La evaluación de los riesgos se realiza a través de la valoración del impacto y la probabilidad. Considerando algunos elementos clave de la estrategia, los criterios para el impacto se encuentran así definidos por la compañía:
Los criterios de valoración de la probabilidad definidos por la compañía son los siguientes:
Para el tratamiento de los riesgos clave, la alta Dirección establece las prioridades del tratamiento del riesgo, según los resultados de la valoración residual, para los cuales determina los siguientes criterios de definición de mitigantes adicionales:
Para los riesgos clasificados como extremos, es necesario que se definan mitigantes adicionales para la disminución de la probabilidad de ocurrencia o para amortiguar la consecuencia asociada a la materialización del riesgo. Para los de nivel alto y moderado, la alta Dirección o el líder del proceso pueden plantear mitigantes adicionales de riesgos de acuerdo con el análisis de si es viable implementar las mismas, en los casos donde aplique y la naturaleza del riesgo lo permita, por ejemplo en riesgos regulatorios.
| |
El éxito de la gestión de riesgos depende de la aplicación del ciclo antes indicado en todas sus etapas; su aplicación parcial no permite contribuir al cumplimiento de los objetivos estratégicos de la compañía.
En 2020, al fortalecer el monitoreo de riesgos, se dio alcance a riesgos inherentes de mayor impacto, estratégicos y de seguridad de la información. Parte de este monitoreo incluyó acompañamiento a la primera línea de defensa en la identificación de cambios en riesgos y controles de sus procesos por causa de la pandemia.
De igual forma, se finalizó la fase de identificación y evaluación de terceras partes e intermediarios como segmento de la implementación de la metodología corporativa de gestión de terceros (TPRM/TPI), y se realizó jornada virtual de formación y capacitación en gestión de riesgos de terceras partes, la cual contó con la presencia de 63 terceros considerados críticos para la compañía, transportadoras y distribuidoras. Esto como parte de las actividades enmarcadas dentro del programa de fortalecimiento de cultura de riesgos con terceros, denominado Conexiones Promigas, más Unidos con nuestros Proveedores. Además, se inició la gestión del riesgo normativo con la estructuración del Programa de Cumplimiento Normativo, con el fin de gestionar el riesgo de incumplimiento de las normas internas y externas a las que está obligada la empresa, y se realizó la política y los procedimientos para su ejecución.
Con el objetivo de fortalecer y evaluar la gestión de riesgos e identificar la tendencia, los comportamientos y la evolución de los riesgos dentro de un periodo de tiempo, se tienen implementados indicadores de riesgos KRI (por sus siglas en inglés Key Risk Indicator) y KPI (Key Performance Indicator).
|