Gestión del Riesgo

¿CÓMO SE GESTIONA EL RIESGO?

En ISA se utiliza la gestión integral de riesgos (GIR), esta es la implementación homologada y sistemática de un conjunto de acciones tendientes al manejo óptimo de los riesgos en todos los procesos. 

El marco de actuación y los criterios para dicha gestión en el Grupo Empresarial ISA están definidos en la Política de Gestión Integral de Riesgos, la cual además establece la metodología de implementación del ciclo de GIR y las responsabilidades.

El grupo ISA cuenta con un sistema de gestión integral de riesgos que permite la homogeneización de un ciclo para la identificación, valoración y administración de riesgos a todos los niveles de las organizaciones; la documentación de las exposiciones a los riesgos de las compañías y la revisión periódica de su gestión. 

A continuación se presentan los antecedentes de la Gestión Integral de Riesgos  en ISA y los elementos básicos de ésta, siguiendo el esquema definido para la implementación del ciclo de GIR, además de información general de la Gestión de Riesgos en las empresas del Grupo.

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS

El grupo empresarial ISA dispone de una Política para la Gestión Integral de Riesgos, la cual establece el marco conceptual y de actuación para la implementación objetiva, sistémica y homologada de acciones tendientes al manejo óptimo de los riesgos a nivel corporativo, con el fin de incrementar la ventaja competitiva, garantizar la continuidad del negocio frente a los diferentes riesgos a los cuales se encuentra expuesta la compañía y preservar la integridad de los recursos empresariales.

En esta política, el grupo declara la intencionalidad estratégica de la Gestión de Integral de Riesgos y asigna responsabilidades explícitas a todos los gerentes y sus equipos de trabajo. 

METODOLOGÍA DE GESTIÓN INTEGRAL DE RIESGOS

 La metodología utilizada para la Gestión Integral de Riesgos en el Grupo ISA ha sido desarrollada internamente.  Ésta es el resultado de la combinación de los elementos más relevantes y aplicables a la realidad de las empresas del grupo.

En el marco de esta metodología se define el ciclo de Gestión Integral de Riesgos, el cual incluye las etapas de identificación, evaluación, manejo, monitoreo, consolidación y comunicación y divulgación de los riesgos; cuya aplicación sistemática favorece un manejo óptimo de los riesgos. 

En el siguiente esquema se representan las etapas del ciclo, cuyo desarrollo no necesariamente se realiza de manera secuencial; su aplicación es cíclica y dinámica y algunas de las etapas pueden desarrollarse simultáneamente o puede presentarse retroalimentación entre éstas.

IDENTIFICACIÓN

Es el proceso para determinar los posibles eventos que afecten los recursos o desvíen el logro de los objetivos del Grupo Empresarial.

Como resultado de la aplicación de esta etapa, ISA y sus Empresas, han identificado 16 riesgos que representan su exposición actual. 

Para cada uno de los riesgos se crea una descripción breve adicional, la cual junto con el nombre asignado al riesgo, conforma la definición del mismo.

Adicionalmente, para cada riesgo, se identifican sus componentes: que son riesgos en sí mismos, a un nivel de detalle mayor. Se refieren de una manera más explícita a las causas o formas en las que podrían materializa de los riesgos. las causas o formas en las que podrían materializa de los riesgos.

A continuación, es útil agrupar los riesgos por categorías. En ISA se tienen las siguientes categorías:

Riesgos Estratégicos: Aquellos cuya ocurrencia ocasiona una disminución del ritmo de crecimiento y el incumplimiento de objetivos empresariales.  Están directamente asociados a la estrategia y sostenibilidad del negocio en el largo plazo. 

Riesgos Operacionales: Relacionados con la dependencia que la empresa tiene de sus procesos y personas.  Evidencian fallas en la ejecución de actividades, deficiencia o ausencia de procedimientos, y fallas en la gestión del capital humano, tecnológico y organizacional. 

Riesgos del Entorno: Riesgos de origen externo relacionados con aspectos normativos, políticos, sociales, de clientes o proveedores, fenómenos naturales, entre otros, que afectan las operaciones y el normal funcionamiento de la empresa.

Finalmente, para cada uno de los riesgos se identifica el tipo de origen del riesgo, el cual puede ser interno, externo o ambos.

EVALUACIÓN

Es la medición del riesgo frente a su probabilidad de ocurrencia y la severidad de sus consecuencias, de acuerdo con las escalas preestablecidas para cada recurso. Permite identificar las prioridades para su gestión.

La valoración de los riesgos consiste en evaluar la posible afectación de cada uno de los riesgos sobre los Recursos Empresariales en términos de la probabilidad y la severidad de sus consecuencias; según la escala de valoración definida en cada caso. Se ha definido una escala de probabilidad y cuatro escalas de severidad, una para cada recurso. 

 Se hacen dos valoraciones de riesgo: Pura y Residual. En ambos casos se califica la probabilidad y la severidad para estimar la exposición de la compañía a los riesgos.  En la valoración residual se tienen en cuenta las medidas de administración implementadas para gestionarlos.  Se espera que si las medidas son efectivas, la valoración del riesgo residual sea menor que la del riesgo puro.

Desde el 2008 ISA utiliza la metodología de valoración basada en la construcción de escenarios de riesgos, aplicando los siguientes pasos:

Identificación y documentación de los eventos concretos de materialización de cada uno de los riegos que podrían afectar de manera importante al menos uno de los recursos empresariales y descripción de las consecuencias de esas afectaciones sobre cada recurso.

