|
IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS GI-PD-01 Versión: 8 Fecha de creación: 22/11/2016 Fecha de actualización: 22/05/2026 |
![]() |
- Alcance
|
Empresa / Sucursal |
BTA |
BUN |
CTG |
MAD |
YUM |
Caldas |
|
Intermodal |
X |
x |
X |
X |
X |
- Objetivo
Identificar los peligros, evaluar, valorar los riesgos y establecer los controles pertinentes para la mitigación del riesgo.
- Definiciones
3.1. Identificación de Riesgo: Proceso para encontrar, reconocer y describir el riesgo.
3.2. Actividad: Conjunto de tareas que hacen parte de un proceso y son necesarias para mantener de forma permanente y continua la operatividad de la organización. Descripción detallada del paso a paso de un proceso.
3.3. Actividad rutinaria: Se entiende por actividades rutinarias como aquellas que se realizan periódicamente (no forzosamente de manera frecuente, puede ser a diario o una vez por año), en las cuales se pueden inferir todas sus condiciones, de tal manera que se identifican los peligros y se evalúan los riesgos para definir las medidas de control que se implementan y mantienen regularmente.
3.4. Actividad no rutinaria: Las actividades no rutinarias son aquellas que se salen de la operación normal y no responden a condiciones fácilmente estandarizables, debido a la diversidad de escenarios que podrían presentarse, lo cual resulta impráctico de generalizar y conviene, mejor, tratarlas como un caso especial en cada oportunidad. Esto implica la identificación de peligros particulares y la evaluación de los riesgos asociados con el propósito de aplicar las medidas de control disponibles y agregar las necesarias para exponer a las personas únicamente a riesgos tolerables.
3.5. Condiciones inseguras: Es toda condición física del equipo, materiales o área de trabajo que se desvía de lo que es aceptable por normas, procedimientos o prácticas seguras, capaz de producir un accidente y/o enfermedad profesional.
3.6. Epp: Implementos destinados a proteger al trabajador contra agentes externos que pueden ocasionar una lesión y/o enfermedad profesional.
3.7. Peligro: Fuente de daño potencial.
3.8. Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo.
3.9. Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo.
3.10. Fuente de riesgo: Elemento que solo o en combinación tiene potencial intrínseco de originar un riesgo.
3.11. Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
3.12. Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
3.13. Posibilidad: Oportunidad de que algo suceda.
3.14. Exposición: Extensión hasta la cual una organización, una parte involucrada o ambas están sujetas a un evento.
3.15. Consecuencia: Resultado de un evento que afecta a los objetivos.
3.16. Probabilidad: Medida de la oportunidad de la ocurrencia, expresada como un numero entre 1 y 1, en donde 0 en la imposibilidad y 1 es la certeza absoluta.
3.17. Frecuencia: Numero de eventos o efectos por unidad de tiempo definida.
3.18. Vulnerabilidad: Propiedades intrínsecas de algo que resultan en la susceptibilidad a una fuente de riesgo que puede ocasionar un evento con una consecuencia.
3.19. Matriz de riesgo: Herramienta para clasificar y visualizar el riesgo mediante la definición
de rasgos para la consecuencia y la posibilidad.
3.20. Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su posibilidad.
3.21. Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con criterios del riesgo, para determinar si el riesgo, su magnitud, o ambos son aceptables o tolerables.
3.22. Tratamiento del riesgo: Proceso para modificar el riesgo.
3.23. Control: Medida que modifica al riesgo.
3.24. Riesgo: Probabilidad de ocurrencia de un evento y/o pérdida; expresado matemáticamente como Riesgo: Frecuencia x Consecuencia, o Probabilidad x Severidad.Combinación de la probabilidad y la (s) consecuencia (s) de que ocurra un evento peligroso específico.
3.25. Riesgo residual: Riesgo remanente después del tratamiento del riesgo, puede contener un riesgo no identificado.
3.26. Severidad o Impacto: Conjunto de consecuencias provocadas por un hecho o actuación que afecta a un entorno o ambiente social o natural.
- Normas
4.1. El proceso de identificación evaluación de riesgos y medidas de respuesta se efectuará así:
- Identificación de los riesgos
- Evaluación del riesgo inherente
- Identificación y evaluación de controles
- Riesgo residual
4.2. Es de responsabilidad de los líderes de proceso y colaboradores de Intermodal S.A.S. la identificación de los riesgos del entorno laboral.
4.3. Las consecuencias y la interpretación se miden teniendo en cuenta el grado de afectación que pudiera impactar sobre las personas, el medio ambiente, la economía, la imagen de la empresa y seguridad de las operaciones, esto según criterio profesional.
4.4. Los aspectos para tener en cuenta a la hora de identificación del riesgo en la empresa son
- Seguridad y salud en el trabajo
- Operativo
- Estratégico
- Ambiental
- SARLAFT
- Seguridad en la cadena de suministro
4.5. Tablas para Proceso de Valorización del riesgo y Evaluación
TABLE # 1 Valorización
|
PROBABILIDAD |
POSIBILIDAD |
PROBABILIDAD MATEMATICA |
FRECUENCIA |
VALOR |
|
Rara |
Puede ocurrir en circunstancias excepcionales
|
< 10 % |
1 de cada 10.000 Operaciones |
1 |
|
Improbable |
Insignificante posibilidad de que el evento ocurra |
10.1 % al 40 % |
1 de cada 1.000 Operaciones |
2 |
|
Posible |
Alguna posibilidad de que el evento ocurra |
40.1 % al 60 % |
1 de cada 100 Operaciones |
3 |
|
Probable |
Posiblemente ocurra varias veces |
60.1 % al 90 % |
1 de cada 10 Operaciones |
4 |
|
Casi Cierto |
Ocurra la mayoría de veces |
> 90 % |
1 de cada 2 Operaciones mes |
5 |
TABLA # 2 Severidad
|
SEVERIDAD O IMPACTO |
RECURSOS HUMANOS |
PÉRDIDAS ECONÓMICAS |
PÉRDIDA DE REPUTACIÓN - DAÑO AMBIENTAL |
VALOR |
|
Insignificante |
Sin lesiones ó lesiones con incapacidad hasta 3 días |
Hasta $ 1.000.000 |
Solo es de conocimiento de los directivos |
1 |
|
Menor |
Incapacidad mayor a 3 días hasta un mes |
Entre $1.000.001 a $5.000.000 |
De conocimiento de la empresa |
2 |
|
Moderado |
Incapacidad mayor a 1 mes hasta tres mes |
Entre $5.000.001 a $50.000.000 |
De conocimiento a nivel local Y Sucursales |
3 |
|
Mayor |
Incapacidad mayor a 3 meses hasta seis mes |
Entre $50.000.001 a $500.000.000 |
De conocimiento a nivel nacional y competencial |
4 |
|
Catastrófico |
Pérdida de vidas humanas Incapacidad total y permanente más de 6 meses |
Mayores a $ 500.000.000 |
De conocimiento a nivel internacional |
5 |
TABLA # 3 Nivel e interpretación de tolerancia
|
Nivel de tolerancia |
Descripción |
Interpretación de nivel de tolerancia |
|
5 |
Mantener las medidas de control existentes pero se deberían considerar soluciones o mejoras y se deben hacer comprobaciones periódicas para asegurar que el riesgo aun es aceptable |
Insignificante |
|
10 |
Cuando el riesgo presenta una vulnerabilidad admisible ó baja para la entidad ó dependencia. (Impacto y probabilidad baja versus controles existentes). |
Aceptable |
|
15 |
Cuando el riesgo presenta una vulnerabilidad permisible ó soportable para la entidad ó dependencia (Impacto y probabilidad media-baja versus controles existentes). |
Tolerante |
|
20 |
Cuando el riesgo presenta una vulnerabilidad significativa para la entidad ó dependencia. (Impacto alto - probabilidad baja o Impacto bajo - probabilidad alta versus controles existentes). |
Importante |
|
25 |
Cuando el riesgo hace altamente vulnerable a la entidad o dependencia. (Impacto y probabilidad alta versus controles existentes) |
Inaceptable |
TABLA #4 Medida de respuesta
|
Medida de Respuesta |
VALOR |
Descripción |
|
Asumir el riesgo |
5 |
Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. |
|
Atomizar o Reducir el riesgo |
10 |
Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia |
|
Compartir, Transferir, Dispersar,
|
15 |
Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar. |
|
Reducir Compartir o Transferir el riesgo |
20 |
Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. |
|
Evitar Reducir el riesgo |
25 |
Es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. |
4.6. Los líderes de procesos serán los primeros responsables para promover y gestionar la identificación y evaluación de riesgos en Intermodal S.A.S.
4.7. Se debe divulgar a las partes interesadas la planificación de los planes de acción y establecer los compromisos.
4.8. La matriz de identificación de Riesgos deberá ser actualizada mínimo anualmente cuando:
- Si cambian las condiciones iniciales bien sea en lo referente a las personas, materiales, servicio o ambiente.
- Cada vez que se efectúen mediciones ambientales
- Cuando se presenten emergencias si se cree conveniente.
- Cuando se presenten novedades en el servicio o cambios en los procesos.
- Cuando ocurran accidentes o incidentes de trabajo se realizarán ajustes a la valoración si se estima pertinente
- Cuando se efectúen las inspecciones periódicas planeadas
- Cuando la legislación lo requiera
4.9. Seguir la secuencia del formato con el procedimiento para desarrollar la matriz exactamente
4.10. Valorizar calificar los riesgos con la tabla de identificación de riesgos
4.11. La evaluación y valoración de riesgos debe ser, en general, un proceso continúo. Por lo tanto, La valoración de riesgos y la adecuación de las medidas de control debe estar sujeta a una revisión continua y modificarse si es preciso, Anualmente
4.12. Tener en cuenta la legislación vigente y otros requisitos, Consultar y divulgar con las partes interesadas lo que se ha planificado Y hacer los compromisos.
4.13. Verificar que las personas que realizan esta actividad cuenten con las Competencia necesaria para emitir conceptos claros e imparciales.
4.14. Involucrar el tipo de controles existentes en cada proceso de Intermodal S.A.S..
4.15. Identificar qué tipo de controles o intervenciones para el control son necesarios. Como:
4.15.1. ELIMINACIÓN: Estos controles hace referencia a quitar un riesgo concreto o de un procedimiento de trabajo peligroso, o evitar que se dé en el lugar de trabajo, es el método control más eficaz. Suprime el peligro para la salud, pero puede ser necesario sacrificar parte de la producción y que haya pérdidas de puestos de trabajo.
