Gestión Integral de Riesgos 2013-2014
Contenido La Gestión Integral de Riesgos en XM Actualización del Perfil
La Gestión Integral de Riesgos en XM
La Gestión Integral de Riesgos en XM 4 4 La Gestión Integral de Riesgos en XM Metodología Riesgos ISO 31000 Referenciamiento de mejores prácticas Lineamientos corporativos Gestión Calidad ISO 9001 Seguridad Información ISO 27001 Control Interno COSO Seguridad operacional OACI
Enfoque Estratégico Gestión de Riesgos Tradicional Gestión de Riesgos Estratégicos Corto plazo Largo Plazo Enfocado en riesgos de la ejecución estratégica Enfocado en riesgos de la elección estratégica Enfocado en riesgos internos Enfocado en incertidumbres del entorno Enfoque de Control Acciones estratégicas -cooperación Muchos riesgos Principales riesgos Embebido en los procesos Embebido en la estrategia
Actualización del Mapa y Perfil de Riesgos
Mapa de Riesgos 2013 – 2014
2. Actualización Mapa de riesgos Nombre Redefinición Continúa Continúa Continúa Se elimina Redefinición Nuevo Enfoque Continúa Redefinición Continúa Continúa Se elimina
2. Actualización Perfil 2013-2014: Afectación del modelo de negocio Obsolescencia del modelo de negocio causada por la respuesta inoportuna o inadecuada ante cambios del entorno (político, económico, social, tecnológico), que afecta negativamente el valor, la competitividad o la sostenibilidad de la empresa. F R Medidas de administración Establecer mecanismos de seguimiento del entorno de manera sistemática y articulada (GG,DFE, 2014) Desarrollo de los hitos del direccionamiento estratégico aprobados con la JD (GG,DFE, 2014) Diagnóstico de estado de relacionamiento con grupos de interés (DFE, 2014)
2. Actualización Perfil 2013-2014 Esquema regulatorio (XM como autoridad) Caso Termocol: 1) evidenció afectación de la integridad de las personas involucradas. 2) Fortalecimiento de relacionamiento con autoridades Medidas de administración Plan de acción de Gestión con autoridades competentes para formalización y regulación de responsabilidades y mecanismos de administración en el Mercado de Energía (SG, 2014) Medidas de administración Identificación de debilidades en controles de seguridad en la sede: Fallas en los controles de acceso a áreas restringidas y cumplimiento parcial del alcance de pruebas de plan de continuidad Implementar medidas de choque identificadas en análisis de seguridad (DGHE, primer semestre 2014) Implementar medidas de administración identificadas en la Auditoría de seguridad de la información (DGHE, primer semestre 2014) Estructurar proyecto integral de seguridad física (DGHE, segundo semestre 2014) Incorporar en plan de pruebas de continuidad, pruebas específicas de conmutación de canal y ejecución de pruebas planeadas (GT , CND. 2014)
2. Actualización Perfil 2013-2014 Crecimiento de la demanda Restricciones (54) Aplazamiento entrada de proyectos Atentados Terroristas Generación líquidos - Estatuto de Riesgo de Desabastecimiento Problemas de supervisión de tiempo real Medidas de administración Nuevo centro de control (CND 2016) Isaac (CND) Realizar un análisis de la supervisión requerida para la operación y definir acciones a seguir (CND, 2014) Nuevas herramientas de análisis eléctrico y energético (CND, 2016) Gestión Integral de la Demanda (CND, 2016) Certificación, entrenamiento y habilitación personal XM (CND) Certificación nacional de operadores.(CND) Revisión de señales de riesgo sobre la infraestructura energética e identificación y seguimiento proactivo a las necesidades de expansión del sistema. Análisis de eventos presentados en el SIN y seguimiento a la implementación de las recomendaciones que se originan de estos. Seguimiento a la regulación y acompañamiento al CNO, CREG y MME. Puesta en común con agentes sobre nuevas regulaciones y procedimientos Participación en el CNOgas, CACSSE y foros de coordinación entre los sectores gas, líquidos y electricidad. Seguimiento a la disponibilidad de energéticos primarios e infraestructura para los generadores térmicos. Seguimiento a la situación de orden publico en las diferentes regiones y agentes del país. Análisis y seguimiento a la programación y ejecución de mantenimientos. Seguimiento a la disponibilidad de supervisión por parte de los agentes del STN y STR
