Gestión de riesgos de Ecopetrol
Actions
Gestión de riesgos de Ecopetrol
Jul 23, 2025
El código de Buen Gobierno de Ecopetrol declara dentro de las mejores prácticas de transparencia, gobernabilidad y control a la gestión de riesgos así:
“ECOPETROL está inmersa en una industria muy dinámica y de alta incertidumbre, por lo cual debe gestionar integralmente los riesgos y el control interno para aprovechar las oportunidades que se presenten y mitigar efectos adversos a los intereses de la Sociedad. La gestión integral de riesgos en ECOPETROL busca trazar los lineamientos generales para la administración de riesgos y consolidar una cultura que permita tomar decisiones informadas, contemplando los posibles eventos que impacten positiva o negativamente los objetivos de la Sociedad”.
Para ampliar esta información consulta aquí:
https://www.ecopetrol.com.co/.../Anexo+2+C%C3%B3digo+de+Buen+Gobierno+de+Ecopetrol.pdf
El Sistema de Gestión Integrado de Riesgos (SRI) se basa en la norma ISO 31000: 2009 y por medio de este se establecen el conjunto de principios, el marco de referencia y el proceso (Ciclo único de Gestión de Riesgos) que permiten a la organización gestionar los efectos de la incertidumbre sobre el cumplimiento de los objetivos, con el fin de maximizar las oportunidades y ayudar en el establecimiento de estrategias, logro de objetivos y toma de decisiones informadas, según se muestra a continuación:
Este sistema es liderado por la Dirección Corporativa de Cumplimiento a través de la Gerencia de Gestión de Riesgos y es supervisado por la Junta Directiva a través de su Comité de Auditoría y Riesgos, de acuerdo con los roles y responsabilidades detallados a continuación.
De acuerdo con el Código de Buen Gobierno de Ecopetrol S.A., “ECOPETROL ha establecido una estructura organizacional que soporta la gestión de riesgos y el Sistema de Control Interno, asignando responsabilidades específicas a la Junta Directiva, el CAJD, el Presidente y el área de gestión de riesgos y Control Interno de la Vicepresidencia de Cumplimiento de ECOPETROL”.
En efecto, Ecopetrol S.A. define responsabilidades de supervisión, ejecución y reporte en la gestión de riesgos, enmarcadas en el Sistema de Gestión Integrado de Riesgos, de acuerdo con lo siguiente:
Junta Directiva:
- Aprobar el Código de Ética y Conducta y los lineamientos de “Sistema Programa de Cumplimiento” que incluye el Sistema de gestión integrado de riesgos, Sistema de control interno y el Sistema de Gestión de Cumplimiento.
- Asegurar la efectividad de los sistemas de control interno y de gestión de riesgos.
Comité de Auditoría y Riesgos de Junta Directiva:
- Verificar el establecimiento del Sistema de Gestión de Riesgos, el cual debe comprender la identificación, valoración, tratamiento y monitoreo de los riesgos de la Sociedad, su materialización y el respectivo análisis sobre los impactos de la eventual materialización de riesgos.
- Analizar y recomendar a la Junta Directiva la aprobación del Mapa de Riesgos Empresariales de Ecopetrol S.A., de acuerdo con los objetivos estratégicos y realizar seguimiento al estado de su gestión.
- Recomendar a la Junta Directiva la aprobación de los lineamientos de retención, transferencia y mitigación de riesgos financieros, incluidos los seguros para el Grupo Ecopetrol S.A.
- Aprobar el Plan General de Auditoría (PGA) basado en el mapa de riesgos empresariales, asegurando la adopción de estándares y aplicación de prácticas internacionales de auditoría de general aceptación y hacer seguimiento.
Presidencia:
- Establecer, mantener y evaluar la efectividad de los Sistemas de Control Interno y Gestión integrado de riesgos de la compañía. Y presentar para aprobación de la Junta Directiva, junto con el Oficial de Cumplimiento, los lineamientos del “Sistema Programa Cumplimiento” y los reportes de su efectividad.
