Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Integral de Riesgos
Aplica para niveles de gestión: Grupo, Negocios, Empresas, Procesos,
Proyectos y análisis especializados.
Vicepresidencia Riesgos
Versión 08
Diciembre de 2020
Número de Páginas 14
1
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Tabla de Contenido
INTRODUCCION............................................................................................................................. 3
1. CONTEXTO ............................................................................................................................. 3
1.1 OBJETIVO ............................................................................................................................. 3
1.2 ALCANCE .............................................................................................................................. 3
1.3 DEFINICIONES ...................................................................................................................... 3
2. DESCRIPCIÓN DE LA METODOLOGÍA PARA LA GESTIÓN INTEGRAL DE RIESGOS........................ 5
2.1. ESTABLECER EL ALCANCE, CONTEXTO Y CRITERIOS ................................................................. 5
2.2 IDENTIFICAR RIESGOS Y CONTROLES ........................................................................................ 6
2.2.1 Identificación de riesgos......................................................................................................... 6
2.2.2 Identificación de controles existentes ................................................................................... 7
2.3 EVALUACIÓN DE CONTROLES, OBJETO DE IMPACTO Y NIVEL DE RIESGO ................................ 7
2.3.1 Evaluación de los controles ................................................................................................ 8
2.3.2 Evaluación del riesgo con controles existentes.................................................................. 8
2.3.2.1 Objetos de impacto ......................................................................................................... 8
2.3.2.2 Probabilidad de ocurrencia del riesgo ............................................................................ 8
2.3.2.3 Consecuencia................................................................................................................... 8
2.3.2.4 Cálculo del nivel de riesgo ............................................................................................... 9
2.3.3 Matriz de riesgo.................................................................................................................. 9
2.3.4 Índice de riesgo ................................................................................................................ 10
2.4. TRATAMIENTO DE RIESGOS ................................................................................................... 10
2.4.1 Selección de alternativas de tratamiento ............................................................................. 11
2.5. SEGUIMIENTO Y REVISIÓN ..................................................................................................... 12
2.6. COMUNICACIÓN Y REGISTRO DE RIESGOS .............................................................................. 12
3. DOCUMENTOS DE REFERENCIA................................................................................................ 12
4. ANEXOS ................................................................................................................................ 12
2
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
INTRODUCCION
La Gestión Integral de Riesgos (GIR) es concebida para facilitar el logro del direccionamiento
estratégico y la toma de decisiones, teniendo en cuenta la interacción que existe entre los niveles
de gestión Grupo, Negocios, Empresas, Procesos, Especializados, Proyectos y de estos a su vez
con el entorno. Entre los beneficios que ofrece la gestión de riesgos se resaltan: identificar
posibles eventos que pueden afectar el logro de los objetivos, soportar y documentar la toma de
decisiones, minimizar y prevenir pérdidas, facilitar el cumplimiento de la normatividad y
regulación aplicable, así como generar confianza frente a los grupos de interés.
La guía metodológica fue construida a la medida de las particularidades y las necesidades del
Grupo EPM, tomando como referente las mejores prácticas y normas de gestión de riesgos a
nivel nacional e internacional.
1. CONTEXTO
1.1 OBJETIVO
Homologar en las empresas del Grupo EPM la metodología para gestionar de forma integral los
riesgos de los niveles de gestión Grupo, Negocios, Empresas, Procesos, Especializados y
Proyectos.
1.2 ALCANCE
La guía metodológica explica cada una de las etapas de la Gestión Integral de Riesgos y es
aplicable en los niveles de gestión Grupo, Negocios, Empresas, Procesos, Especializados y
Proyectos de las diferentes empresas del Grupo EPM.
1.3 DEFINICIONES
• Riesgo: evento que al materializarse puede desviar el logro de los objetivos o afectar los objetos
de impacto.
• Contexto: aquellas condiciones internas y externas que generan posibles situaciones de riesgo
para el nivel de gestión a analizar.
• Fase de un proyecto: etapa en la cual se encuentra el proyecto que se está analizando, son:
identificación, formulación, ejecución, operación, desmantelamiento.
• Categorías y agrupadores de riesgo: conceptos utilizados para clasificar los riesgos. En el grupo
3
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
• Atributo del control: se refiere a las características de diseño y operación del control, así como
de su desarrollo y madurez. Actualmente se documenta la evidencia, periodicidad y responsable
del control.