2. Actualización Perfil 2013-2014 Disposición y capacidad de la contraparte Compromisos no gestionables totalmente por XM Aceptación de condiciones que sobrepasan la capacidad estimada Sanción en la DIAN por el valor total del contrato y no por fases Medidas de administración Planeación Definir y formalizar modelo de estructuración y aprobación de nuevos negocios (GNN, 2014) Desarrollo de los hitos del direccionamiento estratégico aprobados con la JD (GG,DFE, 2014) Fortalecer el modelo de gestión para garantizar la flexibilidad en disponibilidad de recursos (GG, 2014) Definición de escenarios de crecimiento (DFE, GNN, y GH, 2014) Monitoreo Fortalecer los mecanismos de seguimiento integral de los negocios en el Comité de Nuevos Negocios de XM (GG, 2014) Ejecución Medidas específicas Fortalecimiento estrategia capital relacional con diferentes instancias (GNN, GG, P. 2014) Documentación detallada de la debida diligencia (GNN, P, 2014) Capacitación XM y contraparte (GNN,P. 2014) Seguimiento ejecución del esquema de control con metas de corto plazo (GG, P. 2014) Gestión pago de retroactivo 2012 de SIER (SG, DFE, SIER. 2014) Seguimiento implementación Medidas análisis riesgos proyecto (PD, DIAN, 2014) Desarrollo de actividades en paralelo (GNN, PD. 2014)
Cambio de enfoque en la definición del riesgo 2. Actualización Perfil 2013-2014 Cambio de enfoque en la definición del riesgo Medidas de administración Definición y ejecución de estrategias y plan de implementación para compras críticas (DFE, 2014) (sourcing estratégico) Definición y ejecución del plan de Gestión de proveedores críticos (DFE, 2014) Información Incidentes asociados a Centro Documental (24 registrados). Resultados de la auditoría de Análisis vulnerabilidad. Certificación seguridad información. p f Reputación Medidas de administración Deficiencias en las TIC Fraude y Falta o falla de procedimientos Proyecto seguridad de la información (GTI, 2014) Renovación de arquitectura tecnológica (GTI, 2015)- Servidores SCADA (2014) Nuevo Centro de Control (CND, GTI. 2014 - 2015) Cierre de planes de mejoramiento de hallazgos de Auditoría Interna (GTI, 2014) Revisión de modelo y criterios de medición de las TIC en XM(GTI, 2014) Plan de acción proceso Gestión Documental (DGHE, 2014) Soluciones integrales de procesos a través de la información (Articulación y automatización de necesidades) (Ej: SAM)
Perfil de riesgos XM 2014
Qué sigue? Hitos principales que se trabajarán durante el 2014 para el fortalecimiento de la Gestión integral de Riesgos Trimestre I Actualización Perfil 2013-2014 Análisis Riesgo proyectos máximo nivel Trimestre II Propuesta Metodología Resiliencia Actualización riesgos al menos dos procesos críticos Trimestre III Propuesta Metodología Indicadores Claves de Riesgos KRIs Actualización riesgos al menos dos procesos críticos y GIR proceso nuevo Trimestre IV Modelo de Madurez GIR: identificación modelo, diseño instrumento, aplicación instrumento y determinación brechas Marzo Junio Septiembre Diciembre
Escala de probabilidad
Escalas de severidad
Escalas de severidad
Escalas de severidad
Criterios de aceptación INADMISIBLE Un riesgo situado en esta zona de la matriz, significa que bajo ninguna circunstancia se deberá mantener un riesgo con esa capacidad potencial de afectar la estabilidad de la empresa. Por ello estos riesgos requieren una atención inmediata o de alta Prioridad por parte de la Junta Directiva y el Comité de Gerencia para buscar disminuir lo más pronto posible su afectación. INACEPTABLE Un riesgo situado en esta zona de la matriz significa que se requiere desarrollar acciones prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían sobre el sistema. Requiere atención del Comité de Gerencia y reporte a la Junta Directiva. TOLERABLE Un riesgo situado en esta zona de la matriz, significa que, aunque deben desarrollarse actividades para la gestión sobre el riesgo, tienen una prioridad de segundo nivel, pudiendo tratarse a mediano plazo. Se deben mantener los controles existentes y la responsabilidad es de la gerencia de área. ACEPTABLE Un riesgo situado en esta zona de la matriz, significa que la combinación Probabilidad-Consecuencia no implica una gravedad significativa, por lo que no amerita la inversión de recursos y no requiere acciones adicionales para la gestión, diferentes a las ya aplicadas al riesgo. No obstante se deben mantener los controles existentes y el monitoreo continuo.