Valoración de la severidad del evento sobre los recursos, haciendo uso de la escala definida para cada uno de ellos. 

Valoración de la probabilidad de ocurrencia del evento con las características y consecuencias definidas, utilizando la escala de valoración de probabilidad.  De acuerdo con lo anterior, no se valora la probabilidad simple de ocurrencia de los riesgos, sino la probabilidad de que ocurra dicho evento y que afecte los recursos empresariales según las consecuencias definidas.   

Valoración consolidada de los riesgos: Como resultado de un análisis combinado de las valoraciones logradas para cada uno de los eventos, se asigna un nivel de probabilidad y severidad a la afectación que cada riesgo puede causar en los cuatro recursos empresariales. 

MANEJO 

 

Es la aplicación de medidas con el fin de disminuir la probabilidad de que se materialicen los riesgos o la severidad de sus consecuencias frente a los recursos fundamentales de la empresa.

Una vez identificados y valorados los riesgos, la empresa debe tomar decisiones y actuar. 

Las decisiones respecto a los riesgos incluyen aceptarlos, eliminarlos o gestionarlos.  Aceptar los riesgos implica no definir medidas para mitigarlos. 

Eliminar podría incluir dejar de ejecutar la actividad que genera el riesgo, modificar por completo procedimientos o asignación de recursos, entre otros.  

Gestionar los riesgos se refiere a definir e implementar medidas para administrarlos; éstas pueden ser de prevención, las cuales disminuyen la probabilidad de que se materialicen los riesgos o, de protección, que disminuyen la afectación sobre los recursos fundamentales de la empresa.  Entre las medidas de protección se incluyen las de transferencia y retención de riesgos.

Este es el esquema definido por ISA para la administración de riesgos.

MONITOREO

 

Comprobar, supervisar, observar críticamente y registrar el progreso de una actividad, acción y/o sistema en forma integral y periódica, para identificar cambios y retroalimentar oportunidades de mejoramiento para la Gestión Integral de Riesgos.

Como parte del ciclo de la Gestión Integral de Riesgos en ISA, la etapa de monitoreo corresponde a la actividad de retroalimentación que mediante un mecanismo de supervisión integral y periódica, le permite a la compañía reconocer oportunidades de cambio y mejora dentro del ciclo, identificar qué factores pueden afectar la probabilidad y la severidad de la valoración pura o residual de los riesgos y las medidas de administración, sus costos o su efectividad; además de demostrar la efectividad de estas medidas.

Para monitorear el comportamiento de los riesgos en los procesos y determinar qué tan efectivas han sido las medidas de administración, se puede efectuar un proceso de autoevaluación, realizar una evaluación con personal ajeno al proceso o a la responsabilidad de aplicar las medidas o, buscar un análisis independiente que garantice una evaluación crítica respecto a la efectividad de la gestión de los riesgos.  Adicionalmente, es útil definir indicadores a través de los cuales se obtenga información relevante sobre el comportamiento de los riesgos.

En la etapa de manejo han sido identificadas o asignadas las responsabilidades respecto a la aplicación de cada medida de administración; los responsables allí identificados son los encargados de realizar la autoevaluación periódica y garantizar que las medidas se aplican y siguen siendo efectivas.

COMUNICACIÓN Y DIVULGACIÓN

 

Poner en común información, ideas y habilidades orientadas hacia la apropiación y la concientización de la Gestión Integral de Riesgos en todas las etapas del ciclo

En cada empresa se identifican las necesidades específicas y la mejor forma para lograr una adecuada comunicación, divulgación e incorporación de la gestión integral de riesgos en la cultura empresarial.  Así mismo, se definen los mecanismos o esquemas para lograr la aplicación de esta etapa utilizando los recursos y herramientas de las que se dispone en cada empresa.

En ISA, el estado del Sistema de Gestión Integral de Riesgos y sus principales productos, son presentados en diferentes instancias de la organización como son:

• Grupos Primarios de las direcciones y gerencias
• Grupo de líderes técnicos del Sistema Integrado de Gestión
• Comité Corporativo
• Junta Directiva
• Comité de Auditoría 

CONSOLIDACIÓN

 

Es el proceso a través del cual se agregan de manera coherente y consistente todos los riesgos de la Organización.

El objetivo de esta etapa incluye tanto la consolidación de la información resultante de la implementación de las demás etapas del ciclo, como la posibilidad de agregación de los riesgos de manera que sea factible identificar posibilidades de materialización simultánea de algunos de ellos, interrelaciones o correlaciones existentes entre los mismos,  aplicación de medidas de administración que mitiguen paralelamente varios riesgos, retroalimentaciones, entre otras.

La adecuada consolidación de la información asociada con los riesgos es responsabilidad del Equipo de Gestión de Riesgos.  El resultado de la aplicación del ciclo de gestión de riesgos queda consolidado en:

• El mapa de riesgos descrito en la etapa de identificación
• Las matrices de valoración de riesgo puro y residual para cada recurso
• Las fichas de riesgos que incluyen la documentación de las definiciones, componentes, escenarios de riesgos, valoración pura y residual para cada recurso y medidas de administración con sus responsables y demás atributos. 

En ISA, la Gerencia Finanzas Corporativas, de la cual hace parte el Equipo Gestión de Riesgos, es quien recoge las apreciaciones de la organización en cuanto a los riesgos, su evolución y gestión y propone formas para sintetizar, comunicar y divulgar toda la información referente a los mismos.

A continuación se puede visualizar un video que complementa este tema: