Gestin Empresarial de Riesgos Desafos actuales en las

Gestión Empresarial de Riesgos: Desafíos actuales en las empresas de Latinoamérica COPAPROSE 2017 Lina Mejía Colombia

1 2 2 Riesgos Globales Tendencias Legislación Normatividad Sistema de Gestión ? 4

The Global Risk Landscape 2017 MARSH Source: World Economic Forum Global Risks Perception Survey 2016 Note: Survey respondents were asked to assess the likelihood of the individual global risk on a scale of 1 to 7, 1 representing a risk that is not likely to happen and 7 a risk that is very likely to occur. They also assess the impact on each global risk on a scale of 1 to 5 (1: minimal impact, 2: minor impact, 3: moderate impact, 4: severe impact and 5: catastrophic impact). See Appendix B for more details. To ensure legibility, the names of the global risks are abbreviated; see Appendix A for the full name and description

MARSH Source: World Economic Forum 20017 -2017, Global Risks Reports Note: Global risks may not be strictly comparable across years, as definitions and the set of global risks have evolved with new issues emerging on the 10 -year horizon. For example, cyberattacks, income disparity and unemployment entered the set of global risks in 2012. Some global risks were reclassified: water crises and rising income disparity were re-categorized first as societal risks and then as a trend in the 2015 and 2016 Global Risks Reports, respectively. The 2006 edition of the Global Risks Report did not have a risks landscape

The Risks – Trends interconnections map MARSH Source: World Economic Forum Global Risks Perception Survey 2016 Note: Survey respondents were asked to select the three trends that are the most important in shaping global development in the next 10 years. For each of the three trends identified, respondents were asked to select the risks that are most strongly driven by those trends. The global risks with the most connections to trends are spelled out in the figure. See Appendix B for more details. To ensure legibility, the names of the global risks are abbreviated; see Appendix A for the full name and description

Gerente General Riesgos Externos Gerente Financiero Junta Directiva Demanda Riesgos del mercado financiero Riesgos Financieros Responsabilidades contingentes Fluctuaciones en moneda / tasa de cambio Tiempos de venta Competencia Fusiones y Marca/ Adquisiciones Imagen Condiciones económicas globales Cambios en materia contable y tributaria Tesorero Patentes Riesgos Estratégicos Riesgos Internos Pensiones Valoración de activos Cambios en clientes / industria Capital Intelectual Garantías Cumplimiento normativo de Junta Directiva Alianzas y JVs Relaciones Públicas TIPOS DE RIESGOS Liquidez y flujo de caja Riesgo de Crédito Responsabilidad Contractual Lucro cesante Terrorismo Guerra Incendio/Explosión Gerente de Riesgos Investigación y dlllo Canales y redes Polución Bases de datos e información Contabilidad y control interno Responsabilidad Extracontractual Riesgos ambientales Accidentes de Trabajo y Enfermedades Daños a la Profesionales propiedad Atracción y retención de personal Cadena de suministros Desastres Naturales Suministro de Energía Salud Ocupacional y Seguridad Industrial MARSH Departamento Jurídico Gerente Administrativo y de Operaciones Funcionarios clave Seguridad Física Riesgos Puros Cumplimiento de la regulación Riesgos industriales Riesgos Operacionales Recursos Humanos June 2021 6

Problemas: ¿A que nos enfrentamos? Incidentes: Cualquier evento que no forma parte del desarrollo habitual de la operación y que causa, o puede causar una afectación en la operación; pero que se está en capacidad de atender siguiendo procedimientos pre establecidos de respuesta y su atención hace parte del conocimiento y experiencia que los miembros del equipo de trabajo involucrado en la respuesta. MARSH Emergencias: representa retos adicionales ya que el evento implica un mayor nivel de complejidad que demanda una gran coordinación y colaboración entre diferentes procesos, equipos e incluso organismos externos. Complejidad Crisis: Es un evento complejo. Demanda una comprensión real de la situación, involucra la participación de diferentes equipos de la compañía, así como de entidades externas, implica actuar en un ambiente de presión e incertidumbre y tomar decisiones que contemplen no sólo los efectos inmediatos sino también los de largo plazo que la situación puede acarrear. Requiere de un liderazgo firme y eficaz de los más altos niveles jerárquicos de la compañía. +

Problemas: ¿A que nos enfrentamos? § § § § Múltiples fallas Consecuencias en cascada Transfronterizas Multi jurisdiccionales Fallas catastróficas de infraestructura Soluciones no claras Respuestas sin un modelo predefinido Sin capacidad de recuperación Barreras culturales… Eso no nos pasa! Tenemos muchas experiencia y sabríamos que hacer! No tengo tiempo! Para eso tengo seguros! Eso es una exageración! Estoy seguro que estamos preparados! MARSH

1 2 2 Riesgos Globales Tendencias Legislación Normatividad Sistema de Gestión ? 4

Ejemplos MARSH

Ambiental SARLAFT SST ISO 31000 MARSH June 2021 11

1 2 2 Riesgos Globales Tendencias Legislación Normatividad Sistema de Gestión ? 4