4.15.2. SUSTITUCIÓN: En estos controles si no se puede eliminar completamente un producto químico o un procedimiento de trabajo particularmente peligrosos, hay que tratar de reemplazarlos por un sustituto más seguro. Se suprime el riesgo para la salud y la producción continúa, pero se pueden aparecer nuevos riesgos
4.15.3. CONTROLES DE INGENIERÍA.: Estos controles tienen que ver con el diseño de equipos y/o sistemas para proteger a los trabajadores o prevenir la ocurrencia de eventos no deseados. Los controles de ingeniería pueden reducir sustancialmente los riesgos en actividades de mantenimiento. Algunas aplicaciones de los controles de ingeniería son
- Establecimiento de criterios y procedimientos para el diseño y ejecución de levantamientos de cargas críticas.
- Selección de equipos y diseños adecuados.
- Implantar un efectivo programa de mantenimiento de equipos y maquinarias.
4.15.4. CONTROLES ADMINISTRATIVOS: Los controles de administrativos son los métodos más usados para reducir o eliminar los riesgos de manera permanente e involucran a los trabajadores. Algunas aplicaciones de los controles administrativos son:
- Limitar el tiempo y frecuencia de exposición a los riesgos en el lugar de trabajo mediante la rotación a los trabajadores, reubicación, asignación puntual de tareas.
- Capacitar a los trabajadores en diferentes puestos de trabajo para una rotación adecuada.
- Efectuar el trabajo riesgoso fuera de horas de trabajo (levantamiento de cargas).
- Establecer turnos rotativos y/o segundos turnos, con el fin de evitar áreas de trabajo congestionadas.
- Implementar de técnicas y prácticas de trabajo actualizadas y lecciones aprendidas.
- Señalizar y demarcar las áreas de riesgo.
- Realizar evaluaciones médicas.
- Impartir un efectivo programa de entrenamiento y capacitación.
4.15.5. EQUIPOS DE PROTECCIÓN PERSONAL (EPP): Este tipo de control generalmente contribuye a minimizar los riesgos al trabajador expuesto a agentes potenciales de riesgo durante la realización de su tarea y/o actividad. El Equipo de Protección Personal será la última elección para el control del riesgo. La selección y uso del equipo de protección personal se hará de acuerdo con el riesgo específico tomando en cuenta las limitaciones que éste representa.
GESTIÓN DEL RIESGO EN LA CADENA DE SUMINISTRO
4.16. La gestión del riesgo se conforma de las siguientes etapas:
- Identificación del riesgo que incluye: Tipo de Riesgo, ¿Qué puede ocurrir? (evento), ¿Cómo puede ocurrir? (escenario de riesgo), ¿Cuál es la Consecuencia?, Causa del Riesgo (Mediata), Fuente del Riesgo, Área de Impacto.
- Evaluación del riesgo inherente: que incluye: Probabilidad, Impacto, Severidad.
- Identificación y evaluación de controles: Descripción del Control, diseño del control (Documentación, Quien (Segregación de Funciones), Automatización del Control, Oportunidad, Periodicidad, Evaluación del Diseño), Implementación del Control, Efectividad del Control, Calificación del Control, El control disminuye probabilidad, El control disminuye impacto, Calificación Individual, Calificación del Conjunto de Controles, Disminución general en Probabilidad, Disminución general en Impacto.
- Riesgo residual: Calificación
4.17. Es responsabilidad de los líderes de proceso y colaboradores de Intermodal S.A.S. la identificación de los riesgos que afecten la seguridad de la cadena de suministro.
4.18. Los líderes de procesos serán los primeros responsables para promover y gestionar la identificación y evaluación de riesgos en la empresa.
4.19. La matriz de identificación de Riesgos deberá ser actualizada mínimo anualmente, o cuando:
- Cambien las condiciones iniciales bien sea en lo referente a las personas, procesos, servicio, criterios de seguridad.
- Cuando se presenten incidentes o eventos críticos.
- Cuando se presenten novedades en el servicio o cambios en los procesos.
- Cuando la legislación lo requiera
4.20. Las consecuencias y la interpretación se miden teniendo en cuenta el grado de afectación que pudiera impactar sobre las personas, los procesos, la imagen de la empresa y seguridad de las operaciones, esto según criterio profesional.
4.21. Los aspectos para tener en cuenta a la hora de identificación del riesgo en la empresa son
- Riesgos en seguridad y salud en el trabajo
- Riesgo Ambiental
- Riesgos legales
- Riesgo en la Cadena de Suministros
- Riesgos corporativos
- Riesgo gestión de la calidad del servicio
- Riesgos en seguridad informática y documentación
4.22. Tablas para Proceso de valoración del riesgo
IDENTIFICACIÓN DEL RIESGO
La identificación del riesgo es el proceso para hallar, reconocer y registrar los riesgos.
El propósito de la identificación del riesgo es identificar lo que podría suceder o cuáles situaciones podrían existir que afecten el logro de los objetivos del sistema o la organización.
Una vez se ha identificado el riesgo, la organización identifica todos los controles existentes, tales como las características del diseño, las personas, los procesos y los sistemas.
