Guia Gestion de Riesgos

Guía Metodológica para la Gestión
Integral de Riesgos
Aplica para niveles de gestión: Grupo, Negocios, Empresas, Procesos,
Proyectos y análisis especializados.
Vicepresidencia Riesgos
Versión 08
Diciembre de 2020
Rev. No. MODIFICACION EFECTUADA FECHA
01 Se realizaron ajustes de forma en la redacción del 2014/03/01

documento, se anexó el numeral de definiciones, se precisó la
descripción de valoración de riesgos, se actualizaron los
anexos.
02 Se realizaron ajustes de forma y mejora general de la 2016/04/29
redacción. Se ajustó la introducción, se incluyeron las
definiciones, se ajustó la etapa de establecer contexto, se
precisó la etapa de identificar riesgos y controles, se incluyó la
selección de objetos de impacto dentro de la etapa de
evaluación de riesgos, se precisó la descripción del nivel de
riesgo (extremo, alto, tolerable, aceptable), se ajustó la
redacción de la descripción del índice de riesgo, se ajustó la
redacción de las etapas Monitoreo y Revisión y Comunicación
y Registro, se eliminó el anexo “Términos Usados en la
Metodología”
03 Se ajustaron los anexos: 1 Categorías y Agrupadores, 2 2018/01/05
Objetos de impacto y tablas de valoración, 4 Plantilla
Metodología GIR y se creó un anexo nuevo: 5 Formato de
documentación de controles.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
04 Se ajustó el anexo 2 Objetos de impacto y tablas de 2018/12/05

valoración, específicamente se actualizaron las tablas
financieras y se verificó que la tabla del objeto de impacto
Calidad estaba actualizada.
05 Se ajustó la redacción de la etapa de “Establecer el contexto” 2018/12/05
06 Se ajustó la etapa “Monitorear y Revisar”, el literal Revisiones 2020/01/13
07 Definición de las tipologías de riesgos de corrupción 2020/05/26
08 Se actualizó la tabla de probabilidad de la metodología. 21/12/2020
Se actualizaron las definiciones correspondientes a los objetos

de impacto reputación y ambiente. Adicionalmente, se incluyó
el objeto de impacto Social.
Se actualizaron los pasos correspondientes a la metodología

donde se realizó la revisión de nueva normatividad
correspondiente al tema, así como mejores prácticas a nivel
nacional e internacional.
ÍTEM ELABORÓ REVISÓ APROBÓ
Profesionales Dirección Director Ingeniería de

CARGO Vicepresidente Riesgos
Ingeniería de Riesgos Riesgos
Camila Carolina Betancourt.
Luis Eduardo Cataño.

NOMBRE Ángela Vergara Jaller Andrés Felipe Uribe
Juan Camilo Tamayo Ramírez.
Número de Páginas 14
EMPRESAS PÚBLICAS DE MEDELLIN E.S.P
1
Tabla de Contenido
INTRODUCCION............................................................................................................................. 3
1. CONTEXTO ............................................................................................................................. 3
1.1 OBJETIVO ............................................................................................................................. 3
1.2 ALCANCE .............................................................................................................................. 3
1.3 DEFINICIONES ...................................................................................................................... 3
2. DESCRIPCIÓN DE LA METODOLOGÍA PARA LA GESTIÓN INTEGRAL DE RIESGOS........................ 5
2.1. ESTABLECER EL ALCANCE, CONTEXTO Y CRITERIOS ................................................................. 5
2.2 IDENTIFICAR RIESGOS Y CONTROLES ........................................................................................ 6
2.2.1 Identificación de riesgos......................................................................................................... 6
2.2.2 Identificación de controles existentes ................................................................................... 7
2.3 EVALUACIÓN DE CONTROLES, OBJETO DE IMPACTO Y NIVEL DE RIESGO ................................ 7
2.3.1 Evaluación de los controles ................................................................................................ 8
2.3.2 Evaluación del riesgo con controles existentes.................................................................. 8
2.3.2.1 Objetos de impacto ......................................................................................................... 8
2.3.2.2 Probabilidad de ocurrencia del riesgo ............................................................................ 8
2.3.2.3 Consecuencia................................................................................................................... 8
2.3.2.4 Cálculo del nivel de riesgo ............................................................................................... 9
2.3.3 Matriz de riesgo.................................................................................................................. 9
2.3.4 Índice de riesgo ................................................................................................................ 10
2.4. TRATAMIENTO DE RIESGOS ................................................................................................... 10
2.4.1 Selección de alternativas de tratamiento ............................................................................. 11
2.5. SEGUIMIENTO Y REVISIÓN ..................................................................................................... 12
2.6. COMUNICACIÓN Y REGISTRO DE RIESGOS .............................................................................. 12
3. DOCUMENTOS DE REFERENCIA................................................................................................ 12
4. ANEXOS ................................................................................................................................ 12
2
INTRODUCCION
La Gestión Integral de Riesgos (GIR) es concebida para facilitar el logro del direccionamiento
estratégico y la toma de decisiones, teniendo en cuenta la interacción que existe entre los niveles
de gestión Grupo, Negocios, Empresas, Procesos, Especializados, Proyectos y de estos a su vez
con el entorno. Entre los beneficios que ofrece la gestión de riesgos se resaltan: identificar
posibles eventos que pueden afectar el logro de los objetivos, soportar y documentar la toma de
decisiones, minimizar y prevenir pérdidas, facilitar el cumplimiento de la normatividad y
regulación aplicable, así como generar confianza frente a los grupos de interés.
La guía metodológica fue construida a la medida de las particularidades y las necesidades del
Grupo EPM, tomando como referente las mejores prácticas y normas de gestión de riesgos a
nivel nacional e internacional.
El presente documento se encuentra dividido en cuatro partes. En la primera se presentan el

objetivo, el alcance y los principales términos que se utilizan en la Guía Metodológica para la
Gestión Integral de Riesgos (GIR). En la segunda, se describen cada una de las etapas de la
metodología. Finalmente, en las dos últimas partes se presentan la bibliografía y los anexos.
1. CONTEXTO
1.1 OBJETIVO
Homologar en las empresas del Grupo EPM la metodología para gestionar de forma integral los
riesgos de los niveles de gestión Grupo, Negocios, Empresas, Procesos, Especializados y
Proyectos.
1.2 ALCANCE
La guía metodológica explica cada una de las etapas de la Gestión Integral de Riesgos y es
aplicable en los niveles de gestión Grupo, Negocios, Empresas, Procesos, Especializados y
Proyectos de las diferentes empresas del Grupo EPM.
1.3 DEFINICIONES
• Riesgo: evento que al materializarse puede desviar el logro de los objetivos o afectar los objetos
de impacto.
• Contexto: aquellas condiciones internas y externas que generan posibles situaciones de riesgo
para el nivel de gestión a analizar.
• Fase de un proyecto: etapa en la cual se encuentra el proyecto que se está analizando, son:
identificación, formulación, ejecución, operación, desmantelamiento.
• Categorías y agrupadores de riesgo: conceptos utilizados para clasificar los riesgos. En el grupo
3
EPM los riesgos se clasifican en categorías y estas a su vez se desagregan en agrupadores de

acuerdo con elementos de características comunes.
• Nombre del riesgo: nombre corto del riesgo, es utilizado para clasificar los riesgos, en un nivel
más detallado que los agrupadores.
• Escenario de riesgo: descripción del riesgo que puede desviar el logro de los objetivos o afectar
los objetos de impacto.
• Evento: presencia o cambio de un conjunto particular de circunstancias.
• Origen: concepto que permiten clasificar si el riesgo obedece a condiciones internas, externas o
ambas.
• Causa: condición de origen interno o externo que genera la posibilidad de que se presente un
riesgo.
• Efecto: resultado de la materialización de un riesgo para el nivel de gestión analizado.
• Control: acción que tiende a prevenir o mitigar los riesgos. Se pueden clasificar en preventivos o
correctivos de acuerdo con su función.
• Objeto de impacto: elemento del entorno interno o externo que puede impactarse si llegara a
materializarse un riesgo. Se han definido los siguientes objetos de impacto: costo/recurso
financiero, tiempo, salud personas, reputación, ambiente, información, calidad y social.
• Objeto de impacto relevante: objeto de impacto que se afecta en mayor magnitud con la
materialización del riesgo. Es el objeto de impacto con base en el cual se evalúan las
consecuencias del escenario de riesgo.
• Probabilidad: medida de la posibilidad de que algo suceda en determinadas circunstancias de
modo, espacio y tiempo.
• Consecuencia: efecto o impacto principal de un riesgo que es considerado al momento de realizar
la valoración de acuerdo con el objeto de impacto afectado.
• Nivel de riesgo: magnitud de un riesgo expresada en términos de la consecuencia y la
probabilidad. En términos prácticos se calcula como el producto entre ambas variables.
• Matriz de riesgos: representación gráfica del nivel de los riesgos. En dicha matriz se identifican
cuatro zonas: roja (extremo), naranja (alto), amarilla (tolerable) y verde (aceptable), que
representan los niveles de aceptabilidad definidos.
Esquema de monitoreo: secuencia de acciones necesarias para la medición y análisis de la
evolución de los riesgos a partir de la implementación de acciones para su mitigación.
• Atributo del control: se refiere a las características de diseño y operación del control, así como
de su desarrollo y madurez. Actualmente se documenta la evidencia, periodicidad y responsable
del control.
4
2. DESCRIPCIÓN DE LA METODOLOGÍA PARA LA GESTIÓN INTEGRAL

