Gestión integral de riesgos

Marco de referencia:

En el Grupo EPM la Gestión Integral de Riesgos (GIR) está estructurada a partir de varios elementos, entre ellos se destaca la Política GIR como una declaración del compromiso de la alta dirección con la gestión y con la mitigación de los riesgos. Con el propósito de lograr un panorama completo de los riesgos a los que está expuesto el Grupo, éstos se identifican en los diferentes niveles de gestión de la organización y se definen diferentes líneas de reporte de acuerdo con su criticidad. Otro de los elementos fundamentales para esta gestión, es la existencia del proceso Gestión Integral de Riesgos definido de manera oficial en el modelo de procesos de la organización y su estructura organizacional asociada.

Como parte del proceso GIR se ha desarrollado una caja de herramientas para la identificación, valoración cualitativa y cuantitativa de riesgos, todas enmarcadas en la Metodología Corporativa de Gestión Integral de Riesgos que toma como referentes las mejores prácticas nacionales e internacionales, incluyendo la ISO 31000.

Como una función organizacional en EPM se encuentra definido el esquema de “Middle Office” dedicado al diseño y aplicación de metodologías para la cuantificación, revisión y monitoreo de los riesgos financieros asociados a la administración de excedentes de liquidez y de la definición de la normatividad asociada, adicionalmente esta función tiene definida una línea de reporte al Vicepresidente Ejecutivo Finanzas Corporativas Gestión de Riesgos e Inversiones y al Vicepresidente Auditoría Corporativa.

Mecanismos de reporte de riesgos:

Los riesgos de nivel más alto son los que se identifican y se valoran a nivel de “Grupo Empresarial”, estos se reportan a la Junta Directiva, su monitoreo periódico se realiza en dos instancias: en el Comité de Gerencia donde participan los Vicepresidentes de primer nivel de negocios y de soporte y en el Comité de Auditoría, que está conformado por tres miembros independientes de la Junta Directiva, asisten como invitados el Vicepresidente Ejecutivo Finanzas Corporativas Gestión de Riesgos e Inversiones, el Vicepresidente Auditoría Corporativa y un representante de la firma de auditoría externa.

Los riesgos de cada “Negocio” son aprobados por la Vicepresidencia de Negocio respectiva (Generación Energía, Transmisión y Distribución Energía, Gas, Agua y Saneamiento, Comercial), su monitoreo periódico es realizado por las Unidades Gestión del Rendimiento de cada negocio que tienen como función realizar el seguimiento de estos riesgos y sus planes de mitigación.

A nivel “Empresa”, se tienen matrices de riesgos para cada una de las empresas filiales operativas nacionales e internacionales del Grupo, estas son aprobadas por la Junta Directiva y el monitoreo periódico se realiza en el Comité de Gerencia o Comité de Auditoría de cada empresa.

Las matrices de riesgos de proyectos, procesos y contratos son aprobadas por su responsable el cual puede ser jefe de estructura, Director y Sponsors del proyecto o requeridor de contrato. De acuerdo con la criticidad de los riesgos, estas matrices son presentadas a los Vicepresidentes responsables según donde pertenezca el proceso, si son proyectos a la Vicepresidencia Proyectos e Ingeniería y en el caso de los contratos al Vicepresidente de Cadena de Suministro o al Comité de Contratación.

Como parte del gobierno de los riesgos, estos también son analizados en otros comités de carácter táctico, como el Comité Gestión Integral de Riesgos, Comités Financieros o de Cumplimiento Normativo.

Además de los ejercicios de riesgos mencionados en los niveles de gestión organizacionales, se realizan también análisis de riesgos especializados que obedecen a estudios específicos de riesgos para la toma de decisiones oportuna, como ejemplo de estos ejercicios se destacan los análisis de Riesgos del mercado eléctrico, Riesgos financieros del portafolio de excedentes de liquidez, Cobertura de lucro cesante por baja hidrología, Cuantificación de riesgos en proyectos (CAPEX y VPN en riesgo), Cuantificación de riesgos de daño, rotura y lucro, Análisis de estrés de los estados financieros debido a la materialización de posibles riesgos, entre otros.

Matriz de Riesgos Grupo EPM

*El Perfil de riesgo para el Grupo EPM es la representación de la exposición general que tiene el Grupo Empresarial a un determinado número de riesgos en un momento dado medido con base en el índice de riesgos, un número que puede tomar valores entre 0 y 1, donde 0 es lo menos riesgoso y 1 lo más riesgoso y representa el nivel de riesgo de la matriz en su conjunto.