El proceso de identificación del riesgo incluye identificar las causas y la fuente del riesgo (peligro en el contexto de daño físico), los eventos, las situaciones o las circunstancias que podrían tener un impacto material sobre los objetivos y la naturaleza de dicho impacto.
La Matriz Probabilidad-Impacto permite priorizar las tareas de una forma muy visual y sencilla, basándose en las dos dimensiones esenciales relativas al riesgo:
- La probabilidad de que el evento suceda.
- El impacto que provocaría en caso de que sucediese.
La Matriz Probabilidad-Impacto, también llamada Matriz de Riesgo o Mapa de Calor, es una matriz ordenada, con la Probabilidad y el Impacto en los ejes de coordenadas y que nos facilita la comparación visual entre diversos riesgos. Permite combinar los dos factores en un solo gráfico y evaluarlos al mismo tiempo.
Mapa de riesgos definido:
|
Impacto |
|||||||
|
Mínimo |
Menor |
Moderado |
Mayor |
Catastrófico |
|||
|
Probabilidad |
Casi cierto |
Alto |
Alto |
Extremo |
Extremo |
Extremo |
|
|
Probable |
Moderado |
Alto |
Alto |
Extremo |
Extremo |
||
|
Posible |
Bajo |
Moderado |
Alto |
Extremo |
Extremo |
||
|
Improbable |
Bajo |
Bajo |
Moderado |
Alto |
Extremo |
||
|
Raro |
Bajo |
Bajo |
Moderado |
Alto |
Alto |
||
Para clasificar los riesgos en los ejes, se realiza de forma cualitativa (estableciendo rangos) o cuantitativa (asignando un índice a cada elemento de estudio).
Escala cualitativa
Los índices cualitativos o rangos se enmarcan en una matriz 5×5, de la siguiente manera:
Probabilidad
- Casi Cierto
- Probable
- Posible
- Improbable
- Raro
Impacto
- Catastrófico
- Mayor
- Moderado
- Menor
- Mínimo
Obteniendo la siguiente matriz:
|
Mínimo |
Menor |
Moderado |
Mayor |
Catastrófico |
||
|
1 |
2 |
3 |
4 |
5 |
||
|
Casi cierto |
5 |
Alto |
Alto |
Extremo |
Extremo |
Extremo |
|
Probable |
4 |
Moderado |
Alto |
Alto |
Extremo |
Extremo |
|
Posible |
3 |
Bajo |
Moderado |
Alto |
Extremo |
Extremo |
|
Improbable |
2 |
Bajo |
Bajo |
Moderado |
Alto |
Extremo |
|
Raro |
1 |
Bajo |
Bajo |
Moderado |
Alto |
Alto |
Criterios para definir la probabilidad
|
PROBABILIDAD |
VALOR |
DESCRIPCIÓN |
|
|
Casi Cierto |
5 |
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene entre un valor mayor de 90% y un 100% de seguridad de que el riesgo se presente. |
|
|
Probable |
4 |
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre un valor mayor de 65% y un 90% de seguridad de que el riesgo se presente |
|
|
Posible |
3 |
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre un valor mayor a 30% y un 65% de seguridad de que el riesgo se presente |
|
|
Improbable |
2 |
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre un valor mayor de 10% y un 30% de seguridad de que el riesgo se presente |
|
|
Raro |
1 |
Riesgo cuya probabilidad de ocurrencia es remota, es decir, se tiene entre un valor mayor que 0% y 10% de seguridad de que el riesgo se presente |
|
Criterios para definir el impacto
|
IMPACTO |
VALOR |
DESCRIPCIÓN |
|
|
Catastrófico |
5 |
Interrupción de las operaciones de la Entidad por más de cinco (5) días. |
|
|
Mayor |
4 |
Interrupción de las operaciones de la Entidad por más de dos (2) días. |
|
|
Moderado |
3 |
Interrupción de las operaciones de la Entidad por un (1) día. |
|
|
Menor |
2 |
Interrupción de las operaciones de la Entidad por algunas horas. |
|
|
Mínimo |
1 |
No hay interrupción de las operaciones de la entidad. |
|
Escala cuantitativa
Se otorga un índice de entre 1 y 5 a la Probabilidad (donde 1 es algo imposible que suceda y 5 algo que tenemos certeza que ocurrirá) y al Impacto (1 cuando no exista consecuencia alguna y 5 cuando las consecuencias sean irrevocables).
Reflejamos esto en la siguiente matriz:
|
Mínimo |
Menor |
Moderado |
Mayor |
Catastrófico |
||
|
1 |
2 |
3 |
4 |
5 |
||
|
Casi cierto |
5 |
51 |
52 |
53 |
54 |
55 |
|
Probable |
4 |
41 |
42 |
43 |
44 |
45 |
|
Posible |
3 |
31 |
32 |
33 |
34 |
45 |
|
Improbable |
2 |
21 |
22 |
23 |
24 |
25 |
|
Raro |
1 |
11 |
12 |
13 |
14 |
15 |
4.23. Fuentes del riesgo:
- Personas
- Tecnología
- Procesos
- Infraestructura
- Externos
4.24. La evaluación y valoración de riesgos debe ser, en general, un proceso continuo. Por lo tanto, La valoración de riesgos y la adecuación de las medidas de control debe estar sujeta a una revisión continua y modificarse si es preciso, Anualmente
4.25. Tener en cuenta la legislación vigente y otros requisitos, Consultar y divulgar con las partes interesadas lo que se ha planificado Y hacer los compromisos.
