IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS

GI-PD-01

Versión: 8

Fecha de creación: 22/11/2016

Fecha de actualización: 22/05/2026

 

 

  1. Alcance

Empresa / Sucursal

BTA

BUN

CTG

MAD

YUM

Caldas

Intermodal

X

x

X

X

X

 

 

  1. Objetivo

Identificar los peligros, evaluar, valorar los riesgos y establecer los controles pertinentes para la mitigación del riesgo.

 

  1. Definiciones

3.1. Identificación de Riesgo: Proceso para encontrar, reconocer y describir el riesgo.

3.2. Actividad: Conjunto de tareas que hacen parte de un proceso y son necesarias para mantener de forma permanente y continua la operatividad de la organización. Descripción detallada del paso a paso de un proceso.

3.3. Actividad rutinaria: Se entiende por actividades rutinarias como aquellas que se realizan periódicamente (no forzosamente de manera frecuente, puede ser a diario o una vez por año), en las cuales se pueden inferir todas sus condiciones, de tal manera que se identifican los peligros y se evalúan los riesgos para definir las medidas de control que se implementan y mantienen regularmente.

3.4. Actividad no rutinaria: Las actividades no rutinarias son aquellas que se salen de la operación normal y no responden a condiciones fácilmente estandarizables, debido a la diversidad de escenarios que podrían presentarse, lo cual resulta impráctico de generalizar y conviene, mejor, tratarlas como un caso especial en cada oportunidad. Esto implica la identificación de peligros particulares y la evaluación de los riesgos asociados con el propósito de aplicar las medidas de control disponibles y agregar las necesarias para exponer a las personas únicamente a riesgos tolerables.

3.5. Condiciones inseguras: Es toda condición física del equipo, materiales o área de trabajo que se desvía de lo que es aceptable por normas, procedimientos o prácticas seguras, capaz de producir un accidente y/o enfermedad profesional.

3.6. Epp: Implementos destinados a proteger al trabajador contra agentes externos que pueden ocasionar una lesión y/o enfermedad profesional.

3.7. Peligro: Fuente de daño potencial.

3.8. Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo.

3.9. Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo.

3.10. Fuente de riesgo: Elemento que solo o en combinación tiene potencial intrínseco de originar un riesgo.

3.11. Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.

3.12. Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.

3.13. Posibilidad: Oportunidad de que algo suceda.

3.14. Exposición: Extensión hasta la cual una organización, una parte involucrada o ambas están sujetas a un evento.

3.15. Consecuencia: Resultado de un evento que afecta a los objetivos.

3.16. Probabilidad: Medida de la oportunidad de la ocurrencia, expresada como un numero entre 1 y 1, en donde 0 en la imposibilidad y 1 es la certeza absoluta.

3.17. Frecuencia: Numero de eventos o efectos por unidad de tiempo definida.

3.18. Vulnerabilidad: Propiedades intrínsecas de algo que resultan en la susceptibilidad a una fuente de riesgo que puede ocasionar un evento con una consecuencia.

3.19. Matriz de riesgo: Herramienta para clasificar y visualizar el riesgo mediante la definición

de rasgos para la consecuencia y la posibilidad.

3.20. Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su posibilidad.

3.21. Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con criterios del riesgo, para determinar si el riesgo, su magnitud, o ambos son aceptables o tolerables.

3.22. Tratamiento del riesgo: Proceso para modificar el riesgo.

3.23. Control: Medida que modifica al riesgo.

3.24. Riesgo: Probabilidad de ocurrencia de un evento y/o pérdida; expresado matemáticamente como Riesgo: Frecuencia x Consecuencia, o Probabilidad x Severidad.Combinación de la probabilidad y la (s) consecuencia (s) de que ocurra un evento peligroso específico.

3.25. Riesgo residual: Riesgo remanente después del tratamiento del riesgo, puede contener un riesgo no identificado.

3.26. Severidad o Impacto: Conjunto de consecuencias provocadas por un hecho o actuación que afecta a un entorno o ambiente social o natural.

 

  1. Normas

 

4.1. El proceso de identificación evaluación de riesgos y medidas de respuesta se efectuará así:

  • Identificación de los riesgos
  • Evaluación del riesgo inherente
  • Identificación y evaluación de controles
  • Riesgo residual

 

 

4.2. Es de responsabilidad de los líderes de proceso y colaboradores de Intermodal S.A.S. la identificación de los riesgos del entorno laboral.

4.3. Las consecuencias y la interpretación se miden teniendo en cuenta el grado de afectación que pudiera impactar sobre las personas, el medio ambiente, la economía, la imagen de la empresa y seguridad de las operaciones, esto según criterio profesional.