Volver Medida mitigación Forma Seguimiento a la situación de orden publico en las diferentes regiones y agentes del país. Revisión de señales de riesgo sobre la infraestructura energética Trabajo conjunto y seguimiento de asuntos regulatorios y funcionamiento del sistema con autoridades (CND) . Reuniones fuerzas armadas, participación teleconferencias MINMINAS, Mindefensa y Agentes - Coordinación Ministerio de Defensa sobre infraestructura crítica. Reunión con agentes para planeación de mantenimientos de infraestructura afectada por fenómenos naturales y seguimiento a los mismos. Identificación y Seguimiento proactivo a las necesidades de expansión del sistema. Presentar en distintos foros la situación del sector eléctrico (CND, 2014). Dar las señales claras y oportunas para minimizar y advertir riesgos en la atención de la demanda. Coordinar los planes de expansión con el CAPT para eliminar y/o reducir restricciones del SIN. Seguimiento al procedimiento establecido en el ACUERDO 670 sobre los proyectos de generación, transmisión y distribución del Sistema Interconectado Nacional. Plan de Comunicaciones del CNO. Recomendar medidas de mitigación. Auditorias proyectos de expansión. Capacitación de las personas y gestión de incidentes Certificación y Habilitación personal XM Formación continua a personal de XM - Capacitación, habilitación y certificación. Seguimiento compensatorios y vacaciones del personal. Análisis riesgo psicosocial. Certificación nacional de operadores. Puesta en común con agentes sobre nuevas regulaciones y procedimientos Aplicación proceso Certificación Nacional de Operadores. Puesta en común de la interpretación y aplicación de diferentes Resoluciones y procedimientos. Volver
Volver Medida mitigación Forma Seguimiento a la regulación y acompañamiento al CNO, CREG y MME. Seguimiento de implementación del marco regulatorio con la CREG y SSPD. Gestión de procedimientos, propuestas y acuerdos en los diferentes foros y con autoridades. Participación en el CNOgas, CACSSE y foros de coordinación entre los sectores gas, líquidos y electricidad Seguimiento a la disponibilidad de energéticos primarios e infraestructura para los generadores térmicos. Asistencia al CNOgas Participación en el COMI Coordinación gas electricidad líquidos CNO gas, CACSSE y CNO eléctrico. Participación CACSSE y CNO Análisis, desarrollo, pruebas y puesta en producción de nuevos aplicativos, nuevas tecnologías, plataformas y/o herramientas. Gestión Integral de la Demanda Nuevo centro de control iSAAC Nuevas herramientas de análisis eléctrico y energético Análisis y seguimiento a la programación y ejecución de mantenimientos. Análisis de eventos presentados en el SIN y seguimiento a la implementación de las recomendaciones que se originan de estos. Seguimiento a la disponibilidad de supervisión por parte de los agentes del STN y STR Seguimiento a los eventos presentados en el SIN, comunicaciones agentes, CNO y SSPD con eventos de alta frecuencia de ocurrencia y/o de alto impacto. Gestiones con el regulador para implementación de cambios, en caso de ser necesarios. Comunicación agentes , CREG y SSPD al seguimiento de la supervisión de los equipos del STN y STR. Realizar un análisis de la supervisión requerida para la operación y definir acciones a seguir. Realización de estudios de coordinación de protecciones. Gestiones a través del CNO. Volver
Seguimiento a proyectos en comité nuevos negocios Medidas actuales Planeación Seguimiento a proyectos en comité nuevos negocios Estructuración de nuevos negocios como proyecto (PMI) Seguimiento direccionamiento estratégico Ejecución de proyecto bajo PMI y personal de alto perfil Conformación de comité técnico (Gerentes) Desarrollo de estrategia capital relacional a alto nivel Desarrollo metas a corto plazo y actividades en paralelo Esquema cronograma detallado Esquema de monitoreo y seguimiento a cronograma detallado e indicadores Ejecución Monitoreo Volver