4.26. Verificar que las personas que realizan esta actividad cuenten con las Competencia necesaria para emitir conceptos claros e imparciales.
METODOLOGIA DE GESTION DE RIESGOS PARA SARLAFT
INTERMODAL S.A.S. implementa la presente metodología con el fin de dar cumplimiento de la normatividad local e internacional vigente, a través de la administración de los riesgos con acciones preventivas y/o correctivas para el control efectivo de los riesgos identificados.
Esta metodología se fundamenta en las buenas prácticas establecidas por la norma internacional ISO 31000 sobre Administración y Gestión de Riesgos, y se compone de las siguientes cinco etapas:
- Comprensión de la Compañía y su contexto.
- Valoración del riesgo.
- Actividades de control-tratamiento del riesgo.
- Monitoreo y Supervisión.
- Comunicación y consulta.
Para el desarrollo de estas etapas se cuenta con la participación de las áreas y responsables de los diferentes procesos de la Compañía, con el fin de asegurar que las acciones definidas.
4.3. COMPRENSIÓN DE LA COMPAÑÍA Y SU CONTEXTO
Los factores para considerar en el análisis son:
a. Contrapartes
Proveedores, contratistas, subcontratistas, clientes, empleados, administradores, accionistas y demás personas naturales o jurídicas con las que la Compañía mantenga relaciones contractuales, comerciales, laborales o societarias, que puedan representar riesgos asociados a actividades ilícitas, corrupción, soborno, conflictos de interés o incumplimientos éticos.
b. Áreas geográficas
Zonas donde la Compañía presta sus servicios o donde se ubican sus contrapartes, con presencia de economías ilícitas, criminalidad, grupos armados organizados, debilidad institucional, riesgos de corrupción o deficiencias en controles LA/FT/FPADM y PTEE.
c. Productos
Bienes y servicios asociados a la operación de la Compañía, incluyendo servicios de infraestructura vial, recaudo de peajes, explotación comercial, así como el uso de predios, maquinaria, equipos y demás activos que puedan ser utilizados indebidamente o generar riesgos de corrupción, fraude o LA/FT/FPADM.
d. Canales
Medios utilizados para la movilización de recursos y prestación del servicio, tales como pagos, anticipos, transferencias, recaudos, compensaciones, indemnizaciones y demás mecanismos de interacción financiera u operativa, susceptibles de uso indebido o falta de trazabilidad.
e. Actividades
Procesos de construcción, operación, mantenimiento vial, recaudo de peajes y demás actividades propias del contrato de concesión, incluyendo el uso de peajes, patios, bodegas, campamentos, centros de control y demás infraestructura operativa, expuestos a riesgos operacionales, de corrupción o LA/FT/FPADM.
Corresponde a la identificación, análisis y evaluación de los riesgos, determinando su probabilidad e impacto, con el fin de establecer el nivel de riesgo inherente y priorizar su gestión.
4.4.1. Identificación de riesgos
La compañía debe llevar a cabo de manera periódica la identificación y/o actualización de los riesgos. A continuación, se detallan los aspectos que deben ser identificados y documentados en la matriz de riesgos como primer paso del proceso:
- Identificación y descripción del riesgo: definición clara del riesgo que podría afectar negativamente los objetivos de la empresa.
- Tipo de riesgo: clasificación del riesgo según naturaleza, por ejemplo, operativo, financiero, legal o reputacional.
- Causas o factores generadores: identificación de causas o circunstancias en las que se podría originar el riesgo.
- Probabilidad de ocurrencia: estimación de la frecuencia o la posibilidad de que el riesgo suceda.
- Grado de impacto: Evaluación de la magnitud de afectación en caso de que el riesgo.
- Nivel del riesgo: determinar la prioridad del riesgo.
- Controles existentes: Medidas o mecanismos ya implementados para mitigar o gestionar el riesgo.
- Responsables: Personas o áreas encargadas de la gestión o monitoreo del riesgo.
- Plan de acción o de tratamiento: Medidas adicionales a implementar para reducir o controlar el riesgo, cuando sea necesario.
La identificación de causas o fallas corresponde a las fuentes generadoras de riesgo, las cuales pueden ser internas o externas a la Compañía. Estas causas deben analizarse considerando los factores de riesgo definidos en el numeral 1, los cuales constituyen la base para la identificación, análisis y evaluación de los riesgos LA/FT/FPADM y PTEE.
En este sentido, la Compañía deberá asegurar que los riesgos identificados estén asociados a dichos factores, permitiendo una adecuada segmentación y trazabilidad dentro de la matriz de riesgos.
