×
INICIO

Capítulos

Colbún en
Cifras 2020

Indicadores World
Economic Forum

Carta del
Presidente

Quiénes Somos

Qué Hacemos y
Cómo Creamos Valor

Contexto País y
la Industria Energética

Desempeño Económico
y de Gobernanza

Desempeño Social

Desempeño Medioambiental
y Cambio Climático

Información General
Descargar Memoria
colbun.cl

| Memoria Integrada 2020

2. Qué Hacemos y Cómo Creamos Valor

Gestión
de Riesgo

103-3

Modelo

Colbún tiene un modelo para reconocer de forma sistemática los desarrollos y eventos que pueden representar riesgos para sus objetivos.

La Gerencia de Control de Gestión y Riesgos Corporativos se encarga del diseño e implementación metodológica del modelo que se basa en la norma ISO 31.000, y apoya a las demás unidades de Colbún en la implementación y seguimiento de los riesgos.

La gestión de riesgos es considerada parte integral del negocio y el Gerente General da cuenta de esta materia al Directorio.

Responsabilidades

Las gerencias tienen la responsabilidad de desarrollar y aplicar las políticas y procedimientos para mantener una adecuada gestión y control de riesgos.

La gestión de riesgos es un proceso dinámico y continuo que fluye a través de la organización. Se realiza en cada nivel de la organización, tanto topdown como bottom-up, y se revisa periódicamente, por cuanto los riesgos van cambiando con el tiempo.

Políticas

La Compañía cuenta con una Política de Control y Gestión de Riesgos donde se establecen los principios y el marco general de actuación para el control y la gestión de los riesgos que enfrenta la Compañía.

Además, las políticas de la Compañía permiten identificar y controlar riesgos, información que se encuentra disponible en el sitio web de Colbún. Entre ellas se incluyen la Política de Sostenibilidad, de Financiamiento, de Inversiones, entre otras.

Comité de Riesgos y Sostenibilidad

102-29, 102-30, 102-31

El Comité de Riesgos y Sostenibilidad hace un seguimiento a los riesgos estratégicos de la Compañía y resguarda que Colbún cuente con una efectiva gestión de éstos. El Comité sesiona bimestralmente y lo integran el Gerente General y los ejecutivos principales, y a sus sesiones asisten representantes de la Mesa del Directorio. Adicionalmente pueden concurrir otros directores.

Además, se desarrollan bimestralmente Mesas Técnicas para profundizar en algún riesgo específico y evaluarlo a un nivel más táctico.

Principales directrices para manejar el riesgo

Resguardar la sostenibilidad del negocio, definiendo acciones mitigadoras frente a los impactos que pudiera tener el comportamiento adverso de variables que inciden en los resultados o en el capital de confianza de la Empresa.

Integrar la visión del riesgo en la gestión corporativa en cada área de negocio.

Generar una estructura organizacional y una metodología de gestión que permita administrar los riesgos de la Compañía.

Minimizar de forma costo-eficiente los riesgos para responder al entorno cambiante en el que se desarrolla el negocio.

Monitorear el cumplimiento de los planes de mitigación acordados y el nivel de los riesgos residuales resultantes.

Riesgos asociados

102-15

Riesgos asociados al
Desempeño Económico

Riesgos del Negocio Eléctrico

  • Variación de demanda/oferta/precios
  • Desastres naturales
  • Precios de los combustibles
  • Suministro de combustibles
  • Fallas y mantención de equipos de centrales y líneas de transmisión
  • Ciberataques
  • Construcción de proyectos
  • Incumplimientos regulatorios y/o normativos
  • Suministro/servicio de proveedores claves
  • Condiciones hidrológicas / sequías prolongadas
  • Dilución de contratos regulados
  • Aumento del impuestos a las emisiones
  • Cambios tecnológicos
  • Pérdida o fuga de información confidencial
  • Suministro de agua
  • Desgaste de unidades por ciclado de centrales

Riesgos Financieros

  • Tipo de cambio
  • Tasa de interés
  • Calidad crediticia propia y de clientes / riesgo de contraparte
  • De liquidez