4.4. Los aspectos para tener en cuenta a la hora de identificación del riesgo en la empresa son

  • Seguridad y salud en el trabajo
  • Operativo
  • Estratégico
  • Ambiental
  • SARLAFT
  • Seguridad en la cadena de suministro

 

 

 

4.5. Tablas para Proceso de Valorización del riesgo y Evaluación

 

TABLE # 1 Valorización

 

PROBABILIDAD

POSIBILIDAD

PROBABILIDAD MATEMATICA

FRECUENCIA

VALOR

Rara

Puede ocurrir en circunstancias excepcionales

 

< 10 %

1 de cada 10.000 Operaciones

1

Improbable

Insignificante posibilidad de que el evento ocurra

10.1 %  al  40 %

1 de cada 1.000 Operaciones

2

Posible

Alguna posibilidad de que el evento ocurra

40.1 %  al  60 %

1 de cada 100 Operaciones

3

Probable

Posiblemente ocurra varias veces

60.1 %  al  90 %

1 de cada 10 Operaciones

4

Casi Cierto

Ocurra la mayoría de veces

> 90 %

1 de cada 2  Operaciones mes

5

 

 

 TABLA # 2 Severidad

SEVERIDAD O IMPACTO

RECURSOS HUMANOS

PÉRDIDAS  ECONÓMICAS

PÉRDIDA DE REPUTACIÓN - DAÑO AMBIENTAL

VALOR

Insignificante

Sin lesiones ó lesiones con incapacidad hasta 3 días

Hasta $ 1.000.000

Solo es de conocimiento de los directivos

1

Menor

Incapacidad mayor a 3 días hasta un mes

Entre $1.000.001  a  $5.000.000

De conocimiento de la empresa

2

Moderado

Incapacidad mayor a 1 mes hasta tres mes

Entre $5.000.001  a     $50.000.000

De conocimiento a nivel local Y Sucursales

3

Mayor

Incapacidad mayor a 3 meses hasta seis mes

Entre $50.000.001  a    $500.000.000

De conocimiento a nivel nacional y competencial

4

Catastrófico

Pérdida de vidas humanas Incapacidad total y permanente más de 6 meses

Mayores a  $ 500.000.000

De conocimiento a nivel internacional

5

 

 

TABLA # 3 Nivel e interpretación de tolerancia

Nivel de tolerancia

Descripción

Interpretación de nivel de tolerancia

5

Mantener las medidas de control existentes pero se deberían considerar soluciones o mejoras y se deben hacer comprobaciones periódicas para asegurar que el riesgo aun es aceptable

Insignificante

10

Cuando el riesgo presenta una vulnerabilidad admisible ó baja para la entidad ó dependencia. (Impacto y probabilidad baja versus controles existentes).

Aceptable

15

Cuando el riesgo presenta una vulnerabilidad permisible ó soportable para la entidad ó dependencia (Impacto y probabilidad media-baja versus controles existentes).

Tolerante

20

Cuando el riesgo presenta una vulnerabilidad significativa para la entidad ó dependencia. (Impacto alto - probabilidad baja o Impacto bajo - probabilidad alta versus controles existentes).

Importante

25

Cuando el riesgo hace altamente vulnerable a la entidad o dependencia. (Impacto y probabilidad alta versus controles existentes)

Inaceptable

TABLA #4 Medida de respuesta

 

Medida de Respuesta

VALOR

Descripción

Asumir el riesgo

5

Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

Atomizar o Reducir  el riesgo

10

Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia

Compartir, Transferir,  Dispersar,

 

15

Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

Reducir Compartir o   Transferir  el riesgo

20

Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.

Evitar                        Reducir el riesgo

25

Es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

 

 

4.6. Los líderes de procesos serán los primeros responsables para promover y gestionar la identificación y evaluación de riesgos en Intermodal S.A.S.

4.7. Se debe divulgar a las partes interesadas la planificación de los planes de acción y establecer los compromisos.

4.8. La matriz de identificación de Riesgos deberá ser actualizada mínimo anualmente cuando:

  • Si cambian las condiciones iniciales bien sea en lo referente a las personas, materiales, servicio o ambiente.
  • Cada vez que se efectúen mediciones ambientales
  • Cuando se presenten emergencias si se cree conveniente.
  • Cuando se presenten novedades en el servicio o cambios en los procesos.
  • Cuando ocurran accidentes o incidentes de trabajo se realizarán ajustes a la valoración si se estima pertinente
  • Cuando se efectúen las inspecciones periódicas planeadas
  • Cuando la legislación lo requiera

 

4.9. Seguir la secuencia del formato con el procedimiento para desarrollar la matriz exactamente

4.10. Valorizar calificar los riesgos con la tabla de identificación de riesgos

4.11. La evaluación y valoración de riesgos debe ser, en general, un proceso continúo. Por lo tanto, La valoración de riesgos y la adecuación de las medidas de control debe estar sujeta a una revisión continua y modificarse si es preciso, Anualmente

4.12. Tener en cuenta la legislación vigente y otros requisitos, Consultar y divulgar con las partes interesadas lo que se ha planificado Y hacer los compromisos.

4.13. Verificar que las personas que realizan esta actividad cuenten con las Competencia necesaria para emitir conceptos claros e imparciales.

4.14. Involucrar el tipo de controles existentes en cada proceso de Intermodal S.A.S..

4.15. Identificar qué tipo de controles o intervenciones para el control son necesarios. Como:

4.15.1. ELIMINACIÓN: Estos controles hace referencia a quitar un riesgo concreto o de un procedimiento de trabajo peligroso, o evitar que se dé en el lugar de trabajo, es el método control más eficaz. Suprime el peligro para la salud, pero puede ser necesario sacrificar parte de la producción y que haya pérdidas de puestos de trabajo.

