En línea con nuestras políticas adoptamos el modelo de Gestión Integral de Riesgos de nuestra casa matriz, el cual brinda un enfoque para la mejora continua y gestión eficaz de los riesgos de manera sistemática y transversal para TGI. Basado en la norma ISO 31000:2018, este modelo establece los marcos de referencia para identificar y evaluar los riesgos relacionados con las actividades de nuestro negocio y poder implementar las acciones necesarias para la mitigación de estos.
 |
En línea con nuestras políticas adoptamos el modelo de Gestión Integral de Riesgos de nuestra casa matriz, el cual brinda un enfoque para la mejora continua y gestión eficaz de los riesgos de manera sistemática y transversal para TGI. Basado en la norma ISO 31000:2018, este modelo establece los marcos de referencia para identificar y evaluar los riesgos relacionados con las actividades de nuestro negocio y poder implementar las acciones necesarias para la mitigación de estos. |
Gestión de Riesgos
Matriz de Riesgos
Política y Modelo de Seguridad de la Información y ciberseguridad
Contamos con una Política y Modelo de Seguridad de la Información y ciberseguridad
TGI cuenta con una Política Corporativa de Seguridad de la Información y Ciberseguridad, aprobada a nivel corporativo, que establece el marco de actuación y los compromisos para proteger la información, los datos (incluidos datos personales) y los ciberactivos en ambientes de Tecnologías de la Información (TI) y Tecnologías Operacionales (TO). Esta política se encuentra publicada en el sitio web corporativo en la sección de Gobierno Corporativo / Políticas Corporativas: https://www.tgi.com.co/nosotros/gobierno-corporativo/politicas-corporativas
La política corporativa incluye el compromiso de:
– Mejorar continuamente los sistemas de seguridad de la información
– Garantizar la integridad y protección de los datos
– Evidencias / documentos de soporte
– Monitoreo y respuesta a amenazas a la seguridad de la información
– Establecer responsabilidades individuales en seguridad de la información
Adicionalmente, la política establece que el modelo de seguridad de la información y ciberseguridad se mantiene alineado con la estrategia corporativa y el marco normativo aplicable, soportando la sostenibilidad y resiliencia de la organización.
Este Modelo de Seguridad de la Información (MSPI), busca proteger la Confidencialidad, Integridad y Disponibilidad de los activos de información, para su Sede Administrativa ubicada en la Carrera 9 No. 73-44 en Bogotá, y todas las demás sedes a Nivel Nacional, el cual cuenta con el apoyo de la Alta Dirección para garantizar los recursos necesarios para la mejora continua del modelo, y para exigir el cumplimiento de las directrices, políticas y demás lineamientos de seguridad que se definan, los cuales deben ser conocidos, entendidos y aceptados por todas las partes interesadas del Modelo de Seguridad y Privacidad de la Información (MSPI).
Como parte fundamental del Modelo de Seguridad y Privacidad de la Información (MSPI), se cuenta con un reglamento interno que proporciona a TGI S.A. ESP., las directrices, lineamientos y orientación respecto a la seguridad de la información y el uso adecuado de los activos de información, buscando preservar la confidencialidad, integridad, disponibilidad y privacidad de la información.
En referencia al posible evento anómalo que pueda llegar a presentarse, TGI S.A ESP cuenta con la gestión de incidentes de seguridad de la información debidamente documentada y socializada a la organización en los diferentes dados para la sensibilización.
TGI-DYA4-M-001 Modelo de Seguridad y Privacidad de la Información (MSPI)
TGI cuenta con un programa de gestión de seguridad de la información y ciberseguridad que incluye, como mínimo, los siguientes componentes:
- Planes de continuidad de negocio relacionados con la seguridad de la información (BCP/DRP)
- Evidencias / documentos de soporte
- Análisis de vulnerabilidades de seguridad de la información
- Auditorías internas de la infraestructura de TI y/o del sistema de gestión de seguridad de la información
- Auditoría externa independiente de la infraestructura de TI y/o del sistema de gestión de seguridad de la información
- Ejercicios de Red Team
- Capacitación y concientización en seguridad de la información
FORMACIÓN EN SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD: COMPROMISO CON LA CONCIENTIZACIÓN ORGANIZACIONAL
Este programa no solo busca el cumplimiento normativo, sino también generar conciencia frente a los riesgos asociados al uso de tecnologías emergentes y la evolución constante de las amenazas. A través del conocimiento y la participación activa, se espera que los colaboradores comprendan la importancia de su rol en la protección de la confidencialidad, integridad y disponibilidad de la información de TGI S.A.ESP. A continuación, se presentan las estadísticas que evidencian el alcance del programa y el nivel de participación de los colaboradores durante el año 2025.