Top 10 Riesgos Grupo EPM

Código Agrupador Nombre del riesgo Nivel de Riesgo
3Planeación y crecimientoDificultades en la gestión de proyectos de infraestructura. 
4Gestión del grupo empresarialImplementación inadecuada del modelo de relacionamiento diseñado para actuar como Grupo. 
7Gestión de la informaciónGestión inadecuada de la información en el Grupo EPM. 
9Lavado de activosDesarrollo de actividades para dar apariencia de lícitos a recursos de origen ilícito (Lavado de activos). 
11PolíticoInjerencia por parte de agentes políticos en la Gestión del Grupo Empresarial que dificulte el logro de los objetivos estratégicos o limite la autonomía presupuestal, financiera y administrativa. 
13Orden públicoAfectación a la integridad de las personas y/o daños a la infraestructura por orden público. 
15Gestión del talento humanoAfectación a la seguridad y la salud de las personas por condiciones y situaciones laborales. 
19MercadoCambios en las variables de mercado que puedan generar pérdidas económicas al Grupo EPM. 
24Naturales y antrópicosEvento natural que afecte la operación de las empresas del Grupo EPM. 
29Jurídico y regulatorioCambios adversos en la normatividad tributaria. 

Riesgos emergentes

En el ejercicio de actualización de la matriz de riesgos de Grupo 2017, se identificó que los siguientes riesgos continúan como emergentes, dado que son relativamente nuevos, de alto grado de incertidumbre y con tendencia a incrementar en su nivel de riesgo.

RiesgosPrincipales impactos potencialesPrincipales acciones de mejoramiento
8Escasez o dificultad para acceder a recursos naturales para la prestación de los servicios o el crecimiento futuro de los negocios

Generación:

  • Desaprovechamiento de la capacidad instalada de las plantas.
  • Disminución de la posibilidad de desarrollar nuevos proyectos con la capacidad óptima.
  • Disminución de los ingresos por generación eléctrica.
  • Disminución de transferencias.

Aguas:

  • Disminución del rendimiento hídrico.
  • Pérdida de la capacidad de regulación.
  • Aumento de la cantidad de sedimentos y algas.
  • Aumento en los costos de operación.
  • Pérdida de recaudo en tarifa.
  • Racionamiento de los circuitos atendidos.
  • Afectación de la calidad del agua de la fuente abastecedora.
  • Evaluación de la oferta/demanda/infraestructura de captación 2016-2050.
  • Mesas interinstitucionales de calidad del agua.
  • CuencaVerde. Acciones de protección hídrica en cuencas y diálogos por la custodia del Agua en el Oriente Antioqueño.
  • Convenios con Corporaciones regionales ambientales.
  • Evaluación de mecanismos de respaldo de suministro de Gas.
  • Conservación de bosques.
  • Restauración y reforestación.
  • Prácticas y usos sostenibles.
  • Modelación de cuencas.
24Evento natural que afecte la operación de las empresas del Grupo EPM
  • Lesiones personales / muerte de empleados y contratistas.
  • Daños materiales.
  • Pérdidas financieras.
  • Interrupciones en la prestación del servicio.
  • Afectación de la reputación e imagen.
  • Generación de impactos ambientales.
  • Afectación de comunidades o infraestructura.
  • Multas y demandas.
  • Iniciativa de Continuidad del Negocio.
  • Gestionar la mitigación y adaptación al Cambio Climático.
26Ataques cibernéticos
  • Sabotaje
  • Modificación o eliminación de datos.
  • Violación de la propiedad intelectual, plagio y difamación.
  • Afectación de la reputación.
  • Alteración de los activos críticos y ciber activos.
  • Discontinuidad o interrupción en el servicio (energía, aguas, gas).
  • Afectación a la integridad y bienestar de las personas.
  • Daños ambientales.
  • Diagnosticar la ciberseguridad TI.
  • Implementar controles de ciberseguridad.
  • Adquisición de cobertura en el mercado asegurador para ciber-riesgo.
  • Implementar funcionalidades de protección.
  • Habilitar controles en portátiles y en medios removibles.
  • Potenciar el marco normativo interno.
29Cambios adversos en la normatividad tributaria
  • Mayores presiones tributarias.
  • No cumplir con los supuestos de los planes de negocio.
  • Incremento en el valor facturado al usuario por SSPP (IVA).
  • Crear comité para seguimiento a la evolución de la reforma tributaria con Relaciones Externas.
  • Realizar gestión con gremios frente al Congreso sobre los impactos de la reforma tributaria.
  • Monitorear la evolución del trámite legislativo.
  • Analizar y gestionar alternativas de mitigación de impactos de la reforma tributaria.
Fuentes Definición de Riesgo Emergente: Risk and Insurance Management Society, Inc. (RIMS). lRIMS executive Report – The Risk Perspective. Emerging Risks and Enterprice Risk Management, New York, NY 10018.