Vicepresidencias, Direcciones y Gerencias:
- Proveer los recursos necesarios para la aplicación de las metodologías para la gestión de los tipos de riesgos a su cargo.
- Revisar y hacer seguimiento de las medidas para la gestión de los riesgos.
- Reportar la información requerida para el monitoreo del Sistema de Gestión Integrado de Riesgos.
Dirección Corporativa de Cumplimiento:
Liderar el Sistema de Gestión Integrado de Riesgos, como área independiente (rol de segunda línea), a través de la Gerencia de Gestión de Riesgos (GIR), asegurando el diseño, implementación, administración, sostenimiento y mejora continua del SRI. Así mismo, frente a las compañías del Grupo, ejercer el gobierno, orientar, emitir lineamientos, definir prácticas y hacer seguimiento a la gestión de riesgos, con el fin de unificar los lineamientos y favorecer las sinergias, con el objetivo de contar con un proceso de toma de decisiones oportunas y adecuadas.
Gerencia de Gestión de Riesgos:
Diseñar, implementar, administrar y sostener el Sistema de Gestión Integrado de Riesgos para el Grupo Ecopetrol, así como definir lineamientos del Sistema y de los ciclos de gestión de riesgos del nivel estratégico y táctico.
Todos los colaboradores de Ecopetrol S.A.:
Son responsables de llevar a cabo las tareas diarias con compromiso, rigurosidad, atención al detalle y son quienes deben identificar, evaluar, tratar, controlar y comunicar los riesgos a los que estamos expuestos, en cumplimiento de los principios, marco y proceso del SRI y en observancia del Código de Ética y Conducta.
Dirección de Auditoría Interna:
Proveer actividades de aseguramiento y servicios de consultoría de manera independiente y objetiva diseñados para agregar valor y contribuir activamente en el mejoramiento de las operaciones de la Sociedad; a través de la utilización de un enfoque sistémico y disciplinado para evaluar la eficacia y eficiencia de los procesos de gestión de riesgos, control y gobierno.
Apetito al riesgo hace referencia a cuánto riesgo está dispuesta a asumir la compañía en el logro de los objetivos y orienta la toma de decisiones basadas en riesgos.
La expresión de apetito de riesgo de Ecopetrol se enmarca en la estrategia de la compañía y en el Código de Buen Gobierno.
Tolerancia al riesgo indica los resultados o variaciones aceptables en relación con el logro de los objetivos. Algunos riesgos de tolerancia cero en Ecopetrol son:
- Muertes en el ejercicio de las actividades de la empresa.
- Prácticas contrarias al Código de Ética y Conducta del Grupo Ecopetrol.
- Prácticas contrarias a la normativa relacionada con el medio ambiente, la integridad de las personas, las comunidades y otros grupos de interés, entre otros.
Además, existen algunos parámetros que complementan el apetito de riesgo de la compañía:
- Parámetros estratégicos de riesgo: Por ejemplo, nuevos productos que se introducirán, productos que se evitarán y enfoque de inversión para gastos de capital.
- Parámetros de riesgo financiero: Por ejemplo, el nivel máximo aceptable de pérdida o variación en el rendimiento, incluida la variabilidad de las ganancias por acción, el crecimiento / margen del flujo de efectivo libre, las ganancias antes de intereses e impuestos / margen, el rendimiento de los activos, el porcentaje de retorno del EBITDA.
- Parámetros de riesgo operacional: Por ejemplo, respuesta de sostenibilidad esperada, requisitos ambientales existentes / proyectados, objetivos de seguridad, objetivos de calidad y criterios y concentraciones del cliente.
En el marco del Sistema de Gestión Integrado de Riesgos, según el nivel en el que se administran, los riesgos se clasifican en estratégicos, tácticos y operativos.
En cada uno de estos niveles se gestionan riesgos de acuerdo con las normativas y estándares específicos adoptados.
Algunos ejemplos de los riesgos gestionados en el nivel operativo:
- Riesgos en oportunidades de nuevos negocios, en la gestión de las nuevas oportunidades de inversión y desinversión.