USO Y DESARROLLO RESPONSABLE DE INTELIGENCIAS ARTIFICIALES
En TGI adoptamos el marco corporativo para el uso de inteligencia artificial, datos y analítica, alineado con estándares internacionales y orientado a la transformación digital del Grupo Energía Bogotá y sus filiales. Este marco define lineamientos claros para asegurar un uso responsable, seguro y ético de estas tecnologías, basados en principios de transparencia, proporcionalidad, supervisión humana y respeto por los derechos fundamentales, con el objetivo de generar valor sostenible y fortalecer la confianza de los grupos de interés.
La política definida en este marco establece compromisos concretos en materia de ética, legalidad, seguridad y gobernanza de la inteligencia artificial. Incluye exigencias sobre calidad, trazabilidad y aplicabilidad de los modelos, protección de datos personales, gestión integral de riesgos —incluida la ciberseguridad— y cumplimiento normativo. Asimismo, impulsa la consolidación de una plataforma corporativa de datos e IA, la interoperabilidad tecnológica y la generación de eficiencias operativas, bajo esquemas de control institucional y supervisión humana.
En este contexto, las capacitaciones realizadas en marzo de 2026 en Copilot Pro y Copilot Chat fueron un componente clave del despliegue controlado de IA en TGI, en coherencia con la política corporativa del GEB. Estas sesiones se enfocaron en fortalecer capacidades internas para el uso responsable, seguro y productivo de herramientas de IA generativa, aplicando buenas prácticas de seguridad de la información y reforzando principios de supervisión humana, protección de datos y uso ético. Como resultado, se avanzó en la habilitación de usuarios, la mitigación de riesgos asociados y la preparación para el escalamiento progresivo de casos de uso.
Adicionalmente, durante 2026 se desarrollaron dos mesas de trabajo corporativas —Mesa de Trabajo No. 1 y Mesa de Trabajo No. 2 de Inteligencia Artificial— con participación del corporativo y las filiales, orientadas a coordinar la implementación de la política de IA en el GEB. Estos espacios permitieron alinear criterios, definir lineamientos de adopción y consolidar un enfoque común para una implementación progresiva, gobernada y articulada en todas las compañías del grupo.
Finalmente, la implementación de la política se apoyará en un modelo de gobernanza que será definido en el transcurso del 2026. Se asignarán responsabilidades a la Alta Dirección, y a las Gerencias según los compromisos definidos, así como a las áreas de Cumplimiento y Comunicaciones y a todos los colaboradores. El modelo de gobernanza contemplará un liderazgo activo, el seguimiento permanente, mecanismos de reporte y control, y procesos de capacitación para asegurar su adopción efectiva. De esta manera avanzaremos de manera ordenada hacia la adopción responsable de la inteligencia artificial y su escalamiento en los procesos del negocio.
ESTADÍSTICAS CAMPAÑA
USO Y DESARROLLO RESPONSABLE DE INTELIGENCIAS ARTIFICIALES
En TGI adoptamos el marco corporativo para el uso de inteligencia artificial, datos y analítica, alineado con estándares internacionales y orientado a la transformación digital del Grupo Energía Bogotá y sus filiales. Este marco define lineamientos claros para asegurar un uso responsable, seguro y ético de estas tecnologías, basados en principios de transparencia, proporcionalidad, supervisión humana y respeto por los derechos fundamentales, con el objetivo de generar valor sostenible y fortalecer la confianza de los grupos de interés.
La política definida en este marco establece compromisos concretos en materia de ética, legalidad, seguridad y gobernanza de la inteligencia artificial. Incluye exigencias sobre calidad, trazabilidad y aplicabilidad de los modelos, protección de datos personales, gestión integral de riesgos —incluida la ciberseguridad— y cumplimiento normativo. Asimismo, impulsa la consolidación de una plataforma corporativa de datos e IA, la interoperabilidad tecnológica y la generación de eficiencias operativas, bajo esquemas de control institucional y supervisión humana.
En este contexto, las capacitaciones realizadas en marzo de 2026 en Copilot Pro y Copilot Chat fueron un componente clave del despliegue controlado de IA en TGI, en coherencia con la política corporativa del GEB. Estas sesiones se enfocaron en fortalecer capacidades internas para el uso responsable, seguro y productivo de herramientas de IA generativa, aplicando buenas prácticas de seguridad de la información y reforzando principios de supervisión humana, protección de datos y uso ético. Como resultado, se avanzó en la habilitación de usuarios, la mitigación de riesgos asociados y la preparación para el escalamiento progresivo de casos de uso.