4.4.2. Análisis y priorización del riesgo
Una vez se han identificado los riesgos, se procede a hacer un análisis, de preferencia conjunto con las áreas críticas de la compañía, con el fin de priorizar los riesgos de acuerdo con su probabilidad e impacto. Este análisis permite entender la magnitud del riesgo y sus posibles consecuencias. La medición del perfil de riesgo se realiza a través de la estimación de la probabilidad de ocurrencia del evento, así como de sus impactos en caso de materializarse:
- Probabilidad: Hace referencia a la frecuencia con la que ocurre el evento durante el período evaluado. Los criterios para su clasificación se establecen de acuerdo con la siguiente tabla:
|
Calificación |
Valor |
Descripción |
|
Recurrente |
5 |
Se considera que el evento tiene una alta probabilidad de ocurrencia, ya que se espera que se presente de forma periódica. Frecuencia estimada: al menos una (1) vez por mes. |
|
Frecuente |
4 |
Se estima que el evento podría presentarse con cierta regularidad dentro del período evaluado. Frecuencia estimada: al menos una (1) vez por semestre. |
|
Ocasional |
3 |
Se prevé que el evento pueda presentarse de forma ocasional durante el período evaluado. Frecuencia estimada: una (1) vez por año. |
|
Remoto |
2 |
Se considera que el evento tiene una baja probabilidad de ocurrencia dentro del período evaluado. Frecuencia estimada: una (1) vez cada cinco (5) años. |
|
Improbable |
1 |
El evento no ha ocurrido en un período igual o inferior a cinco (5) años, por lo que se considera de ocurrencia muy baja o excepcional. Frecuencia estimada: no se ha presentado en los últimos cinco (5) años. |
Impacto: Las siguientes preguntas permiten evaluar el impacto del riesgo utilizando la metodología del panel de expertos:
¿Podría la compañía enfrentar pérdidas económicas?
¿Es probable que este riesgo genere sanciones o multas financieras?
¿Puede generar afectación reputacional para INTERMODAL, sus accionistas o empresas relacionadas?
¿Este riesgo podría causar un daño a la reputación de la compañía en el sector?
¿Puede generar cobertura mediática negativa para la compañía?
¿Puede interrumpir las operaciones logísticas, de almacenamiento, afectando la continuidad del negocio?
¿Puede generar inmovilización de contenedores, mercancía, activos o retrasos operativos relevantes?
¿Genera intervención de los organismos de control, de la Fiscalía, u otro ente?
¿Puede dar lugar a procesos disciplinarios, sancionatorios, fiscales, penales?
De acuerdo con el número de respuestas afirmativas se mide el nivel de impacto del riesgo, teniendo en cuenta los siguientes criterios:
|
Medición del Impacto |
Descripción |
|
Grave |
Si se responde entre ocho (8) y nueve (9) preguntas afirmativas. |
|
Mayor |
Si se responde entre cinco (5) y siete (7) preguntas afirmativas. |
|
Moderado |
Si se responde entre tres (3) y cuatro (4) preguntas afirmativas. |
|
Menor |
Si se responde al menos dos (2) preguntas afirmativas. |
|
Leve |
Si se responde solo una (1) pregunta afirmativa. |
Así las cosas, una vez se asigna el valor aplicable para cada riesgo en probabilidad e impacto, el resultado se enmarca en un mapa de calor cuya dimensión corresponde a niveles de cinco (5) filas por (5) columnas que le dan una mayor flexibilidad a la determinación de los riesgos intermedios.
|
Recurrente |
5 |
20% Moderado |
40% Alto |
60% Extremo |
80% Extremo |
100% Extremo |
|
Frecuente |
4 |
16% Moderado |
32% Alto |
48% Alto |
64% Extremo |
80% Extremo |
|
Ocasional |
3 |
12% Moderado |
24% Moderado |
36% Alto |
48% Alto |
60% Extremo |
|
Remoto |
2 |
8% Inferior |
16% Moderado |
24% Moderado |
32% Alto |
40% Alto |
|
Improbable |
1 |
4% Inferior |
8% Inferior |
12% Moderado |
16% Moderado |
20% Moderado |
|
1 |
2 |
3 |
4 |
5 |
||
|
Leve |
Menor |
Moderado |
Mayor |
Grave |
||
|
|
||||||
Como se puede observar, la combinación entre la probabilidad de ocurrencia y la magnitud del impacto permite determinar el nivel o perfil del riesgo inherente de la siguiente manera:
|
|
|
Riesgo Extremo |
>50% |
|
|
|
|
|
|
|
|
Riesgo Alto |
> 24% y <= 50% |
|
|
|
|
|
|
|
|
Riesgo Moderado |
> 8% y <= 24% |
|
|
|
|
|
|
|
|
Riesgo Inferior |
<8% |
- Evaluación de riesgo
- Apetito al riesgo: La compañía tiene como objetivo llevar los riesgos inherentes hasta un nivel máximo de exposición moderado en los riesgos identificados. Lo anterior, sin limitar a que las diferentes áreas desarrollen un plan de acción para la implementación de controles en riesgos inferiores y moderados.