DE RIESGOS
La figura 1 muestra cada una de las etapas que se aplican en la Gestión Integral de Riesgos. Dada
la importancia de cada una de las etapas, a continuación, se detallan individualmente.
Figura 1. Etapas para la Gestión Integral de Riesgos
Fuente: adaptado de ISO 31000:2018. Gestión del riesgo directrices. Ginebra Suiza.
2.1. ESTABLECER EL ALCANCE, CONTEXTO Y CRITERIOS
En esta primera etapa se busca establecer el alcance del análisis de riesgos, determinar el entorno
interno y externo del nivel de gestión sobre el cual se realizará el análisis. Para este fin se sugiere
considerar, entre otras, la información que se presenta a continuación:
• Objetivos del nivel de gestión.
• Resultados del análisis del entorno externo que permitan identificar amenazas para el nivel de
gestión en estudio, así como resultados del desempeño organizacional y el entorno interno que
permite identificar debilidades.
• Documentación asociada al nivel de gestión objeto de análisis. La documentación puede incluir
según el nivel de gestión: documentos de direccionamiento estratégico, el plan estratégico de
5
Grupo Empresarial EPM, los planes empresariales , caracterización del proceso (normograma,
objetivo, alcance, principales actividades, entradas y salidas), plan de dirección del proyecto,
presupuesto, cronograma, planes de acción, desempeño de indicadores, resultados de
auditorías externas e internas, eventos materializados, entre otros.
• Resultados obtenidos de análisis de riesgos previos realizados al nivel de gestión en estudio u
otros niveles de gestión relacionados. Esto con el fin de conocer si alguno de los riesgos
identificados en otro nivel de gestión se puede llegar a materializar en el nivel analizado.
Adicionalmente, el responsable del nivel de gestión objeto de análisis debe asignar el equipo de
trabajo y los recursos necesarios para aplicar la metodología de Gestión Integral de Riesgos.
Al finalizar esta etapa de la metodología se espera contar con los siguientes elementos:
• Equipo de trabajo para realizar el análisis de riesgos en el nivel de gestión.

• Entendimiento homologado por parte del equipo de trabajo de los aspectos básicos del nivel de
gestión. Claridad sobre los objetivos del nivel de gestión.
• Plan de trabajo para el análisis de riesgos.
• Identificación preliminar de riesgos la cual puede incluir señales de riesgo de los ejercicios de
planeación realizados en los diferentes niveles de gestión relacionados, riesgos vigentes de
ejercicios anteriores, riesgos identificados a partir de la documentación analizada, o riesgos de
niveles de gestión diferentes que se pueden materializar en el nivel de gestión analizado.
2.2 IDENTIFICAR RIESGOS Y CONTROLES
2.2.1 Identificación de riesgos
Teniendo en cuenta los elementos de la etapa anterior, con el equipo de trabajo se valida la
identificación preliminar de riesgos y se identifican nuevos. Posteriormente, estos riesgos se deben
caracterizar de acuerdo con los siguientes elementos que los describen y detallan.
• Código de riesgo: identificador para el riesgo.

• Estado: corresponden a los estados del ciclo de vida de los proyectos donde se identifican los
riesgos (ver anexo 1 Clasificaciones por estados y nombres de riesgos).
• Categoría: de acuerdo con la clasificación establecida por la metodología (ver anexo 2 Categorías
y agrupadores de riesgos).
• Agrupador: de acuerdo con la clasificación establecida por la metodología (ver anexo 2
Categorías y agrupadores de riesgos).
• Nombre de riesgo: debe ser un nombre corto, de acuerdo con la clasificación establecida por la
metodología (ver anexo 1 Clasificaciones por estados y nombres de riesgos).
• Escenario de riesgo: descripción del riesgo que puede desviar el logro de los objetivos o afectar
los objetos de impacto.
6
• Origen del riesgo: entorno interno, externo o ambos donde se presenta el riesgo.
• Causas: de acuerdo con la descripción del escenario de riesgo identificar las situaciones que
pueden originar este. Generalmente, al identificar de forma adecuada las causas, se facilita la
identificación posterior de los controles preventivos y de las recomendaciones para las acciones
de tratamiento.
• Efectos: de acuerdo con la descripción del escenario de riesgo, identificar los posibles resultados
que tendría la materialización de este en el nivel de gestión, así como la forma como se
afectarían cada uno de los objetos de impacto. Generalmente, el identificar de forma correcta
los efectos, facilita la identificación de los controles correctivos. Los efectos son la base para
establecer los objetos de impacto, elegir el objeto de impacto relevante y para evaluar la
consecuencia del riesgo.
Elementos que se obtienen al identificar riesgos:

• Listado de riesgos clasificados por origen, categoría y agrupador con sus, causas y efectos.
2.2.2 Identificación de controles existentes
Una vez realizada la identificación de riesgos, se pasa a identificar aquellos controles preventivos y
correctivos existentes que se aplican y que contribuyen a mitigar la probabilidad y/o la consecuencia
del riesgo. Los controles se deben especificar de forma precisa, concreta y asegurando que son
elementos que existen y se encuentran operando.
Elementos que se deben obtener al identificar controles:
• Listado de controles para cada escenario de riesgo identificado, clasificándolos en controles

preventivos si disminuyen la probabilidad de ocurrencia del riesgo, correctivos si mitigan la
severidad de las consecuencias y preventivo/correctivo si actúan simultáneamente sobre la
probabilidad y la consecuencia.
• Solo para los análisis de riesgos en procesos deben documentarse de manera más detallada
los controles, describiendo la periodicidad de aplicación del control, el responsable del
control (cargo o dependencia) y la evidencia de aplicación de este. Para lo anterior debe
utilizarse la hoja controles existentes que se encuentra disponible en la plantilla con la cual
se desarrolla la metodología GIR (ver Anexo 5 Plantilla para la metodología Gestión Integral
de Riesgos (GIR).
2.3 EVALUACIÓN DE CONTROLES, OBJETO DE IMPACTO Y NIVEL DE RIESGO
En esta etapa se valoran los controles existentes, se definen los objetos de impacto (relevante y
secundarios), se califican los riesgos en su probabilidad y consecuencia, y se calcula el nivel de riesgo,
teniendo como referencia estos controles. Esto implica que en la presente metodología la valoración
del nivel riesgo se realiza aplicando los controles existentes (ver Anexo 3 Evaluación de controles y
7
probabilidad). La calificación de los riesgos se realiza con el objeto de priorizar la gestión de acuerdo
con el nivel de riesgos de cada escenario.
2.3.1 Evaluación de los controles
Consiste en evaluar los controles existentes que se encuentran orientados a disminuir la probabilidad
o la consecuencia del riesgo. Esta evaluación se realiza tomando como referencia los criterios
presentados en la tabla de valoración de controles que se describe en el Anexo 3 Evaluación de
controles y probabilidad.
2.3.2 Evaluación del riesgo con controles existentes
2.3.2.1 Objetos de impacto
Para la evaluación de cada escenario de riesgo, el primer paso es seleccionar los objetos de
impacto que se afectan con la materialización del riesgo. Los objetos de impacto corresponden a
Costo/recurso financiero, Tiempo, Salud Personas, Calidad, Información, Imagen/Reputación,
Social y Ambiente (Ver Anexo 4 Evaluación de consecuencias por objeto de impacto). Cuando hay
varios objetos de impacto que se pueden ver involucrados, estos se deben identificar y se
selecciona aquel que se afecta en mayor medida, el cual se denomina objeto de impacto relevante.
A este objeto de impacto es al que se evalúa la consecuencia del escenario de riesgo de acuerdo
con la tabla de valoración aplicable (Ver Anexo 4 Evaluación de consecuencias por objeto de
impacto). Los objetos de impacto que no se clasifican como relevantes, se identifican, utilizando
una marca de 0-1, en las casillas respectivas de la plantilla para el análisis de riesgos (ver Anexo 5
Plantilla para la metodología Gestión Integral de Riesgos (GIR).
2.3.2.2 Probabilidad de ocurrencia del riesgo
Según la disponibilidad de información histórica respecto al riesgo analizado o, con base en el