4
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
La figura 1 muestra cada una de las etapas que se aplican en la Gestión Integral de Riesgos. Dada
la importancia de cada una de las etapas, a continuación, se detallan individualmente.
Fuente: adaptado de ISO 31000:2018. Gestión del riesgo directrices. Ginebra Suiza.
En esta primera etapa se busca establecer el alcance del análisis de riesgos, determinar el entorno
interno y externo del nivel de gestión sobre el cual se realizará el análisis. Para este fin se sugiere
considerar, entre otras, la información que se presenta a continuación:
• Objetivos del nivel de gestión.
• Resultados del análisis del entorno externo que permitan identificar amenazas para el nivel de
gestión en estudio, así como resultados del desempeño organizacional y el entorno interno que
permite identificar debilidades.
• Documentación asociada al nivel de gestión objeto de análisis. La documentación puede incluir
según el nivel de gestión: documentos de direccionamiento estratégico, el plan estratégico de
5
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Grupo Empresarial EPM, los planes empresariales , caracterización del proceso (normograma,
objetivo, alcance, principales actividades, entradas y salidas), plan de dirección del proyecto,
presupuesto, cronograma, planes de acción, desempeño de indicadores, resultados de
auditorías externas e internas, eventos materializados, entre otros.
• Resultados obtenidos de análisis de riesgos previos realizados al nivel de gestión en estudio u
otros niveles de gestión relacionados. Esto con el fin de conocer si alguno de los riesgos
identificados en otro nivel de gestión se puede llegar a materializar en el nivel analizado.
Adicionalmente, el responsable del nivel de gestión objeto de análisis debe asignar el equipo de
trabajo y los recursos necesarios para aplicar la metodología de Gestión Integral de Riesgos.
Al finalizar esta etapa de la metodología se espera contar con los siguientes elementos:
Teniendo en cuenta los elementos de la etapa anterior, con el equipo de trabajo se valida la
identificación preliminar de riesgos y se identifican nuevos. Posteriormente, estos riesgos se deben
caracterizar de acuerdo con los siguientes elementos que los describen y detallan.
6
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
• Origen del riesgo: entorno interno, externo o ambos donde se presenta el riesgo.
• Causas: de acuerdo con la descripción del escenario de riesgo identificar las situaciones que
pueden originar este. Generalmente, al identificar de forma adecuada las causas, se facilita la
identificación posterior de los controles preventivos y de las recomendaciones para las acciones
de tratamiento.
• Efectos: de acuerdo con la descripción del escenario de riesgo, identificar los posibles resultados
que tendría la materialización de este en el nivel de gestión, así como la forma como se
afectarían cada uno de los objetos de impacto. Generalmente, el identificar de forma correcta
los efectos, facilita la identificación de los controles correctivos. Los efectos son la base para
establecer los objetos de impacto, elegir el objeto de impacto relevante y para evaluar la
consecuencia del riesgo.
Una vez realizada la identificación de riesgos, se pasa a identificar aquellos controles preventivos y
correctivos existentes que se aplican y que contribuyen a mitigar la probabilidad y/o la consecuencia
del riesgo. Los controles se deben especificar de forma precisa, concreta y asegurando que son
elementos que existen y se encuentran operando.
En esta etapa se valoran los controles existentes, se definen los objetos de impacto (relevante y
secundarios), se califican los riesgos en su probabilidad y consecuencia, y se calcula el nivel de riesgo,
teniendo como referencia estos controles. Esto implica que en la presente metodología la valoración
del nivel riesgo se realiza aplicando los controles existentes (ver Anexo 3 Evaluación de controles y
7
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
probabilidad). La calificación de los riesgos se realiza con el objeto de priorizar la gestión de acuerdo
con el nivel de riesgos de cada escenario.
Consiste en evaluar los controles existentes que se encuentran orientados a disminuir la probabilidad
o la consecuencia del riesgo. Esta evaluación se realiza tomando como referencia los criterios
presentados en la tabla de valoración de controles que se describe en el Anexo 3 Evaluación de
controles y probabilidad.
