En ISA y sus empresas la gestión integral de riesgos soporta las decisiones estratégicas, es transversal y de gran importancia para la organización ya que tiene el fin de proteger y preservar la integridad de los recursos, la continuidad y sostenibilidad de los negocios.
Contamos con un procesos sistemático y homologado de identificación, análisis, evaluación, monitoreo y comunicación de los riesgos a los que estamos expuestos, con el objetivo de minimizar los impactos sobre nuestros recursos empresariales y aprovechar las oportunidades en la estrategia, los proyectos, los procesos y las operaciones.
Conoce mas de nuestro sistema de gestión integral de riesgos:
ISA se compromete de manera responsable, transparente y ética a gestionar los riesgos y las oportunidades; con el fin de crear valor para sus grupos de interés, mantener su ventaja competitiva y contribuir al desarrollo de las sociedades donde tiene presencia.
La Junta Directiva y Comité de Presidencia de ISA son conscientes de los riesgos y participen activamente en su gestión.
Se fomenta en la organización la toma de decisiones basadas en riesgos, se promueve talleres, foros, entrenamientos, el uso de nuevas herramientas con la alta gerencia, líderes y colaboradores para el fortalecimiento de la cultura de la gestión y reporte de riesgos.
Se realiza seguimiento de los principales riesgos, sus medidas de administración actuales y futuras, sobre la información reportada a los diferentes grupos de interés, y planes de trabajo asociadas a recomendaciones de las autoridades de supervisión y entes de control.
Se impulsa el avance del modelo y revisión de los riesgos emergentes, así como de los riesgos empresariales más críticos y sus medidas de administración, planes de trabajo, el plan de continuidad de negocio, los análisis de los riesgos materializados, la gestión de crisis y de los riesgos de cumplimiento, asegurables, ciberseguridad y los asociados a la naturaleza.
El ciclo de gestión de riesgos está basado en el estándar ISO 31000 y alineado con las mejores prácticas, y la implementación se soporta bajo valores y normas que orientan el ciclo de gestión integral de riesgos en todos los niveles y habilitan a la organización para gestionar los efectos de la incertidumbre sobre los objetivos, y son:
Permiten asociar los riesgos con temáticas comunes y son aplicables para todas las empresas. Tanto la tipología como las categorías posibilitan hacer análisis específicos y generar reportes ejecutivos y hacer correlaciones.
Para la ubicación de los riesgos se realiza una asociación con las causas relevantes de los riesgos, más que con las consecuencias.
La valoración de los riesgos dependerá de la naturaleza de cada categoría de riesgos; actualmente ISA y sus empresas cuenta con tres recursos (financiero, reputacional y personas) que permiten priorizar los riesgos identificados.
La valoración de los riesgos dependerá de la naturaleza de cada categoría de riesgos; actualmente ISA y sus empresas cuenta con tres recursos (financiero, reputacional y personas) que permiten priorizar los riesgos identificados.
Los análisis de sensibilidad durante este año fueron realizados principalmente para:
La gestión del riesgo cibernético en ISA y empresas se articula al modelo de gestión integral de riesgos y es analizado desde el ámbito de TI y TO, siguiendo las buenas prácticas basadas en los marcos ISO 27001 y NIST para la estructuración de mecanismos de control y monitoreo de amenazas y vulnerabilidades cibernéticas. Al ser un riesgo relevante y categorizado como prioritario en su valoración, su gestión es impulsada por la alta gerencia en todos los niveles de la Compañía y líneas de negocio, haciendo participes a los colaboradores en la responsabilidad para su adecuada identificación y tratamiento.
Dada la criticidad de este riesgo para la continuidad operacional y seguridad de la información, su gestión se realiza para el corto y mediano plazo a nivel de riesgo empresarial y de procesos y en el largo plazo a nivel de riesgo emergentes, permitiendo un análisis holístico para el robustecimiento de la estrategia de ciber seguridad en el aseguramiento de las etapas del ciclo de vida de los activos y transferencia del riesgo al mercado asegurador.
En ISA, la transferencia de riesgos al mercado asegurador se soporta en el entendimiento objetivo y cuantitativo de los impactos de los riesgos a los cuales está expuesta la operación como son: el recurso humano, el medio ambiente, la reputación, los activos y la tecnología. Este entendimiento se origina en la gestión integral de riesgos mediante la articulación sinérgica de los equipos de riesgos y seguros y avanza hacia la aplicación de técnicas de costo total de riesgo para escenarios críticos, cuantificación de riesgos y análisis de distribución de pérdidas de eventos históricos, los cuales apalancan la toma de decisiones para la negociación optima sobre la relación cobertura de riesgos y costo de los seguros.
Para robustecer el seguimiento se creó la dimensión de cumplimiento (CO) y se ampliaron las categorías incluyendo en lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva (LF – LA/FT/FPAMD); privacidad de información (PI) y fraude, corrupción y soborno (FC). El alcance de la gestión de riesgos de cumplimiento está asociado con la declaración de “Cero acciones ilegales o faltas a la ética” realizada en el ejercicio de apetito y tolerancia de riesgos de ISA y sus empresas.
La evaluación de riegos para la biodiversidad se aborda, en el corto y mediano plazo, desde las tipologías de riesgos “Ambiental” y “Fenómenos naturales y cambios climatológicos extremos”, mediante un enfoque Top-down y Bottom -up considerando:
En el largo plazo, desde lo riesgos emergentes, se evalúa la pérdida de biodiversidad con impacto en la organización; principalmente en las regulaciones más estrictas, en la necesidad de mayor inversión y potencial retrasos de proyectos. Sin embargo, también ofrece oportunidades de implementar acciones que aprovechan el poder de la naturaleza para abordar algunos de nuestros desafíos.