conocimiento y experiencia del equipo evaluador (juicio de expertos), se califica la probabilidad de
ocurrencia de cada escenario de riesgo, de acuerdo con los criterios que se detallan en la tabla de
evaluación de la probabilidad que se presenta en el Anexo 3 Evaluación de controles y
probabilidad.
2.3.2.3 Consecuencia
Según la disponibilidad de información histórica respecto al riesgo analizado o, con base en el

conocimiento y experiencia del equipo evaluador (juicio de expertos), se califica la consecuencia
considerando el objeto de impacto relevante. Esto de acuerdo con los criterios definidos en las
8
tablas para valoración de la consecuencia que se presentan en el Anexo 4 Evaluación de

consecuencias por objeto de impacto.
2.3.2.4 Cálculo del nivel de riesgo
Una vez definida la probabilidad y la consecuencia para el escenario de riesgo, se procede a calcular
el nivel de riesgo, el cual se obtiene a partir de la multiplicación de ambas variables. Para el cálculo
es importante tener en cuenta que cada elemento de la probabilidad y la consecuencia tienen un
valor asociado. Para el caso de la probabilidad los valores obedecen a un patrón lineal con uno (1)
como mínimo y cinco (5) como máximo. Para la consecuencia la escala es geométrica con uno (1)
como mínimo y dieciséis (16) como máximo. De esta forma se da más importancia a la consecuencia
que a la probabilidad de ocurrencia.
2.3.3 Matriz de riesgo
La matriz es una representación gráfica de los riesgos identificados. Su utilidad es la de reconocer y

priorizar los riesgos sobre los cuales debe centrarse la gestión, de acuerdo con la zona de la matriz
en la cual se ubica el riesgo. A continuación, se explican las zonas de la matriz y las acciones que se
recomiendan tomar en cada una de ellas.
Figura 2. Matriz de riesgos

CONSECUENCIA
Mínima Menor Moderada Mayor Máxima

PROBABILIDAD
1 2 4 8 16
Muy alta 5 5 10 20 40 80
Alta 4 4 8 16 32 64
Media 3 3 6 12 24 48
Baja 2 2 4 8 16 32
Muy baja 1 1 2 4 8 16
Riesgo extremo (zona roja): son riesgos de máxima prioridad, por lo que se requiere que los controles
existentes estén operando adecuadamente, y las nuevas acciones de tratamiento se apliquen de
manera prioritaria.
Riesgo alto (zona naranja): son riesgos de alta prioridad, por lo que se requiere que los controles
existentes estén operando adecuadamente, y las nuevas acciones de tratamiento se apliquen a corto
plazo.
9
Riesgo tolerable (zona amarilla): son riesgos de prioridad moderada, por lo que se requiere que los
controles existentes estén operando adecuadamente. Las nuevas acciones de tratamiento se aplican
en el mediano plazo.
Riesgo aceptable (zona verde): son riesgos de baja prioridad, por lo cual los controles existentes son
suficientes para tratarlos.
Nota. En la práctica se recomienda definir acciones de mejoramiento para los riesgos extremos y
altos, sin embargo, se pueden dar casos especiales en que este tipo de riesgos, dadas sus
características, mantengan en el tiempo niveles de riesgos representativos a pesar de que existan
suficientes controles definidos. En este sentido, las acciones de tratamiento son potestad del
responsable del riesgo. Todos los riesgos deben ponerse en conocimiento de estos responsables.
Elementos que se obtienen al desarrollar la etapa de evaluación de riesgos:

• Matriz de riesgos
2.3.4 Índice de riesgo
El índice de riesgo es un valor numérico entre cero y uno que se calcula para el nivel de gestión en
términos de la probabilidad y la consecuencia de cada uno de los riesgos identificados, donde valores
cercanos a uno representan mayor riesgo. El índice tiene dos objetivos: por un lado, resumir en un
único valor el riesgo general del análisis realizado y por el otro facilitar el seguimiento a la evolución
del riesgo general en el tiempo.
Figura 3. Rangos para el índice de riesgos

𝟎. 𝟔𝟕 < 𝑰𝒓 ≤ 𝟏. 𝟎𝟎 Muy alto
𝟎. 𝟓𝟑 < 𝑰𝒓 ≤ 𝟎. 𝟔𝟕 Alto
𝟎. 𝟑𝟕 < 𝑰𝒓 ≤ 𝟎. 𝟓𝟑 Medio
𝟎. 𝟎𝟎 ≤ 𝑰𝒓 ≤ 𝟎. 𝟑𝟕 Bajo
2.4. TRATAMIENTO DE RIESGOS

El tratamiento del riesgo implica la identificación de acciones potenciales a implementar para
prevenir o mitigar los riesgos. El equipo de trabajo debe tomar como punto de partida los controles
existentes que fueron considerados durante la evaluación de los riesgos, y teniendo en cuenta esta
base debe identificar acciones faltantes y que son importantes para prevenir o mitigar los riesgos
identificados. Se sugieren entre otras:
• Mejorar los controles existentes.
• Diseñar e implementar nuevas acciones.
10
2.4.1 Selección de alternativas de tratamiento

Para seleccionar la alternativa de tratamiento adecuado, se debe partir de la identificación de las
posibles acciones que podrían ayudar a controlar el riesgo, las cuales se deben analizar teniendo
como referencia costos y posibilidad de implementación.
Dentro de las estrategias para el tratamiento del riesgo puede elegirse o bien reducir la probabilidad
de ocurrencia o el impacto de las consecuencias. Estas opciones pueden aplicarse individualmente o
en combinación.
Una vez definido el nivel de riesgo, el equipo de trabajo (expertos o conocedores del nivel de gestión)
recomiendan acciones acordes con las opciones de tratamiento mencionadas en la figura 4, con el
objeto de prevenir y/o mitigar el riesgo. Estas acciones son la base para que el responsable del nivel
de gestión defina y formalice el plan de tratamiento, de acuerdo con lo establecido en la Guía
Metodológica para gestión de Planes de Mejoramiento vigente para el Grupo EPM.
Figura 4. Opciones de tratamiento de riesgos
Fuente: elaboración propia.
11
2.5. SEGUIMIENTO Y REVISIÓN

La gestión integral de riesgos se apoya en revisiones periódicas como mecanismos para realizar el
seguimiento y la revisión de estos. En este sentido, el responsable del nivel de gestión deberá realizar
la reunión de revisión de los riesgos, convocando a los responsables involucrados en la gestión de
estos, así como en la implementación de las acciones de tratamiento. En este caso, se debe revisar la
implementación efectiva de las acciones de tratamiento propuestas y, de acuerdo con el resultado,
evaluar nuevamente los riesgos en su probabilidad, consecuencia y nivel de riesgo. Adicionalmente,
identificar si existen nuevos riesgos y definir estrategias para la mejora continua.
2.6. COMUNICACIÓN Y REGISTRO DE RIESGOS

Los responsables de los diferentes niveles de gestión, en conjunto con los profesionales de la
Dirección Ingeniería de Riesgos, documentarán y mantendrán actualizada toda la información de los
riesgos en el sistema de información definido para tal fin. Además, los responsables de los niveles de
gestión comunicarán los riesgos y acciones de tratamiento a todos los involucrados.
3. DOCUMENTOS DE REFERENCIA
• Modelo Integrado de Planeación y Gestión (MIPG), Departamento Administrativo de la
Función Pública -Carrera 6 No 12-62, Bogotá D.C., Colombia, 2017.
• ISO 31000 2018-02, Ginebra, Suiza, Gestión del riesgo – Directrices.
• (Coso) Comittee of Sponsoring Organizations of the Treadway Comission- ERM (Enterprice
Risk Management- Integrating with Strategy and Performance), USA, 2017.
4. ANEXOS
• ANEXO 1. Clasificación por estados y nombres de riesgo.
• ANEXO 2. Categorías y agrupadores de riesgos.
• ANEXO 3. Evaluación de controles y probabilidad.
• ANEXO 4. Evaluación de consecuencias por objeto de impacto.
• ANEXO 5. Plantilla para la metodología Gestión Integral de Riesgos (GIR).
• ANEXO 6. Tipologías riesgos de corrupción.
12
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
ANEXO 1. ESTADOS DE PROYECTOS PARA LA CLASIFICACIÓN DE RIESGOS Y NOMBRES DE RIESGOS.
1.1. ESTADO DEL PROYECTO PARA LA CLASIFICACIÓN DE RIESGOS.
Para su análisis los riesgos se clasifican de acuerdo con el estado del proyecto donde se pueden presentar. A continuación,
se listan los estados y las fases asociadas, utilizadas en la metodología Gestión Integral de Riesgos. Si el riesgo aplica en
varios estados, se debe elegir la clasificación denominada transversal. Para niveles de gestión diferentes a proyectos, se
recomienda utilizar el estado evaluación (fase operación).
Estados y Fases del ciclo de vida de los proyectos