4.15.2. SUSTITUCIÓN: En estos controles si no se puede eliminar completamente un producto químico o un procedimiento de trabajo   particularmente peligrosos, hay que tratar de reemplazarlos por un sustituto más seguro. Se suprime el riesgo para la salud y la producción continúa, pero se pueden aparecer nuevos riesgos

4.15.3. CONTROLES DE INGENIERÍA.: Estos controles tienen que ver con el diseño de equipos y/o sistemas para proteger a los trabajadores o prevenir la ocurrencia de eventos no deseados. Los controles de ingeniería pueden reducir sustancialmente los riesgos en actividades de mantenimiento. Algunas aplicaciones de los controles de ingeniería son

  • Establecimiento de criterios y procedimientos para el diseño y ejecución de levantamientos de cargas críticas.
    • Selección de equipos y diseños adecuados.
    • Implantar un efectivo programa de mantenimiento de equipos y maquinarias.

 

4.15.4. CONTROLES ADMINISTRATIVOS: Los controles de administrativos son los métodos más usados para reducir o eliminar los riesgos de manera permanente e involucran a los trabajadores. Algunas aplicaciones de los controles administrativos son:

  • Limitar el tiempo y frecuencia de exposición a los riesgos en el lugar de trabajo mediante la rotación a los trabajadores, reubicación, asignación puntual de tareas.
  • Capacitar a los trabajadores en diferentes puestos de trabajo para una rotación adecuada.
  • Efectuar el trabajo riesgoso fuera de horas de trabajo (levantamiento de cargas).
  • Establecer turnos rotativos y/o segundos turnos, con el fin de evitar áreas de trabajo congestionadas.
  • Implementar de técnicas y prácticas de trabajo actualizadas y lecciones aprendidas.
  • Señalizar y demarcar las áreas de riesgo.
  • Realizar evaluaciones médicas.
  • Impartir un efectivo programa de entrenamiento y capacitación.

 

4.15.5. EQUIPOS DE PROTECCIÓN PERSONAL (EPP): Este tipo de control generalmente contribuye a minimizar los riesgos al trabajador expuesto a agentes potenciales de riesgo durante la realización de su tarea y/o actividad. El Equipo de Protección Personal será la última elección para el control del riesgo. La selección y uso del equipo de protección personal se hará de acuerdo con el riesgo específico tomando en cuenta las limitaciones que éste representa.

 

 

GESTIÓN DEL RIESGO EN LA CADENA DE SUMINISTRO

 

4.16. La gestión del riesgo se conforma de las siguientes etapas:

  • Identificación del riesgo que incluye: Tipo de Riesgo, ¿Qué puede ocurrir? (evento), ¿Cómo puede ocurrir? (escenario de riesgo), ¿Cuál es la Consecuencia?, Causa del Riesgo (Mediata), Fuente del Riesgo, Área de Impacto.
  • Evaluación del riesgo inherente: que incluye: Probabilidad, Impacto, Severidad.
  • Identificación y evaluación de controles: Descripción del Control, diseño del control (Documentación, Quien (Segregación de Funciones), Automatización del Control, Oportunidad, Periodicidad, Evaluación del Diseño), Implementación del Control, Efectividad del Control, Calificación del Control, El control disminuye probabilidad, El control disminuye impacto, Calificación Individual, Calificación del Conjunto de Controles, Disminución general en Probabilidad, Disminución general en Impacto.
  • Riesgo residual: Calificación

 

4.17. Es responsabilidad de los líderes de proceso y colaboradores de Intermodal S.A.S. la identificación de los riesgos que afecten la seguridad de la cadena de suministro.

4.18. Los líderes de procesos serán los primeros responsables para promover y gestionar la identificación y evaluación de riesgos en la empresa.

4.19. La matriz de identificación de Riesgos deberá ser actualizada mínimo anualmente, o cuando:

  • Cambien las condiciones iniciales bien sea en lo referente a las personas, procesos, servicio, criterios de seguridad.
  • Cuando se presenten incidentes o eventos críticos.
  • Cuando se presenten novedades en el servicio o cambios en los procesos.
  • Cuando la legislación lo requiera

4.20. Las consecuencias y la interpretación se miden teniendo en cuenta el grado de afectación que pudiera impactar sobre las personas, los procesos, la imagen de la empresa y seguridad de las operaciones, esto según criterio profesional.

4.21. Los aspectos para tener en cuenta a la hora de identificación del riesgo en la empresa son

  • Riesgos en seguridad y salud en el trabajo
  • Riesgo Ambiental
  • Riesgos legales
  • Riesgo en la Cadena de Suministros
  • Riesgos corporativos
  • Riesgo gestión de la calidad del servicio
  • Riesgos en seguridad informática y documentación

 

4.22. Tablas para Proceso de valoración del riesgo

 

 

IDENTIFICACIÓN DEL RIESGO

 

La identificación del riesgo es el proceso para hallar, reconocer y registrar los riesgos.

El propósito de la identificación del riesgo es identificar lo que podría suceder o cuáles situaciones podrían existir que afecten el logro de los objetivos del sistema o la organización.

Una vez se ha identificado el riesgo, la organización identifica todos los controles existentes, tales como las características del diseño, las personas, los procesos y los sistemas.