Para la evaluación de cada escenario de riesgo, el primer paso es seleccionar los objetos de
impacto que se afectan con la materialización del riesgo. Los objetos de impacto corresponden a
Costo/recurso financiero, Tiempo, Salud Personas, Calidad, Información, Imagen/Reputación,
Social y Ambiente (Ver Anexo 4 Evaluación de consecuencias por objeto de impacto). Cuando hay
varios objetos de impacto que se pueden ver involucrados, estos se deben identificar y se
selecciona aquel que se afecta en mayor medida, el cual se denomina objeto de impacto relevante.
A este objeto de impacto es al que se evalúa la consecuencia del escenario de riesgo de acuerdo
con la tabla de valoración aplicable (Ver Anexo 4 Evaluación de consecuencias por objeto de
impacto). Los objetos de impacto que no se clasifican como relevantes, se identifican, utilizando
una marca de 0-1, en las casillas respectivas de la plantilla para el análisis de riesgos (ver Anexo 5
Plantilla para la metodología Gestión Integral de Riesgos (GIR).
2.3.2.3 Consecuencia
8
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Una vez definida la probabilidad y la consecuencia para el escenario de riesgo, se procede a calcular
el nivel de riesgo, el cual se obtiene a partir de la multiplicación de ambas variables. Para el cálculo
es importante tener en cuenta que cada elemento de la probabilidad y la consecuencia tienen un
valor asociado. Para el caso de la probabilidad los valores obedecen a un patrón lineal con uno (1)
como mínimo y cinco (5) como máximo. Para la consecuencia la escala es geométrica con uno (1)
como mínimo y dieciséis (16) como máximo. De esta forma se da más importancia a la consecuencia
que a la probabilidad de ocurrencia.
Muy alta 5 5 10 20 40 80
Alta 4 4 8 16 32 64
Media 3 3 6 12 24 48
Baja 2 2 4 8 16 32
Muy baja 1 1 2 4 8 16
Riesgo extremo (zona roja): son riesgos de máxima prioridad, por lo que se requiere que los controles
existentes estén operando adecuadamente, y las nuevas acciones de tratamiento se apliquen de
manera prioritaria.
Riesgo alto (zona naranja): son riesgos de alta prioridad, por lo que se requiere que los controles
existentes estén operando adecuadamente, y las nuevas acciones de tratamiento se apliquen a corto
plazo.
9
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Riesgo tolerable (zona amarilla): son riesgos de prioridad moderada, por lo que se requiere que los
controles existentes estén operando adecuadamente. Las nuevas acciones de tratamiento se aplican
en el mediano plazo.
Riesgo aceptable (zona verde): son riesgos de baja prioridad, por lo cual los controles existentes son
suficientes para tratarlos.
Nota. En la práctica se recomienda definir acciones de mejoramiento para los riesgos extremos y
altos, sin embargo, se pueden dar casos especiales en que este tipo de riesgos, dadas sus
características, mantengan en el tiempo niveles de riesgos representativos a pesar de que existan
suficientes controles definidos. En este sentido, las acciones de tratamiento son potestad del
responsable del riesgo. Todos los riesgos deben ponerse en conocimiento de estos responsables.
El índice de riesgo es un valor numérico entre cero y uno que se calcula para el nivel de gestión en
términos de la probabilidad y la consecuencia de cada uno de los riesgos identificados, donde valores
cercanos a uno representan mayor riesgo. El índice tiene dos objetivos: por un lado, resumir en un
único valor el riesgo general del análisis realizado y por el otro facilitar el seguimiento a la evolución
del riesgo general en el tiempo.
𝟎. 𝟓𝟑 < 𝑰𝒓 ≤ 𝟎. 𝟔𝟕 Alto
𝟎. 𝟑𝟕 < 𝑰𝒓 ≤ 𝟎. 𝟓𝟑 Medio
𝟎. 𝟎𝟎 ≤ 𝑰𝒓 ≤ 𝟎. 𝟑𝟕 Bajo
10
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
11
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
3. DOCUMENTOS DE REFERENCIA
• Modelo Integrado de Planeación y Gestión (MIPG), Departamento Administrativo de la
Función Pública -Carrera 6 No 12-62, Bogotá D.C., Colombia, 2017.
• ISO 31000 2018-02, Ginebra, Suiza, Gestión del riesgo – Directrices.