Estado Identificación Formulación Ejecución Terminación Evaluación
Fase Iniciativa Idea Pre-Factibilidad Factibilidad Planeación Ejecución Diseño Desarrollo Puesta Servicio Cierre Operación Desmantelamiento
✓ Identificación
✓ Formulación
✓ Ejecución
✓ Terminación
✓ Evaluación
✓ Transversal (Se utiliza si el riesgo aplica a varias etapas).
1.2. NOMBRES DE LOS RIESGOS
Con el fin de asignar un nombre corto, a continuación, se listan nombres de riesgos para diferentes temas.
NOMBRES DE RIESGOS
Abuso del poder/ autoridad
Acciones sociales colectivas en contra la prestación del servicio
Actos fraudulentos
Actos mal intencionados de terceros
Actuaciones adversas de grupos armados ilegales
Afectación de la salud y el bienestar de las personas por condiciones y situaciones laborales
Afectación al patrimonio cultural y/o arqueológico
Cambios desfavorables en las variables comerciales
Cambios desfavorables en las variables de mercado
Cambios normativos desfavorables
NOMBRES DE RIESGOS
Ciber ataques
Clientelismo
Colusión
Concusión
Conflicto de intereses
Conflicto sociopolítico asociado a la obtención, administración y disposición del activo
inmobiliario
Conflicto sociopolítico por la oposición de actores políticos (con capacidad de influencia y
decisión amparado en facultades jurídicas y administrativas)
Conflicto sociopolítico por oposición de organizaciones y movimientos ambientales, sociales y de
derechos humanos.
Conflicto sociopolítico por la constitución de servidumbres o adquisición de predios con solicitud
o en proceso de restitución a víctimas del conflicto armado.
Conflicto sociopolítico asociados a la vulneración de derechos de comunidades étnicas.
Conflicto sociopolítico por altas expectativas de los grupos de interés.
Conflicto sociopolítico por malas prácticas de contratistas durante los diseños y/o construcción
de los proyectos que afectan a los diferentes grupos de interés.
Contagio o vinculación con personas o actividades relacionadas con financiación de terrorismo
Contagio o vinculación con personas o actividades relacionadas con lavado de activos
Daños de la infraestructura, maquinaria y equipos
Debilidades en los atributos de la información
Deficiencias en la adaptación frente a la variabilidad climática
Deficiencias en la definición de indicadores / metas de desempeño
Deficiencias en la planeación
Deficiencias en las capacidades organizacionales
Definición o implementación errónea de estrategias
Defraudación de fluidos
Deterioro de la calificación de riesgo de emisor
Deterioro en la calidad de los recursos naturales para la prestación del servicio
Dificultad para acceder a recursos naturales para la prestación de los servicios
Dificultad para conseguir la fuerza laboral idónea en el mercado
Dificultad para cumplir los supuestos de los planes de negocios
Dificultad para realizar las actividades de operación comercial
Dificultades en la consecución de recursos de deuda
Diseño o Implementación errónea de metodologías
Disminución de la participación en el mercado
Entrega deficiente o inoportuna de proyectos a la operación
Errores u omisiones en procesos y procedimientos
Escapes o perdidas de fluidos (energía, gas y agua)
Escasez de recursos naturales para la prestación de los servicios
Eventos naturales/ antrópicos desfavorables
NOMBRES DE RIESGOS
Extorsión
Fallas en el ciclo del mantenimiento
Fallas en la gestión de proveedores
Fallas en las interacciones entre los diferentes involucrados del proceso o entre procesos
Fallas en las tecnologías de información / operación que soporta el proceso
Falta de apoyo/compromiso de la Alta Dirección
Falta de homologación de métodos de trabajo
Falta de idoneidad del talento humano existente
Inadecuada administración de los contratos
Inadecuada definición de los supuestos o estructura de los modelos cuantitativos y financieros
Inadecuada gestión de activos
Inadecuada gestión de inventarios
Inadecuada identificación y cumplimiento de requisitos de participación en licitaciones externas o
subastas (actuando como CONTRATISTA)
Inadecuada implementación del modelo de negocio en el Grupo EPM
Inadecuada injerencia por parte de agentes políticos
Inadecuada intervención al ambiente (intencionada o no)
Inadecuada o no atención de grupos de interés
Inadecuado manejo de perfiles y claves de usuario
Inadecuado relacionamiento / comunicación de la información a grupos de interés
Incumplimiento de compromisos o requisitos con los grupos de interés
Incumplimiento de la normatividad
Incumplimiento de las obligaciones de pago a terceros
Incumplimiento de las obligaciones de pago por parte de terceros
Incumplimientos contractuales
Inoportunidad en la incorporación de tecnologías disponibles en el mercado
Insuficiencia de materiales e insumos
Insuficiencia de personal
Insuficiencia de proveedores que cumplan requisitos de participación
Insuficiencia de recursos financieros
Insuficiencia/ indisponibilidad de infraestructura
Insuficiencia/ indisponibilidad de maquinaria y/o equipos
Insuficiencia/ indisponibilidad de recursos informáticos / tecnológicos
Inconvenientes asociados a la constitución de servidumbres o adquisición de predios
Inconvenientes para la obtención de permisos (ambientales, rotura, PMT, entre otros)
Litigios o controversias con contratistas
Malversación de fondos
Nepotismo
No desarrollar oportunamente nuevos negocios
Pérdida del conocimiento clave
NOMBRES DE RIESGOS
Poca capacidad de resiliencia
Presiones adversas por parte de agentes privados
Proliferación de bacterias y plagas
Reclamaciones de terceros
Resistencia al cambio
Soborno / Cohecho
Tráfico de influencias
Uso inadecuado de los activos
Uso inadecuado de los recursos naturales
Uso indebido de información privilegiada
Uso indebido de la información
Vulneración de derechos humanos de propios o terceros
ANEXO 2. CATEGORIAS Y AGRUPADORES DE RIESGOS
A continuación, se describen las categorías y agrupadores utilizados para clasificar los riesgos durante la aplicación
de la metodología de Gestión Integral de Riesgos. La importancia de esta clasificación radica en que permite
categorizar los riesgos identificados y, a partir de ahí, analizar aquellos grupos de riesgos que se materializan con
más frecuencia en los niveles de gestión que se analizan.
Categoría Agrupador Definición
Debilidades en la gestión y consecución de ingresos económicos derivados de

Riesgo en la gestión
Comercial toda la actividad empresarial, incluye la facturación, la recepción y registro de
de los ingresos
ingresos y la gestión y recuperación de las cuentas por cobrar.
Errores o deficiencias en la gestión de las operaciones relacionadas con la

estructuración e implementación de ofertas comerciales, venta de los productos,
Comercial Riesgo comercial
servicios y relacionamiento con clientes/usuarios desde la captura, conservación,
fidelización y respuesta oportuna a sus requerimientos.
Actuaciones de los grupos de interés, en su interacción con las empresas del

Grupo EPM, contrarias a los valores institucionales o que atenten contra sus
objetos de impacto.
Cumplimiento Actos indebidos
Ejemplo: fraude, corrupción, lavado de activos, financiación del terrorismo,
conflictos éticos, acoso laboral.
Diferencia de criterios en la interpretación, modificaciones adversas, o

Riesgo jurídico y
Cumplimiento incumplimiento a la normatividad y a la regulación aplicable a las actividades
regulatorio
desarrolladas por el Grupo EPM (actividades de soporte o los negocios).
No cumplir con las condiciones contractuales a las cuales se obligan las empresas
Incumplimientos del Grupo EPM cuando actúan como contratista, cuando firman contratos con
Cumplimiento
contractuales entidades bancarias o crediticias, con la nación, en convenios
interadministrativos, entre otros.
Actuaciones al margen de la ley en las zonas de influencia del Grupo EPM o dónde
Riesgo de orden éste tiene planeado desarrollar actividades que pueda afectar la infraestructura
Estratégico
público física, los proyectos, los sistemas de información, la supervisión y control de las
infraestructuras críticas o a la gente EPM.
Ausencia de un modelo de gestión integral para el Grupo EPM*, o teniendo el

modelo que éste no responda a las necesidades del Grupo EPM, o que no se
implemente o difunda adecuadamente.
Está asociado a como ejecuta EPM su papel de matriz del Grupo y el impacto que
dicho papel tiene sobre la gestión de las filiales.
Carencia de un direccionamiento estratégico, o existiendo éste que no se

implemente de manera adecuada, no se actualice, no sea interiorizado en la
cultura organizacional, no consulte la capacidad y competencias del Grupo para
Estratégico del grupo
responder a las señales del entorno.
empresarial
Actuación de subordinadas e inversiones por fuera del Gobierno Corporativo.
Ausencia, desacertada definición o implementación de políticas y lineamientos

corporativos.
* Modelo gestión integral: conjunto de valores, principios, políticas, reglas,

medios, prácticas y procesos por medio de los cuales el Grupo EPM es dirigido,
operado y controlado.
Riesgo de conflictos Condiciones adversas en variables del entorno en sus dimensiones culturales y
Estratégico culturales, sociales y sociales que afecten la organización en su operación y el logro de los objetivos
políticos estratégicos.
Dificultad o imposibilidad para incursionar o aumentar participación en los