El proceso de identificación del riesgo incluye identificar las causas y la fuente del riesgo (peligro en el contexto de daño físico), los eventos, las situaciones o las circunstancias que podrían tener un impacto material sobre los objetivos y la naturaleza de dicho impacto.

 

La Matriz Probabilidad-Impacto permite priorizar las tareas de una forma muy visual y sencilla, basándose en las dos dimensiones esenciales relativas al riesgo:

  1. La probabilidad de que el evento suceda.
  2. El impacto que provocaría en caso de que sucediese.

La Matriz Probabilidad-Impacto, también llamada Matriz de Riesgo o Mapa de Calor, es una matriz ordenada, con la Probabilidad y el Impacto en los ejes de coordenadas y que nos facilita la comparación visual entre diversos riesgos. Permite combinar los dos factores en un solo gráfico y evaluarlos al mismo tiempo.

 

 

Mapa de riesgos definido:

   

Impacto

 
   

Mínimo

Menor

Moderado

Mayor

Catastrófico

 

Probabilidad

Casi cierto 

Alto

Alto

Extremo

Extremo

Extremo

 
 

Probable 

Moderado

Alto

Alto

Extremo

Extremo

 
 

Posible 

Bajo

Moderado

Alto

Extremo

Extremo

 
 

Improbable 

Bajo

Bajo

Moderado

Alto

Extremo

 
 

Raro 

Bajo

Bajo

Moderado

Alto

Alto

 
 

 

 

Para clasificar los riesgos en los ejes, se realiza de forma cualitativa (estableciendo rangos) o cuantitativa (asignando un índice a cada elemento de estudio).

 

Escala cualitativa

Los índices cualitativos o rangos se enmarcan en una matriz 5×5, de la siguiente manera:

 

Probabilidad

  • Casi Cierto
  • Probable
  • Posible
  • Improbable
  • Raro

Impacto

  • Catastrófico
  • Mayor
  • Moderado
  • Menor
  • Mínimo

 

Obteniendo la siguiente matriz:

 

   

Mínimo

Menor

Moderado

Mayor

Catastrófico

   

1

2

3

4

5

Casi cierto

5

Alto

Alto

Extremo

Extremo

Extremo

Probable

4

Moderado

Alto

Alto

Extremo

Extremo

Posible

3

Bajo

Moderado

Alto

Extremo

Extremo

Improbable

2

Bajo

Bajo

Moderado

Alto

Extremo

Raro

1

Bajo

Bajo

Moderado

Alto

Alto

 

 

 

 

Criterios para definir la probabilidad

 

PROBABILIDAD

VALOR

DESCRIPCIÓN

 

Casi Cierto

5

Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene entre un valor mayor de 90% y un 100% de seguridad de que el riesgo se presente.

 
 

Probable

4

Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre un valor mayor de 65% y un 90% de seguridad de que el riesgo se presente

 
 

Posible

3

Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre un valor mayor a 30% y un 65% de seguridad de que el riesgo se presente

 
 

Improbable

2

Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre un valor mayor de 10% y un 30% de seguridad de que el riesgo se presente

 
 

Raro

1

Riesgo cuya probabilidad de ocurrencia es remota, es decir, se tiene entre un valor mayor que 0% y 10% de seguridad de que el riesgo se presente

 
 

 

Criterios para definir el impacto

 

IMPACTO

VALOR

DESCRIPCIÓN

 

Catastrófico

5

Interrupción de las operaciones de la Entidad por más de cinco (5) días.
Intervención por parte de un ente de control u otro ente regulador.
Pérdida de Información crítica para la entidad que no se puede recuperar.
Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.
Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

 
 

Mayor

4

Interrupción de las operaciones de la Entidad por más de dos (2) días.
Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
Sanción por parte ente de control u otro ente regulador.
Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.
Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

 
 

Moderado

3

Interrupción de las operaciones de la Entidad por un (1) día.
Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad.
Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
Reproceso de actividades y aumento de carga operativa.
Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.
Investigaciones penales, fiscales o disciplinarias.

 
 

Menor

2

Interrupción de las operaciones de la Entidad por algunas horas.
Reclamaciones o quejas de los usuarios que implican
investigaciones internas disciplinarias.
Imagen institucional afectada localmente por retrasos en la
prestación del servicio a los usuarios o ciudadanos.

 
 

Mínimo

1

No hay interrupción de las operaciones de la entidad.
No se generan sanciones económicas o administrativas.
No se afecta la imagen institucional de forma significativa.

 
 

 

 

Escala cuantitativa

 

Se otorga un índice de entre 1 y 5 a la Probabilidad (donde 1 es algo imposible que suceda y 5 algo que tenemos certeza que ocurrirá) y al Impacto (1 cuando no exista consecuencia alguna y 5 cuando las consecuencias sean irrevocables).

 

Reflejamos esto en la siguiente matriz:

 

   

Mínimo

Menor

Moderado

Mayor

Catastrófico

   

1

2

3

4

5

Casi cierto

5

51

52

53

54

55

Probable

4

41

42

43

44

45

Posible

3

31

32

33

34

45

Improbable

2

21

22

23

24

25

Raro

1

11

12

13

14

15

 

 

4.23. Fuentes del riesgo:

  • Personas
  • Tecnología
  • Procesos
  • Infraestructura
  • Externos

 

4.24. La evaluación y valoración de riesgos debe ser, en general, un proceso continuo. Por lo tanto, La valoración de riesgos y la adecuación de las medidas de control debe estar sujeta a una revisión continua y modificarse si es preciso, Anualmente

4.25. Tener en cuenta la legislación vigente y otros requisitos, Consultar y divulgar con las partes interesadas lo que se ha planificado Y hacer los compromisos.