Percepción del Riesgo Sistema de Administración de Riesgos Experiencia Propia Experiencia Indirecta Percepción individual Percepción institucional Conducta individual PDR Conducta institucional Cultura Análisis Conducta frente al riesgo Responsabilidad individual Responsabilidad institucional Clave : Siempre considerar los grupos de interés. MARSH

Benchmark Gestión de Riesgos en Latinoamérica 2015 2016 MARSH

As they mature, leading corporations apply Enterprise Risk Management (ERM) to deliver risk-optimized returns beyond core risk management Level of ERM sophistication ERM development path • • Identification and assessment established Often focused on compliance Potentially lack of standardization across the organization Limited ability to drive management decisions Foundation setting Organizational embedding • Link to mitigation and decision making • • Recent past MARSH ERM becoming more of a business partner Transparency on top risks with the highest exposure Cross-functional collaboration set up to mitigate any risks falling outside risk appetite Lean ERM process to reduce the burden on resources Present Time • • Continuous improvement and incorporation of learnings from previous cycles Focus on risk-return in every day decision making, at all levels Effective cross-functional mitigation and best practices sharing Future

La tendencia en el mundo de los negocios es tomar decisiones basadas riesgos. Las juntas directivas y la alta dirección cada vez mas se involucran en la gestión de riesgos y empiezan a exigir información sobre los riesgos involucrados al momento de tomar decisiones. Tienen un papel decisivo en la implementación de la gestión de riesgos al ser el ente regulador de mas alto nivel a quien se le deben rendir cuentas sobre la gestión empresarial y los riesgos que esta conlleva. Son un actor clave para crear cultura de gestión de riesgos. MARSH

Puntos clave para la gestión de riesgos – Alta Dirección 1 Data ¿Cuál es la información crítica para entender si los riesgos están siendo efectivamente administrados? 2 Sistema de Gestión ¿Cuáles son los riesgos relevantes? ¿Qué preguntas debo hacer? 3 MARSH Responsabilidad ¿Cuál es mi rol para que la gestión de riesgos sea efectiva?

Risk-return information supports all major strategic decision making processes Core risk management processes Linking elements Risk appetite Risk management cycle MARSH Strategic planning Financial planning Risk-based capital budgeting Divisional processes Link to decision‑making Investment approval and monitoring Stakeholder communication • Understanding of stakeholders’ risk appetite • Communication of accepted risk exposure • Inclusion of risk into decision making Change management and people development

¿Para que nos sirve la Gestión de Riesgos? MARSH

Gobernabilidad, Articulación y Toma de Decisiones Estratégico Táctico Top Down Bottom Up + Táctico Operativo Un acción clave para crear cultura de gestión de riesgos es que en la organización se hable formalmente sobre riesgos: riesgos Rendición de cuentas MARSH Estratégic