• (Coso) Comittee of Sponsoring Organizations of the Treadway Comission- ERM (Enterprice
Risk Management- Integrating with Strategy and Performance), USA, 2017.
4. ANEXOS
• ANEXO 1. Clasificación por estados y nombres de riesgo.
• ANEXO 2. Categorías y agrupadores de riesgos.
• ANEXO 3. Evaluación de controles y probabilidad.
• ANEXO 4. Evaluación de consecuencias por objeto de impacto.
• ANEXO 5. Plantilla para la metodología Gestión Integral de Riesgos (GIR).
• ANEXO 6. Tipologías riesgos de corrupción.
12
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Para su análisis los riesgos se clasifican de acuerdo con el estado del proyecto donde se pueden presentar. A continuación,
se listan los estados y las fases asociadas, utilizadas en la metodología Gestión Integral de Riesgos. Si el riesgo aplica en
varios estados, se debe elegir la clasificación denominada transversal. Para niveles de gestión diferentes a proyectos, se
recomienda utilizar el estado evaluación (fase operación).
✓ Identificación
✓ Formulación
✓ Ejecución
✓ Terminación
✓ Evaluación
✓ Transversal (Se utiliza si el riesgo aplica a varias etapas).
Con el fin de asignar un nombre corto, a continuación, se listan nombres de riesgos para diferentes temas.
NOMBRES DE RIESGOS
Abuso del poder/ autoridad
Acciones sociales colectivas en contra la prestación del servicio
Actos fraudulentos
Actos mal intencionados de terceros
Actuaciones adversas de grupos armados ilegales
Afectación de la salud y el bienestar de las personas por condiciones y situaciones laborales
Afectación al patrimonio cultural y/o arqueológico
Cambios desfavorables en las variables comerciales
Cambios desfavorables en las variables de mercado
Cambios normativos desfavorables
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
NOMBRES DE RIESGOS
Ciber ataques
Clientelismo
Colusión
Concusión
Conflicto de intereses
Conflicto sociopolítico asociado a la obtención, administración y disposición del activo
inmobiliario
Conflicto sociopolítico por la oposición de actores políticos (con capacidad de influencia y
decisión amparado en facultades jurídicas y administrativas)
Conflicto sociopolítico por oposición de organizaciones y movimientos ambientales, sociales y de
derechos humanos.
Conflicto sociopolítico por la constitución de servidumbres o adquisición de predios con solicitud
o en proceso de restitución a víctimas del conflicto armado.
Conflicto sociopolítico asociados a la vulneración de derechos de comunidades étnicas.
Conflicto sociopolítico por altas expectativas de los grupos de interés.
Conflicto sociopolítico por malas prácticas de contratistas durante los diseños y/o construcción
de los proyectos que afectan a los diferentes grupos de interés.
Contagio o vinculación con personas o actividades relacionadas con financiación de terrorismo
Contagio o vinculación con personas o actividades relacionadas con lavado de activos
Daños de la infraestructura, maquinaria y equipos
Debilidades en los atributos de la información
Deficiencias en la adaptación frente a la variabilidad climática
Deficiencias en la definición de indicadores / metas de desempeño
Deficiencias en la planeación
Deficiencias en las capacidades organizacionales
Definición o implementación errónea de estrategias
Defraudación de fluidos
Deterioro de la calificación de riesgo de emisor
Deterioro en la calidad de los recursos naturales para la prestación del servicio
Dificultad para acceder a recursos naturales para la prestación de los servicios
Dificultad para conseguir la fuerza laboral idónea en el mercado
Dificultad para cumplir los supuestos de los planes de negocios
Dificultad para realizar las actividades de operación comercial
Dificultades en la consecución de recursos de deuda
Diseño o Implementación errónea de metodologías
Disminución de la participación en el mercado
Entrega deficiente o inoportuna de proyectos a la operación
Errores u omisiones en procesos y procedimientos
Escapes o perdidas de fluidos (energía, gas y agua)
Escasez de recursos naturales para la prestación de los servicios
Eventos naturales/ antrópicos desfavorables
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
NOMBRES DE RIESGOS
Extorsión
Fallas en el ciclo del mantenimiento
Fallas en la gestión de proveedores
Fallas en las interacciones entre los diferentes involucrados del proceso o entre procesos
Fallas en las tecnologías de información / operación que soporta el proceso