4.26. Verificar que las personas que realizan esta actividad cuenten con las Competencia necesaria para emitir conceptos claros e imparciales.

 

 

METODOLOGIA DE GESTION DE RIESGOS PARA SARLAFT

 

 

INTERMODAL S.A.S. implementa la presente metodología con el fin de dar cumplimiento de la normatividad local e internacional vigente, a través de la administración de los riesgos con acciones preventivas y/o correctivas para el control efectivo de los riesgos identificados.

 

Esta metodología se fundamenta en las buenas prácticas establecidas por la norma internacional ISO 31000 sobre Administración y Gestión de Riesgos, y se compone de las siguientes cinco etapas:

 

  1. Comprensión de la Compañía y su contexto.
  2. Valoración del riesgo.
  3. Actividades de control-tratamiento del riesgo.
  4. Monitoreo y Supervisión.
  5. Comunicación y consulta.

 

Para el desarrollo de estas etapas se cuenta con la participación de las áreas y responsables de los diferentes procesos de la Compañía, con el fin de asegurar que las acciones definidas.

 

4.3. COMPRENSIÓN DE LA COMPAÑÍA Y SU CONTEXTO

Los factores para considerar en el análisis son:

 

 

a. Contrapartes

Proveedores, contratistas, subcontratistas, clientes, empleados, administradores, accionistas y demás personas naturales o jurídicas con las que la Compañía mantenga relaciones contractuales, comerciales, laborales o societarias, que puedan representar riesgos asociados a actividades ilícitas, corrupción, soborno, conflictos de interés o incumplimientos éticos.

b. Áreas geográficas

Zonas donde la Compañía presta sus servicios o donde se ubican sus contrapartes, con presencia de economías ilícitas, criminalidad, grupos armados organizados, debilidad institucional, riesgos de corrupción o deficiencias en controles LA/FT/FPADM y PTEE.

c. Productos

Bienes y servicios asociados a la operación de la Compañía, incluyendo servicios de infraestructura vial, recaudo de peajes, explotación comercial, así como el uso de predios, maquinaria, equipos y demás activos que puedan ser utilizados indebidamente o generar riesgos de corrupción, fraude o LA/FT/FPADM.

d. Canales

Medios utilizados para la movilización de recursos y prestación del servicio, tales como pagos, anticipos, transferencias, recaudos, compensaciones, indemnizaciones y demás mecanismos de interacción financiera u operativa, susceptibles de uso indebido o falta de trazabilidad.

 

e. Actividades

Procesos de construcción, operación, mantenimiento vial, recaudo de peajes y demás actividades propias del contrato de concesión, incluyendo el uso de peajes, patios, bodegas, campamentos, centros de control y demás infraestructura operativa, expuestos a riesgos operacionales, de corrupción o LA/FT/FPADM.

 

4.4. VALORACIÓN DEL RIESGO

 

Corresponde a la identificación, análisis y evaluación de los riesgos, determinando su probabilidad e impacto, con el fin de establecer el nivel de riesgo inherente y priorizar su gestión.

 

 

4.4.1. Identificación de riesgos

 

La compañía debe llevar a cabo de manera periódica la identificación y/o actualización de los riesgos. A continuación, se detallan los aspectos que deben ser identificados y documentados en la matriz de riesgos como primer paso del proceso:

 

  1. Identificación y descripción del riesgo: definición clara del riesgo que podría afectar negativamente los objetivos de la empresa.
  2. Tipo de riesgo: clasificación del riesgo según naturaleza, por ejemplo, operativo, financiero, legal o reputacional.
  3. Causas o factores generadores: identificación de causas o circunstancias en las que se podría originar el riesgo.
  4. Probabilidad de ocurrencia: estimación de la frecuencia o la posibilidad de que el riesgo suceda.
  5. Grado de impacto: Evaluación de la magnitud de afectación en caso de que el riesgo.
  6. Nivel del riesgo: determinar la prioridad del riesgo.
  7. Controles existentes: Medidas o mecanismos ya implementados para mitigar o gestionar el riesgo.
  8. Responsables: Personas o áreas encargadas de la gestión o monitoreo del riesgo.
  9. Plan de acción o de tratamiento: Medidas adicionales a implementar para reducir o controlar el riesgo, cuando sea necesario.

 

La identificación de causas o fallas corresponde a las fuentes generadoras de riesgo, las cuales pueden ser internas o externas a la Compañía. Estas causas deben analizarse considerando los factores de riesgo definidos en el numeral 1, los cuales constituyen la base para la identificación, análisis y evaluación de los riesgos LA/FT/FPADM y PTEE.

 

En este sentido, la Compañía deberá asegurar que los riesgos identificados estén asociados a dichos factores, permitiendo una adecuada segmentación y trazabilidad dentro de la matriz de riesgos.