Riesgo de planeación negocios o mercados objetivo, cumplir los supuestos de los planes de negocios,
Estratégico
y crecimiento sostener el crecimiento alcanzado. Tomar decisiones de inversión desacertadas.
No gestionar adecuadamente los proyectos.
Eventos que generan impacto negativo al medio ambiente o causan alteración del
Estratégico Riesgo ambiental
factor ambiental del entorno por actividades ejercidas por el Grupo EPM.
Falta de competencias de los empleados y contratistas del Grupo EPM para

relacionarse con los grupos de interés, lo cual puede generar malestar,
Riesgo de imposibilidad de ejecutar la estrategia, resentimiento y rechazo en los grupos de
Estratégico relacionamiento con interés.
grupos de interés
Incapacidad para alinear las expectativas de los grupos de interés con los
objetivos de la empresa, el negocio, el proyecto o el proceso.
Insuficiencias o deficiencias en la adaptabilidad del Grupo para innovar o

incorporar soluciones a partir de tecnologías disponibles para potencializar
Riesgo en el
negocios y optimizar procesos. Esto podría generar productos y servicios no
Estratégico desarrollo y la
aceptados por el mercado, de fácil imitación, de obsolescencia rápida, difíciles de
innovación
implementar, con costos no recuperables o que limiten y afecten los productos y
servicios actuales.
Intervención contraria al direccionamiento estratégico del Grupo EPM por parte

de los agentes políticos que actúan a su alrededor, bien sea por su estructura de
Estratégico Riesgo político
propiedad, por la naturaleza de su objeto o por su relevancia en los mercados
donde actúa, teniendo en cuenta influencia, poder o necesidad.
No lograr coherencia entre las actuaciones del Grupo EPM, los comportamientos
Riesgo de reputación
Estratégico de la gente EPM y la imagen proyectada a los grupos de interés frente a los
e imagen
compromisos adquiridos, generando pérdida de confianza y posicionamiento.
Cambios en las variables de mercado que puedan generar pérdidas económicas

al Grupo EPM. Las variables de mercado hacen referencia a tasas de cambio, tasas
Financiero Riesgo de mercado de interés, títulos valores, commodities, entre otros. Los cambios desfavorables
pueden impactar estados financieros, flujo de caja, indicadores financieros y la
viabilidad de proyectos e inversiones.
Escasez de fondos o dificultad para obtener los recursos necesarios para cumplir
Financiero Riesgo de liquidez con las obligaciones contractuales y ejecutar estrategias de inversión del Grupo
EPM.
Incumplimiento de las obligaciones de pago por parte de terceros derivadas de

Financiero Riesgo de crédito
contratos o transacciones financieras celebradas con el Grupo EPM.
Actuaciones u omisiones por parte de gente EPM o terceros, que impliquen la

Operacional alteración de los atributos de confidencialidad, integridad, disponibilidad,
de la información
trazabilidad y no repudio de los activos de información.
Actuaciones u omisiones, no motivadas por la intención de causar un daño u

Riesgo en procesos y
Operacional obtener beneficio, o ausencia o deficiencia en la definición, documentación,
procedimientos
comunicación, capacitación o aplicación de los procedimientos.
Afectación de la operación, prestación y calidad del servicio por condiciones

hidrometeorológicas, climáticas y por fenómenos naturales.
Riesgos naturales y
Operacional A qué se refiere: eventos de precipitación o sequías extremas, inundaciones
antrópicos
lentas y súbitas, avenidas torrenciales, flujos de lodos, vientos fuertes, huracanes,
sequías, olas de frío o calor, incendios forestales, tormentas eléctricas,
variabilidad de la disponibilidad del recurso hídrico, entre otros.
Debilidades en la forma de dar a conocer y administrar las actividades

Riesgo en la gestión relacionadas con el conocimiento, así como su creación, captura, documentación,
Operacional
del conocimiento transferencia y uso, lo cual lleva a una administración poco efectiva del capital
intelectual como activo de la organización.
Deficiencias, falta o falla en el ciclo de suministro de bienes y servicios que afecta

la operación y/o la continuidad del servicio en el Grupo EPM.
El ciclo de suministro comprende la planificación operativa de los bienes y
Operacional de la cadena de
servicios requeridos por las dependencias; la contratación de bienes y servicios;
suministro
la administración de almacenes e inventarios; la gestoría administrativa y técnica
de contratos; así como la gestión de los proveedores.
Incluye incumplimiento por parte de contratistas o proveedores.
Falla o Esto se puede presentar, entre otros, por problemas de dimensionamiento,

Operacional indisponibilidad de diseño, desempeño, adquisición, construcción, información, conocimiento,
activos mantenibilidad, confiabilidad, inversiones, costos o cumplimiento normativo.
No disponer de los conocimientos, destrezas, habilidades, talentos y know-how

requeridos para desarrollar las actividades requeridas por la estrategia. No contar
con las habilidades administrativas para aprovechar y capitalizar el talento
humano con el fin de obtener los objetivos empresariales.
No contar con la cantidad suficiente de personal propio o contratista para cumplir

Riesgo en la gestión con las actividades requeridas en las condiciones y tiempos establecidos.
Operacional
del talento humano
Resistencia o rechazo por parte de las personas a los cambios implementados.
Afectación a la salud individual o colectiva del personal propio o contratista por

los accidentes de trabajo y las enfermedades profesionales que le pueden ocurrir
durante la realización de su trabajo. Incluye los factores relacionados con riesgo
psicosocial.
ANEXO 3. EVALUACIÓN DE CONTROLES Y PROBABILIDAD
3.1. EVALUACIÓN DE CONTROLES
Criterios del nivel de los controles

Atributos El control se ejecuta de forma manual, su frecuencia de aplicación es
esporádica, no hay responsable asignado y está sin documentar en sus
componentes y/o su aplicación.
· Los controles no cumplen ningún tipo de normativa
1 Muy Bajo · No se presta ninguna atención al riesgo
· Confiabilidad: < 30%
Efectividad Efectividad muy deficiente

Eficacia Eficacia muy deficiente
Atributos El control se ejecuta de forma manual o semiautomática, su frecuencia de
aplicación es esporádica o periódica, hay responsable asignado sin formalizar
y está deficientemente documentado en sus componentes y/o su aplicación.
· Los controles cumplen parcialmente requerimientos normativos mínimos
2 Bajo · Atención baja al riesgo
· Confiabilidad: [30% - 50%)
Efectividad Efectividad deficiente

Eficacia Eficacia deficiente
Atributos El control se ejecuta de forma semiautomática, su frecuencia de aplicación es
periódica, hay responsable asignado sin formalizar y está parcialmente
documentado en sus componentes y/o su aplicación.
· Los controles cumplen requerimientos normativos mínimos
3 Medio · Atención moderada al riesgo
· Confiabilidad: [ 50% - 70%)
Efectividad Efectividad moderada

Eficacia Eficacia moderada
Atributos El control se ejecuta de forma semiautomática o sistematizada, su frecuencia
de aplicación es periódica o continua, hay responsable asignado formalmente
y está cerca de documentarse completamente en sus componentes y/o su
aplicación.
· Atención significativa al riesgo
3 Alto
· Se han implementado los controles desde la perspectiva Costo/ Beneficio
· Confiabilidad: [ 70% - 95%)
Efectividad Alta efectividad

Eficacia Alta eficacia
Criterios del nivel de los controles

Atributos El control se ejecuta de forma sistematizada, su frecuencia de aplicación es
continua, tiene responsable asignado formalmente, está completamente
documentado en sus componentes y se documenta su aplicación.
· Redundancia de controles
3 Muy Alto · Aplicación de mejores prácticas
· Confiabilidad: ≥ 95%
Efectividad Muy alta efectividad