Falta de apoyo/compromiso de la Alta Dirección
Falta de homologación de métodos de trabajo
Falta de idoneidad del talento humano existente
Inadecuada administración de los contratos
Inadecuada definición de los supuestos o estructura de los modelos cuantitativos y financieros
Inadecuada gestión de activos
Inadecuada gestión de inventarios
Inadecuada identificación y cumplimiento de requisitos de participación en licitaciones externas o
subastas (actuando como CONTRATISTA)
Inadecuada implementación del modelo de negocio en el Grupo EPM
Inadecuada injerencia por parte de agentes políticos
Inadecuada intervención al ambiente (intencionada o no)
Inadecuada o no atención de grupos de interés
Inadecuado manejo de perfiles y claves de usuario
Inadecuado relacionamiento / comunicación de la información a grupos de interés
Incumplimiento de compromisos o requisitos con los grupos de interés
Incumplimiento de la normatividad
Incumplimiento de las obligaciones de pago a terceros
Incumplimiento de las obligaciones de pago por parte de terceros
Incumplimientos contractuales
Inoportunidad en la incorporación de tecnologías disponibles en el mercado
Insuficiencia de materiales e insumos
Insuficiencia de personal
Insuficiencia de proveedores que cumplan requisitos de participación
Insuficiencia de recursos financieros
Insuficiencia/ indisponibilidad de infraestructura
Insuficiencia/ indisponibilidad de maquinaria y/o equipos
Insuficiencia/ indisponibilidad de recursos informáticos / tecnológicos
Inconvenientes asociados a la constitución de servidumbres o adquisición de predios
Inconvenientes para la obtención de permisos (ambientales, rotura, PMT, entre otros)
Litigios o controversias con contratistas
Malversación de fondos
Nepotismo
No desarrollar oportunamente nuevos negocios
Pérdida del conocimiento clave
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
NOMBRES DE RIESGOS
Poca capacidad de resiliencia
Presiones adversas por parte de agentes privados
Proliferación de bacterias y plagas
Reclamaciones de terceros
Resistencia al cambio
Soborno / Cohecho
Tráfico de influencias
Uso inadecuado de los activos
Uso inadecuado de los recursos naturales
Uso indebido de información privilegiada
Uso indebido de la información
Vulneración de derechos humanos de propios o terceros
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
A continuación, se describen las categorías y agrupadores utilizados para clasificar los riesgos durante la aplicación
de la metodología de Gestión Integral de Riesgos. La importancia de esta clasificación radica en que permite
categorizar los riesgos identificados y, a partir de ahí, analizar aquellos grupos de riesgos que se materializan con
más frecuencia en los niveles de gestión que se analizan.
No cumplir con las condiciones contractuales a las cuales se obligan las empresas
Incumplimientos del Grupo EPM cuando actúan como contratista, cuando firman contratos con
Cumplimiento
contractuales entidades bancarias o crediticias, con la nación, en convenios
interadministrativos, entre otros.
Actuaciones al margen de la ley en las zonas de influencia del Grupo EPM o dónde
Riesgo de orden éste tiene planeado desarrollar actividades que pueda afectar la infraestructura
Estratégico
público física, los proyectos, los sistemas de información, la supervisión y control de las
infraestructuras críticas o a la gente EPM.
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Está asociado a como ejecuta EPM su papel de matriz del Grupo y el impacto que
dicho papel tiene sobre la gestión de las filiales.
Riesgo de conflictos Condiciones adversas en variables del entorno en sus dimensiones culturales y
Estratégico culturales, sociales y sociales que afecten la organización en su operación y el logro de los objetivos
políticos estratégicos.
Eventos que generan impacto negativo al medio ambiente o causan alteración del
Estratégico Riesgo ambiental
factor ambiental del entorno por actividades ejercidas por el Grupo EPM.
No lograr coherencia entre las actuaciones del Grupo EPM, los comportamientos
Riesgo de reputación
Estratégico de la gente EPM y la imagen proyectada a los grupos de interés frente a los
e imagen
compromisos adquiridos, generando pérdida de confianza y posicionamiento.
Escasez de fondos o dificultad para obtener los recursos necesarios para cumplir
Financiero Riesgo de liquidez con las obligaciones contractuales y ejecutar estrategias de inversión del Grupo
EPM.