Adicionalmente, durante 2026 se desarrollaron dos mesas de trabajo corporativas —Mesa de Trabajo No. 1 y Mesa de Trabajo No. 2 de Inteligencia Artificial— con participación del corporativo y las filiales, orientadas a coordinar la implementación de la política de IA en el GEB. Estos espacios permitieron alinear criterios, definir lineamientos de adopción y consolidar un enfoque común para una implementación progresiva, gobernada y articulada en todas las compañías del grupo.
Finalmente, la implementación de la política se apoyará en un modelo de gobernanza que será definido en el transcurso del 2026. Se asignarán responsabilidades a la Alta Dirección, y a las Gerencias según los compromisos definidos, así como a las áreas de Cumplimiento y Comunicaciones y a todos los colaboradores. El modelo de gobernanza contemplará un liderazgo activo, el seguimiento permanente, mecanismos de reporte y control, y procesos de capacitación para asegurar su adopción efectiva. De esta manera avanzaremos de manera ordenada hacia la adopción responsable de la inteligencia artificial y su escalamiento en los procesos del negocio.
GOBERNANZA DE LA GESTIÓN DE RIESGOS
La supervisión del sistema de gestión de riesgos es liderada por el Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo de la Junta Directiva cuyas funciones principales frente a la gestión de riesgos son:
- Recomendar a la Junta Directiva la matriz de riesgos, así como la Política de Riesgos y la metodología de cálculo del apetito de riesgo.
- Supervisar e informar periódicamente a la Junta Directiva sobre la aplicación efectiva de la matriz de riesgos de la sociedad para que los principales riesgos financieros y no financieros, incluidos los riesgos ambientales, sociales y de gobierno corporativo derivados de la estrategia de sostenibilidad adoptada por la sociedad, en balance y fuera de balance, se identifiquen, gestionen y se den a conocer a la Junta Directiva adecuada y oportunamente.
Los miembros del Comité cuentan con la experiencia y conocimientos para asistir en la gestión de riesgos del Grupo. Cada dos meses, la administración informa al equipo directivo, al Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo y a la Junta Directiva sobre los riesgos estratégicos. Esto con el propósito de hacer seguimiento, ajustar y fortalecer los planes de tratamiento y tomar acciones sobre los riesgos relevantes en toda la organización.
Las funciones dedicadas a la gestión de riesgo operativo se enmarcan en el Modelo de Tres Líneas definido en la Política de Arquitectura de Control.
A través de la aplicación del Modelo Integral de Gestión de Riesgos, TGI identifica y gestiona los riesgos estratégicos y de proceso, llevando a cabo un monitoreo y control periódico en coordinación con los líderes de proceso. El control de riesgos se basa en las tres líneas del modelo de defensa, según la norma de la Confederación Europea de Institutos de Auditoría Interna (ECIIA), que define las responsabilidades hacia el Sistema de Control Interno.
Primera Línea (autocontrol, autorregulación y autogestión): corresponde a las actividades desarrolladas por cada uno de los colaboradores, incluyendo a los responsables de procesos y controles, mediante la definición y ejecución de los controles a través de políticas, procedimientos, marcos metodológicos, entre otros. La primera línea de defensa del Sistema de Control Interno se basa en tres principios clave: autocontrol, autorregulación y autogestión.
Segunda línea: se encuentran entre sí las diferentes funciones de supervisión y monitoreo desarrolladas por las áreas que realizan actividades de control de informes financieros, cumplimiento legal y regulatorio, sistemas de gestión de calidad, seguridad de la información, supervisión e inspección, y gestión de riesgos, cuando se facilita y supervisa la ejecución de las actividades de control para mitigar los riesgos
Tercera línea: corresponde a la garantía independiente a través de las actividades de auditoría interna y externa. Esta línea de defensa proporciona a los órganos de gobierno corporativo y a la alta dirección garantías razonables sobre la eficacia del gobierno corporativo, la gestión y el control de riesgos y la independencia y objetividad de la empresa.