Gobernabilidad FRECUENCIA Recurrente MODERADO 4 IMPORTANTE SIGNIFICATIVO Responsabilidades del Nivel Estratégico para la Gestión de Riesgos • Enaltecer las actividades de gestión de riesgo, mostrando el compromiso total de la Alta Dirección. • Clarificar, administrar y asegurar el entendimiento del apetito de riesgo de la compañía. • Comprender los riesgos que enfrenta el compañía en el contexto de los objetivos estratégicos y determinar si tiene la capacidad y las estrategias adecuadas implementadas para la gestión de sus riesgos claves. • Garantizar la gestión para determinar la asignación de recursos suficientes para hacer frente a los riesgos. INTOLERABLE 1 2 Frecuente 3 TOLERABLE MODERADO IMPORTANTE 2 ACEPTABLE TOLERABLE MODERADO 1. Cambios regulatorios (F, R) SIGNIFICATIVO 2. Estratégico Posible 5 4 7 13 10 11 Remoto ACEPTABLE 1 2 Insignificante Leve Categoría del riesgo: Estratégico 4. IMPORTANTE 14 TOLERABLE 8 9 12 MODERADO 3 4 Grave De la Naturaleza Entorno competitivo (F) 3. Volatilidad en Precios de materia primas (F) 3 6 Violación al derecho de la libre asociación y negociación (H, R, F) 5. Incumplimiento de los derechos humanos por parte del productor y/o proveedores (H, R, F) 6. Enfermedad laboral (H, F, R) 7. Colapso. TIC? s (F, I) 8. Incendio (F, H, I, R, A) 9. Sismo (F, H, I, R, A) 10. Fraude (F, R, I) 11. Variación en tasas (F) 12. Contaminación producto (F, H, R) SEVERIDAD 13. Contaminación ambiental (F, R, A, H) 14. Divulgación de información Crítico confidencial (F, I) SEVERIDAD Operacionales Financieros • Táctico FRECUENCIA CONSOLIDADO • NEGOCIO CÁRNICOS TOP DE RIESGOS Incremento en costos operativos por Recurrente 4 variación del entorno (F, R)Riesgos políticos Fuga de amoniaco (A, R, F, H) Incendio Desabastecimiento Falla en los servicios Frecuente 3 básicos Inundaciones Cambios en la Sismo regulación Fluctuación en las Posible 2 tasas de cambio Pérdida de Información Fraude Caída de cosechas Alteración de producto Incumplimiento legal Remoto 1 Ausentismo Frecuente 3 Posible 2 Remoto 1 1 Insignificante 2 Leve 3 Grave 4 Crítico SEVERIDAD Incumplimiento Convenciones H: Humano I: Información R: Reputacional A: Ambiente F: Financiero legal(R, A, F, H) Enfermedad Profesional Situaciones adversas con (H, F, R) organismos de control (R, F) Derrames de productos contaminantes (A, F, H) (F, R, A, H) Terrorismo (R, F, H) Inundaciones Ingresode nuevos Explosión/Incendio (F, R, I, A, H) (F, R, I) competidores (F) Desabastecimiento Sismo (F, R, I, A, H) Fuga de Información Fraude / Corrupción (F, R, I) (I, F) Afectación por regulación (R, I ) • Variación en los precios (F) 1 Insignificante 2 Leve 3 Grave 4 Crítico SEVERIDAD Severidad • Operativo FRECUENCIA Recurrente 4 CONSOLIDADO GALLETAS FRECUENCIA 4 Convenciones H: Humano I: Información Recurrente 4 R: Reputacional A: Ambiente Variación en los precios de Incendio Desabastecimiento Falla en los servicios básicos Inundaciones Cambios en la Sismo regulación Fluctuación en las Pérdida de Información tasas de cambio Fraude Caída de cosechas Alteración de producto Incumplimiento legal Ausentismo 3 Frecuente Posible 2 Remoto 1 1 Insignificante 2 3 Leve Grave Severidad MARSH 4 Crítico SEVERIDAD Frecuente 3 Incumplimiento legal(R, A, F)F: Financiero Fuga de Información (I, R, F) Enfermedad Profesional Variación en los precios(H, F, R) (F) Posible 2 Explosión/Incendio (F, R, I, A, H) Desabastecimiento (F, R, I) Sismo (F, R, I, A, H) Fraude / Corrupción (F, R, I) Cambios en la regulación (R, I) Ingreso de Competidores (F) los commodities 3 Ingreso de nuevos competidores Enfermedad profesional Incendio/Explosión Vigencia Tecnológica Fuga de Posible 2 Remoto 1 Información y conocimiento Contaminación del agua Pérdida de talento Huelga/Paro Cambios en la regulación (Salud y Nuevo Estatuto del Consumidor) Cambios en las relaciones comerciales ( cacaoteros ) Operación en regiones vulnerables a la corrupción Colapso en sistemas de TI Recurrente 4 Responsabilidades del Nivel Táctico para la Gestión de Riesgos Habilitar a los responsables por la gestión de riesgos en el entendimiento y correcta aplicación de la metodología. Recopilar, analizar y generar información de riesgos para aportarla a la toma de decisiones en cada nivel. Facilitar el proceso de identificación y evaluación de los riesgos claves, soportar / liderar el desarrollo de planes de mitigación para estos riesgos, proponer y obtener aprobación del nivel estratégico para abordar riesgos principales y hacer seguimiento de la implementación de estos planes. Prepara información sobre la gestión de riesgos para ser analizada en el Comité de auditoría Responsabilidades del Nivel Operativo para la Gestión de Riesgos • Aplicar los lineamientos establecidos por el compañía para la gestión de riesgos. • Reportar los riesgos materializados (eventos de riesgos). • Suministrar al Equipo de Riesgos y seguros del compañía la información resultante de la gestión de riesgos. • Definir e implementar los planes de tratamiento a sus riesgos. CONSOLIDADO NEGOCIO CÁRNICOS TOP DE RIESGOS Incremento en costos operativos Convenciones por H: Humano variación del I: Información entorno (F, R)Riesgos políticos R: Reputacional A: Ambiente Frecuente 3 F: Financiero Fuga de amoniaco (A, R, F, H) Incumplimiento legal(R, A, F, H) Enfermedad Profesional Situaciones adversas con (H, F, R) organismos de control (R, F) Derrames de productos contaminantes (A, F, H) Inundaciones Posible 2 (F, R, A, H) Terrorismo (R, F, H)Explosión/Incendio (F, R, I, A, H) Ingreso de nuevos Desabastecimiento (F, R, I) competidores (F) Sismo (F, R, I, A, H) Fuga de Información Fraude / Corrupción (F, R, I) Afectación por regulación (R, I (I, F) ) Variación en los precios (F) Contaminación de producto Remoto 1 Incumplimiento Legal Sismo 1 Insignificante 2 Leve 3 Grave 4 Crítico SEVERIDAD Remoto 1 1 Insignificante 2 Leve 3 Grave 4 Crítico SEVERIDAD

Desafíos: Comentarios de Risk Officers para el Benchmark 2017 § § § § MARSH Cuantificación Sistema de información Vigencia metodológica Integración organizacional Análisis de datos Rendición de cuentas Cultura

Lina Mejía Vicepresidente | Consultor de Riesgos | Líder ERM y Manejo de Crisis LAC Marsh | One Plaza Business Center – Cra 43ª #5ª-113 Piso 12, Medellín, Colombia + 574 6069875 | Celular +57 3103380513 www. marsh. com/co