Acciones propuestas para la mitigación de los riesgos

Cada uno de los riesgos identificados en la matriz de riesgos del Grupo EPM cuenta con un responsable al nivel de Vicepresidencia, quien es el encargado de definir las acciones de mejoramiento para mitigar el riesgo y de integrar a los actores relevantes en la gestión del mismo. Al cierre del 2017, se propusieron acciones de mejoramiento para tratar los riesgos de Grupo, cada acción se documentó de manera detallada, con su resultado esperado, fechas de inicio y vencimiento, responsable líder y responsable de implementación.

Acciones claves Gestión Integral de Riesgos 2017:

El mapa de riesgos de Grupo EPM, es el insumo principal para la actualización de los mapas de los niveles de gestión definidos en el modelo de Gestión Integral de Riesgos. Durante el año 2017 se realizaron las actualizaciones de los siguientes mapas de riesgo:

  • Negocios: Generación; Transmisión y Distribución; Gas; Provisión Aguas; Gestión Aguas Residuales y Gestión Residuos Sólidos.
  • Empresas Nacionales: CENS, ESSA, CHEC, EDEQ, Aguas de Malambo, Aguas de Oriente, Aguas Regionales, Aguas Nacionales, EPM Inversiones y Emvarias.
  • Empresas Internacionales: Parque Eólico los Cururos, Adasa, EPM Chile, HET, Ticsa y Delsur.
  • Este año se realizaron las primeras versiones del mapa de riesgo de:
    • Trelec, Empresa perteneciente a la corporación Deca II, domiciliada en Guatemala.
    • EPM Transmisión Chile.

Adicionalmente se alcanzaron los siguientes logros:

  • Actualización de mapas de riesgos de 57 procesos documentados y priorizados en las empresas del Grupo.
  • Análisis de riesgos en 144 Proyectos.
  • Análisis de riesgos en 154 contratos mayores a 5,000 SMLVMV en EPM.
  • Se realizaron 109 análisis de riesgos especializados, entre ellos:
    • Gestión de riesgos basada en escenarios extremos.
    • Análisis del riesgo sistémico en el Mercado de Energía Mayorista.
  • Dentro del programa de control de riesgos, durante el año 2017, se realizaron 17 visitas a Centrales de Generación, subestaciones de Energía, instalaciones del Centros de Operación y Mantenimiento. Generando los correspondientes informes para el tratamiento de los riesgos asociados a seguridad humana, incendio, rotura de maquinaria, Actos Malintencionados de Terceros (AMIT), continuidad de la operación entre otros.
  • Se realizaron los Bussiness Impact Analysys (BIA’s) de todos los negocios de EPM y de las filiales de energía.
  • En cuanto al PADEC, Protocolo para la atención de eventos y crisis,se entrenó al 86% de los jefes de estructura de EPM, 188 profesionales y 15 tecnólogos de operación y seguridad.
  • Se diseñó un curso virtual del PADEC, el cual se difundirá durante el 2018.
  • Se realizó acompañamiento a la Vicepresidencia Comunicaciones en la revisión y actualización del manual de comunicaciones para eventos adversos y crisis.
  • Consolidación por el tercer año del programa de seguros nacional e internacional y de servicio de corretaje nacional. Que continúa mostrando eficiencias en primas y condiciones técnicas homogéneas, gestión de los siniestros con lineamientos uniformes y eficiencias administrativas.
  • Gestión y contratación de una cobertura para transferir el riesgo de ataques cibernéticos con un enfoque especializado en posibles impactos a la infraestructura de los negocios de EPM.
  • Maxseguros EPM, empresa cautiva del Grupo, ratificó su calificación A- perspectiva estable con la firma AM Best (New Jersey), lo cual demuestra la confianza y respaldo de las acciones llevadas a cabo en el último año.
  • Como parte de la cadena de Gestión Integral de Riesgos para el Grupo EPM, Maxseguros aportó en la renovación de las pólizas para la vigencia 2017 – 2018, consiguiendo muy buenos resultados pese a la existencia de eventos siniestrales relevantes.
  • Maxseguros EPM mantuvo su retención en las pólizas de Daños Materiales + Lucro Cesante, Directores y Administradores e Infidelidad y Riesgos Financieros, de igual manera participó como facilitador en las pólizas de Responsabilidad Civil y Errores y Omisiones. Por su gestión activa y retención en las diferentes pólizas del Grupo EPM, Maxseguros EPM participa como un reasegurador más en la cadena de aseguramiento y de esta manera obtiene información de primera mano y presencia en el trámite y ajuste de siniestros.
Energía prepago Aguas prepago Unidos por el agua Lectura a tu medida Tarjeta Somos Grupo EPM