Probabilidad
Valor Clasificación Descripción Frecuencia
estadística
Mayor del El evento ocurre Más de 10
5 Muy alta
84% permanentemente veces al año.
El evento se presenta con cierta Entre 1 vez y
4 Alta 50.1% - 84% regularidad. Ocurre muchas 10 veces al
veces año.
Evento que se presenta en
Una vez entre
3 Media 16.1% - 50% forma esporádica. Ocurre varias
1 y 5 años.
veces.
Una vez entre
Evento no habitual. Poco
2 Baja 2.1% - 16% los 5 y los 20
frecuente
años.
Evento que ocurre en forma
Menor o Una vez en 20
1 Muy baja excepcional. Muy difícil que
igual al 2% o más años.
ocurra
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Para este objeto de impacto se cuenta con varias opciones de acuerdo con el nivel
de gestión analizado. Tener en cuenta, que los impactos mencionados a
continuación no pueden exceder la tabla financiera establecida como referente para
el Grupo EPM. Si este es el caso, se debe utilizar el referente.
- Proyectos de ingeniería (construcción): la escala se define como un
porcentaje del valor del proyecto. Para el porcentaje se sugiere inicialmente
entre un 10% - 20% del valor del proyecto para la clasificación máxima. Las
clasificaciones intermedias (mayor, moderada, menor y mínima) se definen
automáticamente de acuerdo con el valor asignado para la máxima.
En las siguientes tablas se muestran los descriptores para evaluar los diferentes
objetos de impacto seleccionados.
Lesiones con incapacidad mayor a 30 días de por lo menos una (1) persona sea funcionario
o contratista.
4 Moderada
Lesiones con incapacidad para mínimo un miembro de la comunidad.
Lesiones con incapacidad hasta 30 días de por lo menos una (1) persona sea funcionario o
2 Menor
contratista.
16 Máxima * Se generen fallos o pronunciamientos en contra del Grupo EPM por parte de entes de
control y/o autoridades competentes (Estado), que produzcan reacciones adversas
(disminución de la calificación de riesgo, reclamos de tenedores de bonos, exposición en
redes sociales por más de un mes) de inversionistas, calificadoras de riesgos y/o medios
de difusión internacionales y nacionales, por temas asociados a impacto al medio
ambiente, incumplimiento normativo, derechos humanos, lavado de activos y
financiación del terrorismo (LAFT), así como fraude y/o corrupción.
*Se generen fallos o pronunciamientos en contra del Grupo EPM por parte de entes de
control y/o autoridades competentes (Estado), que produzcan investigaciones y/o
pronunciamientos de estas, pero sin sanciones, por temas asociados a impacto al medio
ambiente, incumplimiento normativo, derechos humanos, lavado de activos y
financiación del terrorismo (LAFT), así como fraude y/o corrupción.
8 Mayor
*Se producen reacciones adversas en medios de difusión nacionales o que tienen un
alcance e impacto alto de acuerdo con las métricas del monitoreo de redes (alta
relevancia del autor que publica y más de 10.000 menciones), por temas asociados a
impacto al medio ambiente, incumplimiento normativo, derechos humanos, lavado de
activos y financiación del terrorismo (LAFT), así como fraude y/o corrupción.
* Se generan reacciones de alcance e impacto medio de acuerdo con las métricas del
monitoreo de redes (media relevancia del autor que publica y entre 5.000 y 10.000
menciones) en la comunidad, clientes y usuarios a través de redes sociales por temas
4 Moderada asociados a calidad de productos y servicios, responsabilidad ambiental y social, así como
transparencia y apertura en la información.
* Se generan reacciones de alcance e impacto bajo de acuerdo con las métricas del
monitoreo de redes (baja relevancia del autor que publica y menos de 5.000 menciones)
en la comunidad, clientes y usuarios a través de redes sociales por temas asociados a
2 Menor calidad de productos y servicios, responsabilidad ambiental y social, así como
transparencia y apertura en la información.
Intensidad muy alta. Cambios del aspecto ambiental entre el 61% y el 80%.
Extensión total. Efecto generalizado sobre todo el área (100%).
Extensión parcial. No admite una ubicación precisa dentro del entorno proyectado
(menores al 50%).