|
Nivel de Exposición Riesgo Inherente |
Nivel de Riesgo Residual Objetivo |
|
Extremo |
Moderado |
|
Alto |
Moderado |
|
Moderado |
Inferior |
|
Inferior |
Inferior |
Las opciones como respuesta a la evaluación de los riesgos son las siguientes
|
Recurrente |
5 |
Reducir |
Reducir |
Evitar/Reducir |
Evitar/Reducir |
Evitar/Reducir |
|
Frecuente |
4 |
Reducir |
Reducir |
Reducir |
Evitar/Reducir |
Evitar/Reducir |
|
Ocasional |
3 |
Reducir |
Reducir |
Reducir |
Evitar/ Reducir |
Evitar/Reducir |
|
Remoto |
2 |
Aceptar |
Reducir |
Reducir |
Reducir |
Evitar/ Reducir |
|
Improbable |
1 |
Aceptar |
Aceptar |
Reducir |
Reducir |
Reducir |
|
1 |
2 |
3 |
4 |
5 |
||
|
Leve |
Menor |
Moderado |
Mayor |
Grave |
- Evitar el riesgo: Se evita el riesgo si se decide no proceder con la actividad que probablemente generaría el riesgo, utilizando un activo, servicio o producto distinto o modificando el proceso, de manera que las amenazas originales ya no lo afecten
- Reducir o mitigar el riesgo: Actividades y medidas tendientes a reducir la probabilidad y/o minimizar la severidad de su impacto. Se consigue mediante la optimización de los procedimientos y la implementación de controles (prevención, planificación).
4.5. ACTIVIDADES DE CONTROL – TRATAMIENTO DEL RIESGO
Conceptualmente un control se define como una actividad/acción/herramienta que permite reducir el riesgo. Una vez identificado y evaluado el riesgo inherente, se debe diseñar y describir las actividades de control y herramientas necesarias para gestionar la probabilidad de ocurrencia e impacto de materialización de los riesgos identificados.
Con el fin de identificar los controles existentes, actualizarlos, mejorarlos o diseñarlos, se recomienda realizar mesas de trabajo con los líderes de los procesos y expertos, quienes, con el apoyo de sus equipos de trabajo, serán los encargados de posteriormente implementar y monitorear su ejecución. La Estructura para la descripción del control debe incluir, como mínimo, los siguientes elementos:
- Qué se hace.
- Cómo se hace.
- Resultado/registro.
- Responsable de la ejecución y seguimiento.
- Frecuencia o periodicidad (en caso de que aplique).
- Describir o referenciar qué se hace en caso de que como resultado de la aplicación del control se identifique algún error (si aplica).
Posteriormente, se evalúa la idoneidad y eficacia de los controles que la compañía posee con el fin de mitigar y dar respuesta los riesgos evaluados. A partir de esta evaluación, se realiza medición del riesgo residual, el cual considera, por consiguiente, la consistencia de los controles. La evaluación de los controles se realiza teniendo en cuenta los siguientes criterios:
|
Descripción |
Opción |
Valor |
|
Asignación responsable del control |
Asignado |
15 |
|
No Asignado |
0 |
|
|
Documentación del control |
Documentado |
15 |
|
No Documentado |
0 |
|
|
Frecuencia |
Continua |
15 |
|
Aleatoria |
0 |
|
|
Propósito |
Prevenir |
15 |
|
Detectar |
10 |
|
|
Corregir |
5 |
|
|
Clase de control |
Automático |
15 |
|
Dependiente IT |
10 |
|
|
Manual |
5 |
|
|
Evidencia |
Con registro |
10 |
|
Sin registro |
0 |
|
|
Qué pasa con las observaciones y desviaciones |
Se tienen instrucciones específicas sobre cómo tratarlas oportunamente |
15 |
|
No se tienen instrucciones sobre cómo investigar o resolver oportunamente |
0 |
De acuerdo con la estructura del control la cual se evalúa mediante los puntajes mencionados en la tabla, los controles pueden clasificarse de la siguiente manera:
|
Solidez Diseño |
|||
|
Fuerte |
80 a 100 |
80% de gestión en probabilidad o impacto |
|
|
Moderado |
40 a 79 |
50% de gestión en probabilidad o impacto |
|
|
Débil |
0 a 39 |
20% de gestión en probabilidad o impacto |
|
Según el tipo y objetivo del control, la gestión de los riesgos puede desarrollarse de la manera ilustrada a continuación:
|
Recurrente |
5 |
|
|
|
|
|
|
Frecuente |
4 |
|
|
|
|
|
|
Ocasional |
3 |
|
|
|
|
|
|
Remoto |
2 |
|
|
|
|
|
|
Improbable |
1 |
|
|
|
|
|
|
1 |
2 |
3 |
4 |
5 |
||
|
Leve |
Menor |
Moderado |
Mayor |
Grave |
Una vez se encuentran definidos los niveles de riesgo residual, de no alcanzarse el perfil de riesgo residual esperado, se deben detectar las posibles debilidades existentes definiendo un tratamiento o plan de acción al riesgo residual orientado a:
|
Inferior |
Riesgo que no requiere acciones inmediatas deberán ser monitoreados por el coordinador o líder del proceso. En caso de identificar un incremento en el nivel de riesgo deberá informar al oficial de cumplimiento. |
Seguimiento anual |
|
Moderado |
Riesgos evaluados continuamente por el coordinador o líder del proceso. Realizar reporte inmediato al oficial de cumplimiento. Si en la evaluación se determina un incremento en el nivel del riesgo, se harán los ajustes necesarios. |
Seguimiento semestral |
|
Alto |
El oficial de cumplimiento deberá establecer planes de acción que busquen reducir la exposición de la Compañía:
1. Implementar nuevos controles. 2. Modificar los controles existentes. 3. Realizar reporte inmediato al representante legal. 4. Evaluar acciones disciplinarias. |
Seguimiento trimestral |
|
Extremo |
El oficial de cumplimiento deberá establecer planes de acción que busquen reducir la exposición de la compañía: 1. Implementar nuevos controles. 2. Modificar los controles existentes 3. Realizar reporte inmediato a los Altos Directivos de la Compañía o máximo órgano social 4. Evaluar acciones disciplinarias. |
Seguimiento continuo |
La evaluación de los riesgos debe ser revisada de forma regular (mínimo una vez al año) de modo tal que se mantengan actualizados y que su nivel de criticidad sea acorde a la realidad.