 

4.4.2. Análisis y priorización del riesgo

 

Una vez se han identificado los riesgos, se procede a hacer un análisis, de preferencia conjunto con las áreas críticas de la compañía, con el fin de priorizar los riesgos de acuerdo con su probabilidad e impacto. Este análisis permite entender la magnitud del riesgo y sus posibles consecuencias. La medición del perfil de riesgo se realiza a través de la estimación de la probabilidad de ocurrencia del evento, así como de sus impactos en caso de materializarse:

 

  • Probabilidad: Hace referencia a la frecuencia con la que ocurre el evento durante el período evaluado. Los criterios para su clasificación se establecen de acuerdo con la siguiente tabla:

 

Calificación

Valor

Descripción

Recurrente

5

Se considera que el evento tiene una alta probabilidad de ocurrencia, ya que se espera que se presente de forma periódica.

Frecuencia estimada: al menos una (1) vez por mes.

Frecuente

4

Se estima que el evento podría presentarse con cierta regularidad dentro del período evaluado.

Frecuencia estimada: al menos una (1) vez por semestre.

Ocasional

3

Se prevé que el evento pueda presentarse de forma ocasional durante el período evaluado.

Frecuencia estimada: una (1) vez por año.

Remoto

2

Se considera que el evento tiene una baja probabilidad de ocurrencia dentro del período evaluado.

Frecuencia estimada: una (1) vez cada cinco (5) años.

Improbable

1

El evento no ha ocurrido en un período igual o inferior a cinco (5) años, por lo que se considera de ocurrencia muy baja o excepcional.

Frecuencia estimada: no se ha presentado en los últimos cinco (5) años.

 

Impacto: Las siguientes preguntas permiten evaluar el impacto del riesgo utilizando la metodología del panel de expertos:

 

¿Podría la compañía enfrentar pérdidas económicas?

¿Es probable que este riesgo genere sanciones o multas financieras?

¿Puede generar afectación reputacional para INTERMODAL, sus accionistas o empresas relacionadas?

¿Este riesgo podría causar un daño a la reputación de la compañía en el sector?

¿Puede generar cobertura mediática negativa para la compañía?

¿Puede interrumpir las operaciones logísticas, de almacenamiento, afectando la continuidad del negocio?

¿Puede generar inmovilización de contenedores, mercancía, activos o retrasos operativos relevantes?

¿Genera intervención de los organismos de control, de la Fiscalía, u otro ente?

¿Puede dar lugar a procesos disciplinarios, sancionatorios, fiscales, penales?

 

De acuerdo con el número de respuestas afirmativas se mide el nivel de impacto del riesgo, teniendo en cuenta los siguientes criterios:

 

Medición del Impacto

Descripción

Grave

Si se responde entre ocho (8) y nueve (9) preguntas afirmativas.

Mayor

Si se responde entre cinco (5) y siete (7) preguntas afirmativas.

Moderado

Si se responde entre tres (3) y cuatro (4) preguntas afirmativas.

Menor

Si se responde al menos dos (2) preguntas afirmativas.

Leve

Si se responde solo una (1) pregunta afirmativa.

 

Así las cosas, una vez se asigna el valor aplicable para cada riesgo en probabilidad e impacto, el resultado se enmarca en un mapa de calor cuya dimensión corresponde a niveles de cinco (5) filas por (5) columnas que le dan una mayor flexibilidad a la determinación de los riesgos intermedios.

 

 

 

Recurrente

5

20%

Moderado

40%

Alto

60%

Extremo

80%

Extremo

100%

Extremo

Frecuente

4

16%

Moderado

32%

Alto

48%

Alto

64%

Extremo

80%

Extremo

Ocasional

3

12%

Moderado

24%

Moderado

36%

Alto

48%

Alto

60%

Extremo

Remoto

2

8%

Inferior

16%

Moderado

24%

Moderado

32%

Alto

40%

Alto

Improbable

1

4%

Inferior

8%

Inferior

12%

Moderado

16%

Moderado

20%

Moderado

   

1

2

3

4

5

   

Leve

Menor

Moderado

Mayor

Grave

 

Como se puede observar, la combinación entre la probabilidad de ocurrencia y la magnitud del impacto permite determinar el nivel o perfil del riesgo inherente de la siguiente manera:

 

 

 

Riesgo Extremo

>50%

 

 

 

 

 

 

Riesgo Alto

> 24% y <= 50%

 

 

 

 

 

 

Riesgo Moderado

> 8% y <= 24%

 

 

 

 

 

 

Riesgo Inferior

<8%

        

 

  • Evaluación de riesgo

 

  • Apetito al riesgo: La compañía tiene como objetivo llevar los riesgos inherentes hasta un nivel máximo de exposición moderado en los riesgos identificados. Lo anterior, sin limitar a que las diferentes áreas desarrollen un plan de acción para la implementación de controles en riesgos inferiores y moderados.