Riesgo Ético y de Gobernanza

  • Incumplimientos regulatorios
  • Derechos Humanos
  • Daño reputacional
  • Robo y/o fuga de información
  • Comportamientos no éticos
  • Libre Competencia
Riesgos asociados al
Desempeño Social

Riesgos Laborales

  • Retención de profesionales
  • Derechos Humanos
  • Huelgas
  • Enfermedades profesionales
  • Accidentes laborales
  • Organización y cambio cultural
  • Incumplimientos Regulatorios

Riesgos Comunitarios

  • Paralización de proyectos y/u operaciones
  • Incidentes sociales
  • Daño reputacional
  • Derechos Humanos
Riesgos asociados al
Desempeño Ambiental

Riesgos del Medio Ambiente

  • Cambio climático
  • Incumplimientos regulatorios
  • Incidentes ambientales
  • Daño reputacional

Riesgos emergentes

Seguridad de la Información
y Ciberseguridad

La gestión realizada en Seguridad de la Información y Ciberseguridad durante el 2020 estuvo focalizada en fortalecer controles recomendados en las evaluaciones de ciberseguridad realizadas en la infraestructura critica de la Compañía a fines de 2019 e inicios de 2020.

Por su parte, dado el escenario de teletrabajo, también se realizaron importantes proyectos y actividades para fortalecer la ciberseguridad en modalidad home office.

Considerando estos antecedentes y manteniendo como marco de referencia el estándar internacional NIST Cybersecurity Framework que adoptó la Compañía (ver diagrama), se realizaron las siguientes iniciativas en el periodo 2020:

1.

En el ámbito de Identificación, y como parte del cumplimiento de la seguridad digital, se destaca:

• Se avanzó en en la identificación de necesidades y ejecución de planes de acción para el cumplimiento del marco regulatorio de ciberseguridad NERC-CIP, proporcionado por Coordinador Eléctrico Nacional.

• Se finalizaron las actividades de Assessment de Ciberseguridad en infraestructuras criticas (centrales y subestaciones) iniciadas a fines del año 2019.

• Se ejecutaron ejercicios periódicos y focalizados de ingeniería social (phishing test) para sensibilizar e identificar brechas de actuación en correos electrónicos maliciosos o fraudulentos

2.

En el ámbito de Protección, como parte de la seguridad defensiva, se realizaron diversas mejoras en las plataformas existentes destacando entre ellas:

• La aplicación de controles adicionales para fortalecer la ciberseguridad de equipos conectados fuera de la red (Teletrabajo).

• Se reforzó el servicio de conexiones remotas VPN, aplicando mejoras y actualizaciones en estas tecnologías en ámbitos de capacidad, disponibilidad y seguridad.

• Se inició el despliegue de tecnologías para proteger las conexiones remotas de proveedores a la infraestructura critica (centrales y subestaciones).

• Se incorporaron nuevas plataformas para fortalecer la gestión de control de accesos en los principales sistemas administrativos.

• Como parte de la concientización y cultura, continuaron los planes de difusión y concientización, destacando charlas webinar con foco en fortalecer conceptos y cuidados básicos del día a día en seguridad de la información y ciberseguridad.

3.

En el ámbito de Detección, y como parte de la seguridad ofensiva, destacaron las siguientes actividades:

• Se inició el despliegue de tecnologías para detectar anomalías y eventos de ciberseguridad en los sistemas que soportan la operación de las infraestructuras criticas (centrales y subestaciones).

• Se mantuvieron en forma continua los controles de seguridad para cualquier incorporación de nuevas tecnologías o sistemas (ethical hacking, pentesting, etc.) previo a su puesta en servicio.

• Se suscribió un convenio conjunto entre la asociación de transmisores con el CSIRT gubernamental para incorporar monitoreos complementarios de ciberseguridad frente a situaciones de ciberataque que afecten a la compañía y a la industria.

4.

En el ámbito de Responder y Recuperar, como parte de la continuidad y resiliencia, se efectuaron las siguientes acciones:

• Se conformó un comité multidisciplinario para la gestión de eventos de crisis de ciberseguridad, el cual considera el desarrollo de un plan de gestión documentado y posteriormente ejercicios simulados para identificación de oportunidades en el ámbito.

Anterior 2.3
Siguiente 2.5