Adicionalmente, deben ser revisados en los casos extraordinarios, en los que existan cambios significativos en la estructura o procesos de la compañía.
Asimismo, dados los procedimientos recomendados, la compañía tiene la responsabilidad de identificar y evaluar los riesgos a través de procedimientos periódicos de Debida Diligencia y Auditoría, los cuales deben ser adelantados con recursos económicos y humanos que sean suficientes para cumplir con el objetivo de realizar una correcta evaluación
La eficacia es medida con base en el aporte de las actividades de control a la minimización del riesgo inherente, su eventual materialización y el comportamiento de los riesgos residuales.
Como resultado de la revisión de la alta dirección se determina la eficacia de las acciones establecidas y el cierre o ampliación del seguimiento sobre las oportunidades reportadas.
4.8. COMUNICACIÓN Y CONSULTA
La comunicación y consulta es un proceso transversal a todas las etapas de la gestión del riesgo, mediante el cual la Compañía garantiza la adecuada divulgación, comprensión y aplicación del sistema por parte de las partes involucradas.
Para tal efecto, se establecen mecanismos de comunicación dirigidos a partes internas y externas, con el fin de informar y recibir retroalimentación sobre los riesgos identificados, sus causas, consecuencias y las medidas adoptadas para su tratamiento.
Esto permite asegurar que los responsables del proceso y las demás partes interesadas comprendan los criterios de gestión del riesgo, las decisiones adoptadas y sus responsabilidades dentro del sistema, fortaleciendo así la cultura de prevención.
4.9. Mecanismos de comunicación y consulta
Capacitación y sensibilización
- Inducción: Los nuevos colaboradores reciben capacitación sobre la gestión del riesgo y sus responsabilidades.
- Capacitación periódica: Se realizan actividades de actualización según el nivel de exposición al riesgo.
- Sensibilización: Se desarrollan campañas internas al menos una vez al año para fortalecer la cultura de riesgo.
Informes y reportes
- Informe del Oficial de Cumplimiento: Se presenta, como mínimo de forma anual, al máximo órgano social o Junta Directiva, informando sobre el estado del sistema, riesgos relevantes y acciones implementadas.
- Reportes internos: Las áreas deben informar oportunamente situaciones que puedan representar riesgos o incumplimientos.
Canales de comunicación
La Compañía cuenta con canales que permiten reportar situaciones relacionadas con riesgos, garantizando la confidencialidad de la información.
Comunicación con terceros
Cuando sea necesario, se divulgarán aspectos del sistema a contrapartes para asegurar el cumplimiento de las políticas establecidas.
- Responsabilidades
5.1. Área de procesos
5.1.1. Hacer seguimiento de los mecanismos de control.
5.1.2. Actualizar la herramienta (matriz) de identificación de riesgos según lo requiera
5.1.3. Estipular tiempo de ejecución de las actividades de mejora
5.1.4. Desarrollo de la matriz i de identificación de riesgo en cada sucursal.
5.2. Colaboradores
5.2.1. Reportar los casos de servicio no conforme que se presenten en la organización.
5.2.2. Reportar a tiempo las causas básicas e inmediatas en el ámbito laboral.
5.2.3. Participar en el desarrollo de la matriz de riesgo.
5.2.4. Cumplir y acatar las recomendaciones que se implementan en las frentes de trabajo.
5.3. Líder de proceso
5.3.1. Dar apoyo, facilitando lo necesario para las mejoras continuas
5.3.2. Reportar al área de proceso o gestión humana.
5.3.3. Dar respaldo a las necesidades de mejoras continuas.
- Desarrollo
El número [#] al final de cada actividad indica la secuencia en la que se desarrolla las actividades.
|
REGISTRO, EVALUACION Y DIVULGACION DE MATRIZ DE RIESGO |
||
|
Colaboradores |
1 |
Identifica en el entorno laboral los riesgos asociados a su actividad [2] |
|
2 |
Envía a líder de proceso los riesgos identificados [3] |
|
|
Líder de proceso |
3 |
Recepciona los riesgos identificados Analiza, evalúa y direcciona al área de procesos [4] |
|
Área de procesos |
4 |
Analiza, evalúa y establece los controles para la gestión del riesgo o la actualización de la matriz [5] |
|
Líder de proceso |
5 |
Actualiza la matriz de riesgos y genera oportunidades de mejora [6] |
|
6 |
Realiza seguimiento de las oportunidades de mejora generadas y cierre de las mismas [Fin] |
|
- Registros
- Formato GI-MA-02 Matriz De Identificación De Peligros
|
Elaboró |
Revisó |
Aprobó |
|
Sergio Agudelo Jefe de Procesos |
Jenny Ardila Gerente Administrativa |
Jenny Ardila Gerente Administrativa |