 

 

 

Nivel de Exposición Riesgo Inherente

Nivel de Riesgo Residual Objetivo

Extremo

Moderado

Alto

Moderado

Moderado

Inferior

Inferior

Inferior

 

 

Las opciones como respuesta a la evaluación de los riesgos son las siguientes

 

Recurrente

5

Reducir

Reducir

Evitar/Reducir

Evitar/Reducir

Evitar/Reducir

Frecuente

4

Reducir

Reducir

Reducir

Evitar/Reducir

Evitar/Reducir

Ocasional

3

Reducir

Reducir

Reducir

Evitar/

Reducir

Evitar/Reducir

Remoto

2

Aceptar

Reducir

Reducir

Reducir

Evitar/

Reducir

Improbable

1

Aceptar

Aceptar

Reducir

Reducir

Reducir

   

1

2

3

4

5

   

Leve

Menor

Moderado

Mayor

Grave

 

 

  • Evitar el riesgo: Se evita el riesgo si se decide no proceder con la actividad que probablemente generaría el riesgo, utilizando un activo, servicio o producto distinto o modificando el proceso, de manera que las amenazas originales ya no lo afecten

 

  • Reducir o mitigar el riesgo: Actividades y medidas tendientes a reducir la probabilidad y/o minimizar la severidad de su impacto. Se consigue mediante la optimización de los procedimientos y la implementación de controles (prevención, planificación).

 

 

 

4.5. ACTIVIDADES DE CONTROL – TRATAMIENTO DEL RIESGO

 

Conceptualmente un control se define como una actividad/acción/herramienta que permite reducir el riesgo. Una vez identificado y evaluado el riesgo inherente, se debe diseñar y describir las actividades de control y herramientas necesarias para gestionar la probabilidad de ocurrencia e impacto de materialización de los riesgos identificados.

 

Con el fin de identificar los controles existentes, actualizarlos, mejorarlos o diseñarlos, se recomienda realizar mesas de trabajo con los líderes de los procesos y expertos, quienes, con el apoyo de sus equipos de trabajo, serán los encargados de posteriormente implementar y monitorear su ejecución. La Estructura para la descripción del control debe incluir, como mínimo, los siguientes elementos:

 

  • Qué se hace.
  • Cómo se hace.
  • Resultado/registro.
  • Responsable de la ejecución y seguimiento.
  • Frecuencia o periodicidad (en caso de que aplique).
  • Describir o referenciar qué se hace en caso de que como resultado de la aplicación del control se identifique algún error (si aplica).

 

Posteriormente, se evalúa la idoneidad y eficacia de los controles que la compañía posee con el fin de mitigar y dar respuesta los riesgos evaluados. A partir de esta evaluación, se realiza medición del riesgo residual, el cual considera, por consiguiente, la consistencia de los controles.  La evaluación de los controles se realiza teniendo en cuenta los siguientes criterios:

 

Descripción

Opción

Valor

Asignación responsable del control

Asignado

15

No Asignado

0

Documentación del control

Documentado

15

No Documentado

0

Frecuencia

Continua

15

Aleatoria

0

Propósito

Prevenir

15

Detectar

10

Corregir

5

Clase de control

Automático

15

Dependiente IT

10

Manual

5

Evidencia

Con registro

10

Sin registro

0

Qué pasa con las observaciones y desviaciones

Se tienen instrucciones específicas sobre cómo tratarlas oportunamente

15

No se tienen instrucciones sobre cómo investigar o resolver oportunamente

0

 

De acuerdo con la estructura del control la cual se evalúa mediante los puntajes mencionados en la tabla, los controles pueden clasificarse de la siguiente manera:

 

Solidez Diseño

Fuerte

80 a 100

80% de gestión en probabilidad o impacto

 

Moderado

40 a 79

50% de gestión en probabilidad o impacto

 

Débil

0 a 39

20% de gestión en probabilidad o impacto

 

 

 

Según el tipo y objetivo del control, la gestión de los riesgos puede desarrollarse de la manera ilustrada a continuación:

 

 

Recurrente

5

 

 

 

 

 

Frecuente

4

 

 

 

 

 

Ocasional

3

 

 

 

 

 

Remoto

2

 

 

 

 

 

Improbable

1

 

 

 

 

 
   

1

2

3

4

5

   

Leve

Menor

Moderado

Mayor

Grave

 

 

 

 

4.6.  Tolerancia al riesgo

 

Una vez se encuentran definidos los niveles de riesgo residual, de no alcanzarse el perfil de riesgo residual esperado, se deben detectar las posibles debilidades existentes definiendo un tratamiento o plan de acción al riesgo residual orientado a:

 

Inferior

Riesgo que no requiere acciones inmediatas deberán ser monitoreados por el coordinador o líder del proceso.

En caso de identificar un incremento en el nivel de riesgo deberá informar al oficial de cumplimiento.

Seguimiento anual

Moderado

Riesgos evaluados continuamente por el coordinador o líder del proceso.

Realizar reporte inmediato al oficial de cumplimiento.

Si en la evaluación se determina un incremento en el nivel del riesgo, se harán los ajustes necesarios.

Seguimiento semestral

Alto

El oficial de cumplimiento deberá establecer planes de acción que busquen reducir la exposición de la Compañía:

 

1.    Implementar nuevos controles.

2.    Modificar los controles existentes.

3.    Realizar reporte inmediato al representante legal.

4.    Evaluar acciones disciplinarias.

Seguimiento trimestral

Extremo

El oficial de cumplimiento deberá establecer planes de acción que busquen reducir la exposición de la compañía:

1. Implementar nuevos controles.

2. Modificar los controles existentes

3. Realizar reporte inmediato a los Altos Directivos de la Compañía   o máximo órgano social

4. Evaluar acciones disciplinarias.

Seguimiento continuo

 

 

 

 

4.7. MONITOREO Y SUPERVISIÓN

 

La evaluación de los riesgos debe ser revisada de forma regular (mínimo una vez al año) de modo tal que se mantengan actualizados y que su nivel de criticidad sea acorde a la realidad.