TRANSFORMATION PROCESS
EMERGING RISK
| Item | Emerging Risk | Description | Portencial Impacts | Mitigation Measures |
| 1 | Loss of Competitiveness Due to Signals of an Accelerated and Misaligned Energy Transition | The global trend toward accelerated decarbonization and the adoption of clean energy sources could generate unexpected regulatory, financial, and operational pressure and fragmentation—particularly if Colombia’s regulatory frameworks change rapidly or remain undefined, becoming inconsistent with the strategy for expanding local and imported natural gas infrastructure. This misalignment could affect project planning, the availability of long-term contracts, and natural gas demand, directly impacting business stability. To ensure its sustainability, the company may also face the need to make additional investments to diversify its revenue portfolio at an accelerated pace, resulting in unforeseen costs associated with the transition toward more sustainable energy sources. |
– Loss of competitiveness compared to alternative energy sources in the short term – Structural demand loss – Revenue loss – Reduced investment capacity |
Monitor and actively participate in regulatory and policy definition scenarios to ensure natural gas is recognized as a necessary energy source for the transition
|
| 2 | Regulatory Instability Due to Political, Social, and Legislative Changes in the Context of the Energy Transition | Global and domestic pressure for a faster energy transition with lower carbon emissions—combined with potential political and social instability stemming from Colombia’s 2026 government change—could trigger unexpected regulatory shifts. These may include new fees, environmental taxes, or operational restrictions, as well as increased social mobilization and media scrutiny regarding service delivery and the development of traditional energy projects. This combination of factors could disrupt expansion planning, the operation of existing infrastructure, and relationships with communities and key stakeholders across the value chain. A lack of anticipation of these changes may result in additional costs, project delays, significant reputational risks, and increased pressure on business sustainability. |
– Reduced Recognition of Investments – Revenue loss – Reduced investment capacity – Declining public trust in natural gas as an energy source – Demand loss |
Ongoing monitoring of government plans and political proposals related to the development of the energy sector, particularly natural gas in Colombia
|
GOBERNANZA DE LA GESTIÓN DE RIESGOS
La supervisión del sistema de gestión de riesgos es liderada por el Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo de la Junta Directiva cuyas funciones principales frente a la gestión de riesgos son:
- Recomendar a la Junta Directiva la matriz de riesgos, así como la Política de Riesgos y la metodología de cálculo del apetito de riesgo.
- Supervisar e informar periódicamente a la Junta Directiva sobre la aplicación efectiva de la matriz de riesgos de la sociedad para que los principales riesgos financieros y no financieros, incluidos los riesgos ambientales, sociales y de gobierno corporativo derivados de la estrategia de sostenibilidad adoptada por la sociedad, en balance y fuera de balance, se identifiquen, gestionen y se den a conocer a la Junta Directiva adecuada y oportunamente.
Los miembros del Comité cuentan con la experiencia y conocimientos para asistir en la gestión de riesgos del Grupo. Cada dos meses, la administración informa al equipo directivo, al Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo y a la Junta Directiva sobre los riesgos estratégicos. Esto con el propósito de hacer seguimiento, ajustar y fortalecer los planes de tratamiento y tomar acciones sobre los riesgos relevantes en toda la organización.
Las funciones dedicadas a la gestión de riesgo operativo se enmarcan en el Modelo de Tres Líneas definido en la Política de Arquitectura de Control.
A través de la aplicación del Modelo Integral de Gestión de Riesgos, TGI identifica y gestiona los riesgos estratégicos y de proceso, llevando a cabo un monitoreo y control periódico en coordinación con los líderes de proceso. El control de riesgos se basa en las tres líneas del modelo de defensa, según la norma de la Confederación Europea de Institutos de Auditoría Interna (ECIIA), que define las responsabilidades hacia el Sistema de Control Interno.
Primera Línea (autocontrol, autorregulación y autogestión): corresponde a las actividades desarrolladas por cada uno de los colaboradores, incluyendo a los responsables de procesos y controles, mediante la definición y ejecución de los controles a través de políticas, procedimientos, marcos metodológicos, entre otros. La primera línea de defensa del Sistema de Control Interno se basa en tres principios clave: autocontrol, autorregulación y autogestión.
Segunda línea: se encuentran entre sí las diferentes funciones de supervisión y monitoreo desarrolladas por las áreas que realizan actividades de control de informes financieros, cumplimiento legal y regulatorio, sistemas de gestión de calidad, seguridad de la información, supervisión e inspección, y gestión de riesgos, cuando se facilita y supervisa la ejecución de las actividades de control para mitigar los riesgos
Tercera línea: corresponde a la garantía independiente a través de las actividades de auditoría interna y externa. Esta línea de defensa proporciona a los órganos de gobierno corporativo y a la alta dirección garantías razonables sobre la eficacia del gobierno corporativo, la gestión y el control de riesgos y la independencia y objetividad de la empresa.