Servicios públicos. Suspensiones de uno o más servicios públicos (Agua, Energía, Gas,
Aseo).
Actividades económicas. Interrupción o restricciones al empleo o ejercicio de actividades
16 Máxima
productivas.
Vivienda. Daños considerables que implican traslado de la vivienda.
Periodo de afectación entre tres (3) semanas y dos (2) meses de una o varias de las
siguientes variables:
Servicios públicos. Suspensiones de uno o más servicios públicos (Agua, Energía, Gas,
Aseo).
Actividades económicas. Interrupción o restricciones al empleo o ejercicio de actividades
productivas.
Vivienda. Daños considerables que implican traslado de la vivienda.
Periodo de afectación entre diez (10) días y tres (3) semanas de una o varias de las
siguientes variables:
Servicios públicos. Suspensiones de uno o más servicios públicos (Agua, Energía, Gas,
Aseo).
Actividades económicas. Interrupción o restricciones al empleo o ejercicio de actividades
4 Moderada productivas.
Vivienda. Daños de la vivienda cuya reparación requiere del periodo de afectación
descrito.
Condiciones de bienestar y salud (física y psicosocial). Afectaciones a las condiciones de
bienestar y salud por efectos de ruido, olores, material particulado, entre otros, a las
personas de un barrio.
EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
GUÍA METODOLÓGICA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Periodo de afectación menor a tres (3) días de una o varias de las siguientes variables:
Servicios públicos. Suspensiones de uno o más servicios públicos (Agua, Energía, Gas,
Aseo).
Actividades económicas. Interrupción o restricciones al empleo o ejercicio de actividades
productivas.
Vivienda. Daños poco representativos de la vivienda cuya reparación esté incluida en el
periodo de afectación descrito.
TIPOLOGÍA DESCRIPCIÓN
Uso inadecuado de Uso inadecuado del servicio de transporte para destinarlo a
los activos actividades personales o en beneficio de terceros.
Uso inadecuado de los recursos humanos, herramientas o equipos
(entre ellos software desarrollados/ comprados por EPM) de EPM
para destinarlo a actividades personales o en beneficio de terceros.
Uso inadecuado de activos, insumos o materiales en los procesos de
reposición, operación, venta de aprovechamientos, entre otros.
Uso inadecuado de instalaciones físicas para actividades personales
o en beneficio de terceros.
Uso inadecuado de la imagen y marca de la empresa.
Los anteriores casos, se pueden presentar por servidores o terceros.
Concusión Solicitud de cobros injustificados o arbitrarios, regalos, invitaciones o
favores (hospitalidades) que exige o hace pagar un funcionario o
contratista en provecho propio o de terceros para anticipar o agilizar
trámites o para realizar u omitir actividades/requerimientos del proceso.
Nepotismo Uso inadecuado del poder con el fin de dar preferencia para un cargo,
empleo u ocupación a familiares o amigos sin importar el mérito para
ocuparlo en EPM o en un contrato.
TIPOLOGÍA DESCRIPCIÓN
Malversación de Empleo de recursos financieros con un fin diferente al establecido por las
fondos normas (sustracción de fondos, jineteo de fondos, aplicación diferente,
negativa a efectuar pago o entrega sin justificación).
Uso indebido de Uso indebido de información que, como empleado, asesor, directivo o
información miembro de una junta u órgano de administración, haya conocido por
privilegiada razón o con ocasión de su cargo o función y que no sea objeto de
conocimiento público, con el fin de obtener provecho para sí o para un
tercero.
Conflicto de intereses La no declaración oportuna de situaciones directas o indirectas que
puedan restar independencia, imparcialidad, u objetividad en las
actuaciones o que puedan llevar a adoptar decisiones; o a ejecutar actos
que vayan en beneficio propio o de terceros y en detrimento de los
intereses de la Entidad.
Uso indebido de la Utilización de la información obtenida en razón del cargo o función con el
información fin de obtener beneficio propio o de terceros.
Concentración de Concentración o centralización del poder o de la toma de decisiones y/o
poder de la administración de un área o empresa en una sola instancia o en
una sola persona en beneficio propio o de terceros.
Baja cultura del Poco interés por parte de la administración en realizar seguimiento y
control institucional control de las buenas prácticas institucionales.