 

Adicionalmente, deben ser revisados en los casos extraordinarios, en los que existan cambios significativos en la estructura o procesos de la compañía.

 

Asimismo, dados los procedimientos recomendados, la compañía tiene la responsabilidad de identificar y evaluar los riesgos a través de procedimientos periódicos de Debida Diligencia y Auditoría, los cuales deben ser adelantados con recursos económicos y humanos que sean suficientes para cumplir con el objetivo de realizar una correcta evaluación

 

La eficacia es medida con base en el aporte de las actividades de control a la minimización del riesgo inherente, su eventual materialización y el comportamiento de los riesgos residuales. 

 

Como resultado de la revisión de la alta dirección se determina la eficacia de las acciones establecidas y el cierre o ampliación del seguimiento sobre las oportunidades reportadas.

 

 

4.8. COMUNICACIÓN Y CONSULTA

 

La comunicación y consulta es un proceso transversal a todas las etapas de la gestión del riesgo, mediante el cual la Compañía garantiza la adecuada divulgación, comprensión y aplicación del sistema por parte de las partes involucradas.

 

Para tal efecto, se establecen mecanismos de comunicación dirigidos a partes internas y externas, con el fin de informar y recibir retroalimentación sobre los riesgos identificados, sus causas, consecuencias y las medidas adoptadas para su tratamiento.

 

Esto permite asegurar que los responsables del proceso y las demás partes interesadas comprendan los criterios de gestión del riesgo, las decisiones adoptadas y sus responsabilidades dentro del sistema, fortaleciendo así la cultura de prevención.

 

 

4.9. Mecanismos de comunicación y consulta

 

Capacitación y sensibilización

 

  • Inducción: Los nuevos colaboradores reciben capacitación sobre la gestión del riesgo y sus responsabilidades.
  • Capacitación periódica: Se realizan actividades de actualización según el nivel de exposición al riesgo.
  • Sensibilización: Se desarrollan campañas internas al menos una vez al año para fortalecer la cultura de riesgo.

 

 

Informes y reportes

 

  • Informe del Oficial de Cumplimiento: Se presenta, como mínimo de forma anual, al máximo órgano social o Junta Directiva, informando sobre el estado del sistema, riesgos relevantes y acciones implementadas.
  • Reportes internos: Las áreas deben informar oportunamente situaciones que puedan representar riesgos o incumplimientos.

 

Canales de comunicación

 

La Compañía cuenta con canales que permiten reportar situaciones relacionadas con riesgos, garantizando la confidencialidad de la información.

 

Comunicación con terceros

 

Cuando sea necesario, se divulgarán aspectos del sistema a contrapartes para asegurar el cumplimiento de las políticas establecidas.

 

 

 

 

  1. Responsabilidades

 

5.1. Área de procesos

5.1.1. Hacer seguimiento de los mecanismos de control.

5.1.2. Actualizar la herramienta (matriz) de identificación de riesgos según lo requiera

5.1.3. Estipular tiempo de ejecución de las actividades de mejora

5.1.4. Desarrollo de la matriz i de identificación de riesgo en cada sucursal.

 

 

5.2. Colaboradores

5.2.1. Reportar los casos de servicio no conforme que se presenten en la organización.

5.2.2. Reportar a tiempo las causas básicas e inmediatas en el ámbito laboral.

5.2.3. Participar en el desarrollo de la matriz de riesgo.

5.2.4. Cumplir y acatar las recomendaciones que se implementan en las frentes de trabajo.

 

5.3. Líder de proceso

5.3.1. Dar apoyo, facilitando lo necesario para las mejoras continuas

5.3.2. Reportar al área de proceso o gestión humana.

5.3.3. Dar respaldo a las necesidades de mejoras continuas.

 

 

  1. Desarrollo

El número [#] al final de cada actividad indica la secuencia en la que se desarrolla las actividades.

 

REGISTRO, EVALUACION Y DIVULGACION DE MATRIZ DE RIESGO

Colaboradores

1

Identifica en el entorno laboral los riesgos asociados a su actividad [2]

2

Envía a líder de proceso los riesgos identificados [3]

Líder de proceso

3

Recepciona los riesgos identificados Analiza, evalúa y direcciona al área de procesos [4]

Área de procesos

4

Analiza, evalúa y establece los controles para la gestión del riesgo o la actualización de la matriz [5]

Líder de proceso

5

Actualiza la matriz de riesgos y genera oportunidades de mejora [6]

6

Realiza seguimiento de las oportunidades de mejora generadas y cierre de las mismas [Fin]

 

 

  1. Registros

 

  • Formato GI-MA-02 Matriz De Identificación De Peligros

 

 

Elaboró

Revisó

Aprobó

Sergio Agudelo

Jefe de Procesos

Jenny Ardila

Gerente Administrativa

Jenny Ardila

Gerente Administrativa