Eficacia Muy alta eficacia
3.2. EVALUACIÓN DE PROBABILIDAD
Probabilidad
Valor Clasificación Descripción Frecuencia
estadística
Mayor del El evento ocurre Más de 10
5 Muy alta
84% permanentemente veces al año.
El evento se presenta con cierta Entre 1 vez y
4 Alta 50.1% - 84% regularidad. Ocurre muchas 10 veces al
veces año.
Evento que se presenta en
Una vez entre
3 Media 16.1% - 50% forma esporádica. Ocurre varias
1 y 5 años.
veces.
Una vez entre
Evento no habitual. Poco
2 Baja 2.1% - 16% los 5 y los 20
frecuente
años.
Evento que ocurre en forma
Menor o Una vez en 20
1 Muy baja excepcional. Muy difícil que
igual al 2% o más años.
ocurra
ANEXO 4. EVALUACIÓN DE CONSECUENCIAS POR OBJETO DE IMPACTO
1. Objeto de impacto costo / recurso financiero
Para este objeto de impacto se cuenta con varias opciones de acuerdo con el nivel
de gestión analizado. Tener en cuenta, que los impactos mencionados a
continuación no pueden exceder la tabla financiera establecida como referente para
el Grupo EPM. Si este es el caso, se debe utilizar el referente.
- Proyectos de ingeniería (construcción): la escala se define como un
porcentaje del valor del proyecto. Para el porcentaje se sugiere inicialmente
entre un 10% - 20% del valor del proyecto para la clasificación máxima. Las
clasificaciones intermedias (mayor, moderada, menor y mínima) se definen
automáticamente de acuerdo con el valor asignado para la máxima.
- Proyectos adquisición / compra de negocio: la escala se define como un

porcentaje del valor presente neto (VPN) del negocio o, si se tiene más
información, el valor de la variación en el VPN cuando la tasa de descuento
(costo de capital de la valoración financiera) se reduce para llegar al valor
mínimo esperado (de acuerdo con referente establecidos por Planeación
Financiera). Se sugiere inicialmente un 10% del VPN para definir la clasificación
máxima. Las clasificaciones intermedias se definen automáticamente de
acuerdo con el valor asignado para la máxima.
- Grupo, Negocio y Empresa: se cuenta con tablas de valoración de recurso

financiero para Grupo, Negocio (Generación, Transmisión y Distribución,
Gas, Provisión de Agua, Gestión de Agua Residual y Gestión Residuos
Sólidos), así como para filiales nacionales e internacionales.
- Procesos: las tablas de valoración de recurso financiero de los procesos de

soporte se construyen en cada uno de los análisis de riesgos que se realicen,
de acuerdo con el mayor valor entre el presupuesto del proceso y la
responsabilidad que tenga el mismo en la administración de recursos.
Al realizar el análisis de riesgos en los procesos de soporte de las filiales, se
recomienda tener en cuenta para la construcción de la tabla costo/recurso
financiero el mismo parametro que se uso para el análisis de riesgos en los
procesos de EPM.
2. Objeto de impacto tiempo
Para este objeto de impacto la tabla de valoración debe construirse al momento de

realizar el análisis de riesgos, teniendo en cuenta que solo aplica para proyectos y
se define como un porcentaje de la duración de este. Se sugiere inicialmente entre
un 10% - 20% de la duración del proyecto para la clasificación máxima. Las
clasificaciones intermedias se definen automáticamente de acuerdo con el valor
asignado para la máxima.
NOTA. A diferencia de los objetos de impacto mencionados hasta ahora
(costo/recurso financiero y tiempo), los siguientes objetos de impacto cuentan con
unos descriptores estándar que se mantienen sin importar el nivel de gestión
analizado.
3. Objeto de impacto Salud Personas
Se refiere al impacto que la materialización de un riesgo puede tener en el estado

de salud física, mental y bienestar de funcionarios, contratista, visitante o miembro
de la comunidad.
4. Objeto de impacto Imagen/Reputación
Se refiere al impacto que un riesgo puede tener en aspectos como confianza y

credibilidad de los Grupo de Interés en los compromisos del Grupo EPM.
5. Objeto de impacto Calidad
Describe las consecuencias que puede tener la materialización de un riesgo en la

capacidad que tiene el proceso, proyecto, negocio, empresa o instalación de cumplir
con los estándares establecidos para el producto o servicio del cual es responsable
o ejecuta.
6. Objeto de impacto Ambiental
Se refiere al impacto que se puede tener en las condiciones ambientales (físicas y

bióticas) en las cuales se desarrollan las actividades del nivel de gestión analizado.
En este objeto de impacto no se incluye el aspecto social.
7. Objeto de impacto Información
Describe el impacto que la materialización de un riesgo puede tener en la

disponibilidad, confidencialidad e integridad de la información que administra o
modifica el nivel de gestión analizado.
8. Objeto de impacto Social.
Se refiere al impacto que se puede generar el proyecto, el proceso, la instalación,

la empresa, el negocio en las condiciones sociales de las zonas en las cuales se
desarrolla.
En las siguientes tablas se muestran los descriptores para evaluar los diferentes
objetos de impacto seleccionados.
Valor Clasificación Salud Personas

Muerte o invalidez mínimo de una (1) persona sea funcionario, contratista, visitante o
miembro de la comunidad.
16 Máxima
Secuestro mínimo de una (1) persona sea funcionario, contratista o visitante.
Pérdidas anatómicas o funcionales que se presenten por lo menos en un (1) funcionario,

8 Mayor
contratista o miembro de la comunidad.
Lesiones con incapacidad mayor a 30 días de por lo menos una (1) persona sea funcionario
o contratista.
4 Moderada
Lesiones con incapacidad para mínimo un miembro de la comunidad.
Lesiones con incapacidad hasta 30 días de por lo menos una (1) persona sea funcionario o
2 Menor
contratista.
1 Mínima Lesiones sin incapacidad.

Valor Clasificación Imagen / Reputación

* Se generen fallos o pronunciamientos en contra del Grupo EPM por parte de entes de
control y/o autoridades competentes (Estado), que produzcan graves sanciones (multas,
pérdidas de licencias, sanciones o investigaciones a directivos) por temas asociados a
impacto al medio ambiente, incumplimiento normativo, derechos humanos, lavado de
activos y financiación del terrorismo (LAFT), así como fraude y/o corrupción.
16 Máxima * Se generen fallos o pronunciamientos en contra del Grupo EPM por parte de entes de
control y/o autoridades competentes (Estado), que produzcan reacciones adversas
(disminución de la calificación de riesgo, reclamos de tenedores de bonos, exposición en
redes sociales por más de un mes) de inversionistas, calificadoras de riesgos y/o medios
de difusión internacionales y nacionales, por temas asociados a impacto al medio
ambiente, incumplimiento normativo, derechos humanos, lavado de activos y
financiación del terrorismo (LAFT), así como fraude y/o corrupción.
*Se generen fallos o pronunciamientos en contra del Grupo EPM por parte de entes de
control y/o autoridades competentes (Estado), que produzcan investigaciones y/o
pronunciamientos de estas, pero sin sanciones, por temas asociados a impacto al medio
ambiente, incumplimiento normativo, derechos humanos, lavado de activos y
financiación del terrorismo (LAFT), así como fraude y/o corrupción.
8 Mayor
*Se producen reacciones adversas en medios de difusión nacionales o que tienen un
alcance e impacto alto de acuerdo con las métricas del monitoreo de redes (alta
relevancia del autor que publica y más de 10.000 menciones), por temas asociados a
impacto al medio ambiente, incumplimiento normativo, derechos humanos, lavado de
activos y financiación del terrorismo (LAFT), así como fraude y/o corrupción.
* Se generan reacciones de alcance e impacto medio de acuerdo con las métricas del
monitoreo de redes (media relevancia del autor que publica y entre 5.000 y 10.000
menciones) en la comunidad, clientes y usuarios a través de redes sociales por temas
4 Moderada asociados a calidad de productos y servicios, responsabilidad ambiental y social, así como
transparencia y apertura en la información.
* Se presenta difusión masiva en medios regionales.
* Se generan reacciones de alcance e impacto bajo de acuerdo con las métricas del
monitoreo de redes (baja relevancia del autor que publica y menos de 5.000 menciones)
en la comunidad, clientes y usuarios a través de redes sociales por temas asociados a
2 Menor calidad de productos y servicios, responsabilidad ambiental y social, así como
transparencia y apertura en la información.
* Se presenta difusión masiva en medios locales.
* Se presentan comentarios desfavorables directamente a las personas responsables de

los proyectos o la operación en la zona de influencia. La confianza por parte grupo de
1 Mínima
interés y líderes de opinión se recupera rápidamente con las medidas implementadas
frente a los comentarios.
Valor Clasificación Calidad

La ocurrencia del evento genera un deterioro en indicadores claves de gestión del proceso
(internos y externos) hasta un nivel inaceptable generando desviaciones en la calidad del
producto / Servicio prestado, afectando el cumplimiento de compromisos legales,
16 Máxima
comerciales y contractuales del negocio con los grupos de interés involucrados; su atención
requiere de grandes modificaciones y reprocesos que conllevan necesariamente a la
interrupción del proceso para su solución.
La ocurrencia del evento genera un deterioro en varios indicadores de gestión de

compromiso internos y externos del proceso hasta un nivel de alarma, ocasionando
algunos incumplimientos de compromisos legales, comerciales y contractuales del negocio
8 Mayor
con los grupos de interés involucrados; igualmente se presentan algunas desviaciones en
la calidad del producto / Servicio prestado que pueden conllevar la interrupción del
proceso para su solución.
La ocurrencia del evento genera un deterioro en algunos indicadores de gestión de

compromiso interno del proceso, los cuales pueden ser corregidos con algunas
4 Moderada modificaciones en el proceso e incluso puede llegarse a generar algunos cambios en el
producto / servicio prestado sin consecuencias de tipo legal, operativo, comercial o
contractual.
La ocurrencia del evento genera un deterioro en algunos indicadores de gestión de

2 Menor compromiso interno del proceso, los cuales pueden ser corregidos de forma inmediata y
no se generan cambios en el producto / servicio prestado.
La ocurrencia del evento no presenta alertas de incumplimientos en los indicadores de

1 Mínima gestión, como tampoco se generan desviaciones en la calidad del Producto / Servicio
prestado.
Valor Clasificación Ambiente

Intensidad total. Cuando el cambio del aspecto ambiental es superior al 80% o se
destruye o cambia totalmente.
Extensión crítica. Cuando el impacto se produce en un lugar crucial o importante (áreas

16 Máxima protegidas, captaciones de agua para consumo humano, zonas de retiro, entre otros.)
Momento crítico. Circunstancia que hace critica la manifestación del impacto.
Persistencia o duración. Permanente y constante (superior a 7 años).