- Riesgos de comercialización en cuanto al mercado nacional e internacional.
- Riesgos de proyectos.
- Riesgo en actividades exploratorias.
- Riesgos financieros - crédito, liquidez, mercado.
- Riesgo en la gestión de ciberseguridad y fuga de información.
- Riesgos HSE - Salud ocupacional, ambiental, seguridad industrial, seguridad de procesos.
- Riesgos de cumplimiento - riesgos de fraude, riesgos de lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.
El proceso de la gestión de riesgos se enmarca en la aplicación sistemática del Ciclo Único de Gestión de Riesgos para todos los tipos de riesgos de la organización en el nivel estratégico, táctico y operativo.
Este debe ser ejecutado para todas las tipologías de riesgo, siempre direccionado al logro de objetivos, considerando el contexto interno y externo, pero con las particularidades que le apliquen según sus propios referentes metodológicos.
CICLO DE GESTIÓN DE RIESGOS
El ciclo único de gestión de riesgos se ejecuta partiendo de las siguientes etapas que orientan las actividades sistemáticas a desarrollar:
- Planear: Definición de alcance de las actividades y análisis de contexto interno y externo.
- Identificar: Identificación de los riesgos con base en los puntos de vista de las personas involucradas y en el análisis de información.
- Evaluar: Análisis de causas y consecuencias. Valoración según probabilidad e impacto.
- Tratar: Selección e implementación de opciones para abordar el riesgo.
- Comunicación, seguimiento y registro: Intercambio de información, retroalimentación, seguimiento continuo y revisión periódica de la exposición al riesgo, por medio de la identificación de alertas, verificación de la ejecución de los mitigantes y aseguramiento de acciones frente a las materializaciones presentadas, con el fin de mantener los riesgos dentro de los niveles definidos de tolerancia y aceptación.
Ecopetrol aplica la matriz de valoración de riesgos que contiene escalas descriptivas de probabilidad de ocurrencia e impactos en dimensiones como personas, medio ambiente, recursos económicos, reputación y clientes.
Según la combinación de probabilidad e impacto, los niveles de riesgo son: Muy Alto, Alto, Medio, Bajo y Muy Bajo.
La Matriz establece:
- Zona de no tolerancia: en la que se debe gestionar el riesgo.
- Zona de tolerancia con controles: en la que el riesgo se gestiona a través de medidas de mitigación.
- Zona de aceptación: en la que el riesgo es asumido por la empresa.
La evaluación de riesgos considera la magnitud de las consecuencias y su probabilidad de ocurrencia, obteniendo información básica para priorizar los riesgos y tomar decisiones con respecto al tratamiento.
Esta evaluación del riesgo incluye el cálculo del nivel de riesgo inherente y residual, de acuerdo con las escalas de probabilidad e impactos, y los niveles de tolerancia y aceptación definidos en la Matriz de Valoración de Riesgos.
El Mapa de Riesgos Empresariales refleja los eventos que, a juicio de la Junta Directiva y de la Alta Dirección de Ecopetrol S.A., podrían desviar a la compañía del logro de los objetivos estratégicos y/o del tablero balanceado de gestión de la organización.
Ecopetrol realiza la revisión y actualización del mapa periódicamente.
A continuación, el Mapa de Riesgos Empresariales vigente de Ecopetrol S.A.:
Consulta más información sobre los riesgos empresariales.
Consulta más información sobre los riesgos empresariales vigentes
Ecopetrol define los riesgos emergentes como aquellos que podrían tener impacto a largo plazo en la empresa (3-5 o más años) o, en algunos casos, es posible que ya hayan empezado a tener impactos para la compañía.
A partir del análisis efectuado se identificaron las tendencias emergentes para Ecopetrol, clasificadas en las categorías: Social, Ambiental, Económico, Tecnológico y Geopolítico.
A partir de estas tendencias, los riesgos emergentes fueron identificados y evaluados, como se muestra a continuación:
