaciones legales y/o contractuales.
Incumplimien contractuales. contractuales.
tos legales
y/o
contractuales
.
El impacto El impacto no El impacto El impacto El impacto
causado es alcanza a ser causado es causado es causado es
irreversible y mitigado con los perceptible y perceptible y se mínimo o
no es controles reversible puede mitigar imperceptible.
susceptible operacionales y se puede con los Requiere
de ser existentes, mitigar a través controles seguimiento
Medio
corregido, medidas de las medidas operacionales para
Ambiente
mitigado o establecidas en establecidas en existentes. El garantizar
compensado el PMA o no se los PMA. El área afectada que no
cuenta con la impacto es por el impacto aumente su
infraestructura susceptible de es puntual o magnitud
requerida y es ser mitigado inferior a 1 Ej: alteración
necesario hectárea. El del paisaje

Riesgos Corporativos 22
 Impacto Catastrófico Crítico Grave Moderado Leve

implementar impacto es durante la

acciones susceptible de operación de
adicionales para ser corregido una central
su control. El
impacto es
susceptible de
ser compensado

Impacto que Impacto que Pérdida de Impacto que N/A

genera genere medios de genera
pérdida y/o enfermedades o trabajo o reclamos ante la
afectación de que afecte el productivos de Organización
vidas estado de salud la comunidad por prácticas o
Sociales humanas de de la comunidad de las zonas de actividades que
miembros de de las zonas de influencia. puedan afectar
la comunidad influencia. el bienestar de
de las zonas la comunidad de
de influencia. las zonas de
influencia.
Pérdida de Pérdida de Pérdida de Pérdida de Pérdida de
información información de información de información de información
crítica de la la Organización la Organización la Organización de la
Organización o de terceros de o de terceros o de terceros Organización
o de terceros difícil que sea que sea o de terceros
Operativos que no se recuperación. recuperable recuperable y que sea
puede pero que que ocasione recuperable
recuperar. ocasione retrasos en las pero que no
(Activos retrasos labores de las ocasione
críticos) significativos en áreas diferentes retrasos en
las labores de

Riesgos Corporativos 23
 Impacto Catastrófico Crítico Grave Moderado Leve

las áreas core a las core de la las diferentes

de la Organización. áreas.
Organización.

N/A Genera Genera Genera Genera

reprocesos y/o reprocesos y/o reprocesos y/o reprocesos
retrasos que retrasos en los retrasos en los y/o retrasos
impacta a nivel procesos de la asuntos de en las
organizacional. Organización. trabajo de la actividades
Organización. de la
Organización.
Interrupción Interrupción de Interrupción la Interrupción de NA.
de la continuidad continuidad de las operaciones
continuidad de las las operaciones de la
de las operaciones de de la Organización
operaciones la Organización organización menor a 12
de la entre 1 y 2 días. entre 12 y 23 horas
Organización horas.
por más de 2
días.

Riesgos Corporativos 24
Título del documento