Recuperabilidad (irrecuperable). Alteración imposible de reparar en su totalidad por
actividades humanas.
Evolución muy lenta. Si este tiempo es mayor a 24 meses.
Intensidad muy alta. Cambios del aspecto ambiental entre el 61% y el 80%.
Extensión total. Efecto generalizado sobre todo el área (100%).
Momento inmediato. Tiempo nulo.

8 Mayor
Persistencia o duración. Pertinaz o persistente entre 4 y 6 años.
Recuperabilidad a largo plazo. Entre 7 a 12 años.
Evolución lenta. Si este tiempo está entre 18 y 24 meses.
Intensidad alta. Cambios del aspecto ambiental entre el 41% y el 60%.
Extensión amplia o extensa. Efecto sobre áreas intermedias entre el 51 % y el 80% el

área.
Momento corto plazo. Inferior a un año.
4 Moderada
Persistencia o duración. Temporal o transitorio entre 1 y 3 años.
Recuperabilidad a mediano plazo. Entre 2 a 6 años.
Evolución media. Si este tiempo está entre 12 y 18 meses.
Intensidad media. Cambios del aspecto ambiental entre el 21% y el 40%.
Extensión parcial. No admite una ubicación precisa dentro del entorno proyectado
(menores al 50%).
2 Menor Momento medio plazo. Entre 1 y 10 años.
Persistencia o duración momentáneo. Inferior a un año.
Recuperabilidad a corto plazo. Inferior a un año.
Evolución rápida. Si este tiempo está entre 1 y 12 meses.


Intensidad baja o mínima. Cambios casi imperceptibles del aspecto ambiental (inferior
al 20%).
Extensión puntual. Efecto localizado.
Momento largo plazo. Superior a 11 años.
1 Mínima Persistencia o duración fugaz o efímera. Cuando cesa la actividad cesa la
manifestación.
Recuperabilidad de manera inmediata.
Evolución muy rápida. Cuando el impacto alcanza sus máximas consecuencias en un
tiempo menor a 1 mes después de su inicio.
Valor Clasificación Información
Disponibilidad. El acceso a la información presenta restricciones que impiden la operación

del proceso, proyecto o actividad.
Confidencialidad. La información revelada es clave para la competencia y su conocimiento

tiene efectos negativos para el Grupo EPM, sin posibilidad de acciones de mitigación.
16 Máxima
La información revelada puede representar sanciones o demandas representativas para el
Grupo EPM, sin posibilidad de acciones de mitigación.
Integridad. El impacto sobre la condición de exactitud y estado completo de la información

impide la operación del proceso, proyecto o actividad.
Disponibilidad. El acceso a la información presenta restricciones tal que solo se pueden

realizar algunos procedimientos menores del proceso, proyecto o actividad.
Confidencialidad. La información revelada es clave para la competencia y su conocimiento

tiene efectos negativos para el Grupo EPM, pero es posible implementar algunas acciones
8 Mayor de mitigación. La información revelada puede representar sanciones o demandas
representativas para el Grupo EPM, pero existe la posibilidad de implementar acciones de
mitigación.

solo permite realizar algunos procedimientos menores del proceso, proyecto o actividad.
Disponibilidad. El acceso a la información presenta restricciones tal que se pueden realizar
todos los procedimientos menores del proceso, proyecto o actividad, pero se afectan
algunos procedimientos básicos.
4 Moderada
Confidencialidad. La información revelada es de utilidad de manera informativa para la
competencia, pero no tiene efectos negativos para el Grupo EPM.
La información revelada puede representar algunas sanciones o demandas poco costosas
para el Grupo EPM, con posibilidad de implementar acciones de mitigación.
Valor Clasificación Información

permite realizar todos los procedimientos menores del proceso, proyecto o actividad, pero
se afectan algunos procedimientos básicos.
Disponibilidad. El acceso a la información presenta restricciones que solo afecta algunos

procedimientos menores del proceso, proyecto o actividad, pero es posible realizar todos
los procedimientos básicos.
Confidencialidad. La información revelada entrega mensajes incompletos y de baja

utilidad para la competencia.
2 Menor
La información revelada puede representar alguna llamada de atención formal para el
Grupo EPM, con posibilidad de implementar acciones de mitigación.

solo afecta algunos procedimientos menores del proceso, proyecto o actividad, pero es
posible realizar todos los procedimientos básicos.
Disponibilidad. El acceso a la información tiene restricciones que no afectan la operación
del proceso, proyecto o actividad.
Confidencialidad. La información revelada no es de utilidad para la competencia.

1 Mínima
La información revelada no genera reacciones frente al Grupo EPM.
Integridad. El impacto sobre la condición de exactitud y estado completo de la

información no afecta la operación del proceso, proyecto o actividad.
Valor Clasificación Social

Período de afectación mayor a dos (2) meses de una o varias de las siguientes variables:
Servicios públicos. Suspensiones de uno o más servicios públicos (Agua, Energía, Gas,
Aseo).
Actividades económicas. Interrupción o restricciones al empleo o ejercicio de actividades
16 Máxima
productivas.
Vivienda. Daños considerables que implican traslado de la vivienda.
Condiciones de bienestar y salud (física y psicosocial). Afectaciones a las condiciones de

bienestar y salud por efectos de ruido, olores, material particulado, limitaciones en el

acceso físico, entre otras, a personas de un municipio, corregimiento o comuna.
Educación. Restricciones o limitaciones de acceso a las instituciones educativas.
Equipamientos. Restricciones o limitaciones de acceso a los equipamientos (sociales,

recreativos, deportivos, culturales, seguridad y servicios, entre otros) y espacio público
(parques, ecoparques, zonas verdes, entre otros).
Usos y costumbres. Afectaciones o restricciones en el uso de espacios y prácticas
particulares y propias de comunidades étnicas y otras.
Periodo de afectación entre tres (3) semanas y dos (2) meses de una o varias de las
siguientes variables:
Aseo).
productivas.
Vivienda. Daños considerables que implican traslado de la vivienda.

8 Mayor
bienestar y salud por efectos de ruido, olores, material particulado, entre otros, a personas
de dos o tres barrios.


Periodo de afectación entre diez (10) días y tres (3) semanas de una o varias de las
siguientes variables:
Aseo).
4 Moderada productivas.
Vivienda. Daños de la vivienda cuya reparación requiere del periodo de afectación
descrito.
bienestar y salud por efectos de ruido, olores, material particulado, entre otros, a las
personas de un barrio.

Periodo de afectación, entre tres (3) días y diez (10) días, de una o varias de las siguientes
variables:
Aseo).
productivas.
Vivienda. Daños poco representativos de la vivienda cuya reparación esté incluida en el
periodo de afectación descrito.
2 Menor Condiciones de bienestar y salud (física y psicosocial). Afectaciones a las condiciones de

bienestar y salud por efectos de ruido, olores, material particulado, entre otros, a las
personas de una manzana o un grupo pequeño de personas en un lugar cercano al evento.


Periodo de afectación menor a tres (3) días de una o varias de las siguientes variables:
Aseo).
productivas.
Vivienda. Daños poco representativos de la vivienda cuya reparación esté incluida en el
periodo de afectación descrito.

