La alta dirección participa activamente en la visión de riesgos de Promigas y por tanto la Gestión Integral de Riesgos facilita el proceso de toma de decisiones para el cumplimiento de los objetivos corporativos.
Para el fortalecimiento del ambiente de control y cultura de riesgo en la organización, Promigas tiene implementada el modelo de las tres líneas. Con esto busca gestionar de manera efectiva los riesgos a través de la asignación clara de las responsabilidades sobre riesgo, control y supervisión. Esta metodología se basa en el ciclo de las siguientes seis etapas:
En 2021, se llevó a cabo la identificación, medición y monitoreo de los diferentes procesos de la compañía a todo nivel, lo que le facilitó a la alta Dirección una visión completa sobre los riesgos y su adecuada gestión, clasificados en:
- Riesgos estratégicos, en los cuales se ajustó la metodología contemplando el Plan Estratégico a 10 años, en tres alcances, corto, mediano y largo plazo.
- Riesgos inherentes de mayor impacto
- Riesgos de negocio
- Riesgos de seguridad de la información y ciberseguridad
- Riesgos de corrupción y de lavado de activos y financiación del terrorismo
Igualmente, en las diferentes empresas del portafolio se fortaleció el monitoreo de riesgos a nivel estratégico e inherente de mayor impacto, y se formalizó el seguimiento semestral y reporte al Comité de Riesgos y Cumplimiento y a la Junta Directiva de Promigas.
Para los anteriores, se definió y aprobó en la Junta Directiva el rol de Risk Champion, cuyas principales funciones y responsabilidades son:
- Estar familiarizado con los riesgos a cargo, en términos de definición, valoración y controles asociados.
- Ayudar al equipo a interpretar y utilizar información basada en riesgos en la toma de decisiones.
- Proveer apoyo a sus equipos de trabajo en el fortalecimiento de acciones mitigantes y controles.
- Fortalecer la cultura de riesgos en sus equipos de trabajo.
También, se realizó el primer monitoreo de riesgos de negocio, con alcance a aquellos de nivel extremo.
Otros hechos relevantes de la gestión de riesgos fueron:
- Se aprobó e implementó la Política de Cumplimiento Normativo y sus procedimientos, y se avanzó en la primera fase consistente en la identificación, calificación y aseguramiento del cumplimiento de la norma aplicable a los procesos de todas las empresas del portafolio.
- Se creó el canal para la atención de consultas y declaraciones de conflictos de interés por parte de terceros y de colaboradores, a través de la web, a fin de fomentar la revelación y atención oportuna de estas situaciones.
- Se incluyó la Inadecuada Gestión del Cambio Climático (físicos y de transición) como riesgo estratégico de la compañía, para dar mayor relevancia y fortalecer el compromiso de la organización con medioambiente.
- Se fortaleció la gestión de riesgos sobre reporte financiero, SOX, al aumentar de 76 % a 93 % la efectividad de los controles de 23 puntos en las pruebas de primera fase en 2021.
- Se integró la evaluación de riesgos de terceras partes como actividad regular del proceso de compras / creación de terceros.
- Capacitamos en gestión del riesgo a 234 proveedores, representados con 387 asistentes, como parte del programa Conexiones Promigas.
- Para el GEN transporte, se definieron e implementaron indicadores corporativos, relacionados con el seguimiento a riesgos de Seguridad de la Información y Ciberseguridad.
- Se llevó a cabo un piloto en CEO del diagnóstico de cultura de ciberseguridad, con enfoque en las personas, que permitió conocer el nivel de apropiación y aplicación de conceptos y controles claves.
Gestionando los riesgos y oportunidades con una visión integrada.Dentro de la Gestión de Riesgos y Oportunidades, se pudo identificar cada uno de ellos, de acuerdo con la definición de tres grandes categorías de riesgos, las cuales son:
Estratégico emergente: Riesgos nuevos o que emergen de condiciones, situaciones o tendencias locales o internacionales que podrían afectar significativamente la solidez financiera, la posición competitiva o la reputación de la compañía o del sector. Adicionalmente, tienen baja frecuencia, alto impacto, alto grado de incertidumbre y una dificultad en su cuantificación por la ausencia de datos.
Estratégico clave: Son aquellos que afectan directamente el cumplimiento de los Objetivos Estratégicos de Negocio y los Procesos Misionales de la Organización.
Riesgo inherente de mayor impacto (RIMI): Nivel de riesgo propio del negocio, sin tener en cuenta el efecto de los controles, que afecta al Core negocio, los objetivos estratégicos, la continuidad de negocio y el alto impacto reputacional, y se ubica en el nivel extremo del mapa de riesgos.
A partir de estas categorías, se ubican dentro de un contexto interno y externo para tener un panorama general
Desde una visión de pensamiento integrado, conectamos los riesgos claves con los capitales, los asuntos materiales, sus mitigantes y la gestión llevada a cabo en 2021, teniendo en cuenta los aspectos económicos, de gobierno, sociales y ambientales, los cuales son conductores para la creación de valor e impulsores de un mejoramiento continuo de nuestra gestión.