1 Mínima bienestar y salud por efectos de ruido, olores, material particulado, entre otros, a personas
de varias viviendas o de una cuadra en el sitio del evento


ANEXO 6. TIPOLOGIAS RIESGOS DE CORRUPCIÓN
A continuación, se describen diferentes comportamientos que se pueden establecer como

hechos de corrupción, como una guía de referencia para los responsables de los niveles
de gestión puedan identificar el escenario que les aplique, o generalizarlo en un único
escenario para concentrar su gestión, durante la aplicación de la metodología de Gestión
Integral de Riesgos.
TIPOLOGÍA DESCRIPCIÓN
Uso inadecuado de  Uso inadecuado del servicio de transporte para destinarlo a
los activos actividades personales o en beneficio de terceros.
 Uso inadecuado de los recursos humanos, herramientas o equipos
(entre ellos software desarrollados/ comprados por EPM) de EPM
para destinarlo a actividades personales o en beneficio de terceros.
 Uso inadecuado de activos, insumos o materiales en los procesos de
reposición, operación, venta de aprovechamientos, entre otros.
 Uso inadecuado de instalaciones físicas para actividades personales
o en beneficio de terceros.
 Uso inadecuado de la imagen y marca de la empresa.
Los anteriores casos, se pueden presentar por servidores o terceros.
Concusión Solicitud de cobros injustificados o arbitrarios, regalos, invitaciones o
favores (hospitalidades) que exige o hace pagar un funcionario o
contratista en provecho propio o de terceros para anticipar o agilizar
trámites o para realizar u omitir actividades/requerimientos del proceso.
Nepotismo Uso inadecuado del poder con el fin de dar preferencia para un cargo,
empleo u ocupación a familiares o amigos sin importar el mérito para
ocuparlo en EPM o en un contrato.
Soborno / Cohecho Ofrecer, prometer o dar regalos, invitaciones o favores (hospitalidades) a

cambio de realizar u omitir un acto inherente a su cargo o función.
Clientelismo Tendencia a favorecer, sin la debida justificación, a determinadas
personas, organizaciones, partidos políticos, entre otros, para lograr su
apoyo.
Tráfico de influencias Utilizar o ejercer indebidamente influencia personal a través de
conexiones con personas con el fin de obtener favores o tratamiento
preferencial para sí mismo o de un tercero.
Abuso del poder/ Uso indebido de las atribuciones de un funcionario frente a alguien que
Discrecionalidad en la está ubicado en una situación de dependencia o subordinación o, para la
toma de decisiones toma de decisiones que no obedecen a una normativa concreta, sino que
se basan en su criterio individual.
Colusión Pacto o confabulación que acuerdan dos o más personas u
organizaciones con el fin de sacar provecho, perjudicar un tercero o
limitar la libre competencia de los mercados.
TIPOLOGÍA DESCRIPCIÓN
Malversación de Empleo de recursos financieros con un fin diferente al establecido por las
fondos normas (sustracción de fondos, jineteo de fondos, aplicación diferente,
negativa a efectuar pago o entrega sin justificación).
Uso indebido de Uso indebido de información que, como empleado, asesor, directivo o
información miembro de una junta u órgano de administración, haya conocido por
privilegiada razón o con ocasión de su cargo o función y que no sea objeto de
conocimiento público, con el fin de obtener provecho para sí o para un
tercero.
Conflicto de intereses La no declaración oportuna de situaciones directas o indirectas que
puedan restar independencia, imparcialidad, u objetividad en las
actuaciones o que puedan llevar a adoptar decisiones; o a ejecutar actos
que vayan en beneficio propio o de terceros y en detrimento de los
intereses de la Entidad.
Uso indebido de la Utilización de la información obtenida en razón del cargo o función con el
información fin de obtener beneficio propio o de terceros.
Concentración de Concentración o centralización del poder o de la toma de decisiones y/o
poder de la administración de un área o empresa en una sola instancia o en
una sola persona en beneficio propio o de terceros.
Contribuciones Conceder, autorizar o aprobar contribuciones caritativas y/o patrocinios

caritativas y para la obtención de un beneficio particular o de un tercero.
patrocinios
Baja cultura en la No promover el derecho y el deber de la ciudadanía de vigilar y fiscalizar
promoción del control la gestión pública, con el fin de que se haga un acompañamiento a las
social empresas en: veedurías ciudadanas, juntas de vigilancia, Auditorias
ciudadanas, velar por la correcta inversión de los recursos y gestión de
los servicios.
Bajo nivel de No publicar los diferentes documentos en la página web, trae consigo
publicidad de la riesgos en el proceder de las empresas, ya que es deseable un
información acercamiento más puntual a las leyes de acceso a la información pública
en materia de divulgación proactiva y eficiente, de acuerdo con lo
manifestado por la Ley 1712 de 2014 de Acceso a la Información
Pública.
Bajos estándares Tanto colaboradores como directivos no consideren pertinente actuar de
éticos manera ética, por lo cual no se genera un clima ético dentro de la
empresa.
Poca credibilidad o Desconocer la existencia de los canales de denuncia (Línea Ética
desconocimiento de "Contacto Transparente") o baja credibilidad o desconfianza en la gestión
canales de denuncia de los mismos.
internos y externos
Interés indebido en la Interese en provecho propio o de un tercero, en cualquier clase de
celebración de contrato u operación en que deba intervenir por razón de su cargo o de
contratos sus funciones.
Baja cultura del Poco interés por parte de la administración en realizar seguimiento y
control institucional control de las buenas prácticas institucionales.

Guia Gestion de Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Gestion de Riesgos

Cargado por

Copyright:

Formatos disponibles

Guía Metodológica para la Gestión

Rev. No. MODIFICACION EFECTUADA FECHA

01 Se realizaron ajustes de forma en la redacción del 2014/03/01

04 Se ajustó el anexo 2 Objetos de impacto y tablas de 2018/12/05

05 Se ajustó la redacción de la etapa de “Establecer el contexto” 2018/12/05

06 Se ajustó la etapa “Monitorear y Revisar”, el literal Revisiones 2020/01/13

07 Definición de las tipologías de riesgos de corrupción 2020/05/26

08 Se actualizó la tabla de probabilidad de la metodología. 21/12/2020

Se actualizaron las definiciones correspondientes a los objetos

Se actualizaron los pasos correspondientes a la metodología

ÍTEM ELABORÓ REVISÓ APROBÓ

Profesionales Dirección Director Ingeniería de

Camila Carolina Betancourt.

Luis Eduardo Cataño.

EMPRESAS PÚBLICAS DE MEDELLIN E.S.P

El presente documento se encuentra dividido en cuatro partes. En la primera se presentan el

EPM los riesgos se clasifican en categorías y estas a su vez se desagregan en agrupadores de

2. DESCRIPCIÓN DE LA METODOLOGÍA PARA LA GESTIÓN INTEGRAL

Figura 1. Etapas para la Gestión Integral de Riesgos

2.1. ESTABLECER EL ALCANCE, CONTEXTO Y CRITERIOS

• Equipo de trabajo para realizar el análisis de riesgos en el nivel de gestión.

2.2 IDENTIFICAR RIESGOS Y CONTROLES

2.2.1 Identificación de riesgos

• Código de riesgo: identificador para el riesgo.

Elementos que se obtienen al identificar riesgos:

2.2.2 Identificación de controles existentes

Elementos que se deben obtener al identificar controles:

• Listado de controles para cada escenario de riesgo identificado, clasificándolos en controles

2.3 EVALUACIÓN DE CONTROLES, OBJETO DE IMPACTO Y NIVEL DE RIESGO

2.3.1 Evaluación de los controles

2.3.2 Evaluación del riesgo con controles existentes

2.3.2.1 Objetos de impacto

2.3.2.2 Probabilidad de ocurrencia del riesgo

Según la disponibilidad de información histórica respecto al riesgo analizado o, con base en el

Según la disponibilidad de información histórica respecto al riesgo analizado o, con base en el

tablas para valoración de la consecuencia que se presentan en el Anexo 4 Evaluación de

2.3.2.4 Cálculo del nivel de riesgo

2.3.3 Matriz de riesgo

La matriz es una representación gráfica de los riesgos identificados. Su utilidad es la de reconocer y

Figura 2. Matriz de riesgos

Mínima Menor Moderada Mayor Máxima

Elementos que se obtienen al desarrollar la etapa de evaluación de riesgos:

Figura 3. Rangos para el índice de riesgos

2.4. TRATAMIENTO DE RIESGOS

2.4.1 Selección de alternativas de tratamiento

Figura 4. Opciones de tratamiento de riesgos

Fuente: elaboración propia.

2.5. SEGUIMIENTO Y REVISIÓN

2.6. COMUNICACIÓN Y REGISTRO DE RIESGOS

ANEXO 1. ESTADOS DE PROYECTOS PARA LA CLASIFICACIÓN DE RIESGOS Y NOMBRES DE RIESGOS.

1.1. ESTADO DEL PROYECTO PARA LA CLASIFICACIÓN DE RIESGOS.

Estados y Fases del ciclo de vida de los proyectos

1.2. NOMBRES DE LOS RIESGOS

ANEXO 2. CATEGORIAS Y AGRUPADORES DE RIESGOS

Categoría Agrupador Definición

Debilidades en la gestión y consecución de ingresos económicos derivados de

Errores o deficiencias en la gestión de las operaciones relacionadas con la

Actuaciones de los grupos de interés, en su interacción con las empresas del

Diferencia de criterios en la interpretación, modificaciones adversas, o

Categoría Agrupador Definición

Ausencia de un modelo de gestión integral para el Grupo EPM*, o teniendo el

Carencia de un direccionamiento estratégico, o existiendo éste que no se

Ausencia, desacertada definición o implementación de políticas y lineamientos