Web Content Viewer
Actions
buscador
Actions
Gestión de riesgos de Ecopetrol
Actions
Gestión de riesgos de Ecopetrol
May 13, 2026
El código de Buen Gobierno de Ecopetrol declara dentro de las mejores prácticas de transparencia, gobernabilidad y control a la gestión de riesgos así:
“ECOPETROL está inmersa en una industria muy dinámica y de alta incertidumbre, por lo cual debe gestionar integralmente los riesgos y el control interno para aprovechar las oportunidades que se presenten y mitigar efectos adversos a los intereses de la Sociedad. La gestión integral de riesgos en ECOPETROL busca trazar los lineamientos generales para la administración de riesgos y consolidar una cultura que permita tomar decisiones informadas, contemplando los posibles eventos que impacten positiva o negativamente los objetivos de la Sociedad”.
Para ampliar esta información consulta aquí:
Qué es Riesgo
Para Ecopetrol S.A., riesgo es el efecto de la incertidumbre sobre el cumplimiento de los objetivos de la compañía, considerando el efecto como la desviación positiva, negativa o ambas (amenazas y oportunidades) frente a lo previsto. El riesgo puede ser expresado en términos de fuentes de riesgo, eventos potenciales, probabilidad y/o impacto.
Así mismo, oportunidades son las desviaciones positivas de los objetivos, identificadas y gestionadas mediante el ciclo único de gestión de riesgos, en los niveles estratégico, táctico y operativo.
Gestión de riesgos en la cadena de valor
La gestión de riesgos en la cadena de valor de Ecopetrol S.A. se incorpora de manera inherente a la ejecución de sus actividades. La compañía incorpora la gestión de riesgos como un elemento esencial en su proceso de toma de decisiones, garantizando que cada una se fundamente en un entendimiento claro de la incertidumbre, sus impactos y su coherencia con los niveles de apetito definidos. Este enfoque promueve decisiones más informadas, consistentes y sostenibles, alineadas con la estrategia y los objetivos corporativos.
Para ello, Ecopetrol S.A. cuenta con lineamientos orientados a la identificación, evaluación, tratamiento y monitoreo de los riesgos en el desarrollo de sus iniciativas, productos y servicios, que integran la gestión de riesgos a las actividades de su cadena de valor, como parte de los análisis y toma de decisiones por parte de los trabajadores en los diferentes niveles de la organización.
Este enfoque promueve la consideración de factores de riesgo por parte de los trabajadores durante el análisis, estructuración y ejecución de tareas e iniciativas, contribuyendo a una gestión preventiva alineada con nuestros objetivos corporativos.
La cultura de gestión integrada de riesgos se fundamenta en la toma de decisiones informada y la responsabilidad compartida de la gestión de los diferentes riesgos en todos los niveles de la organización, para asegurar razonablemente que estos sean gestionados de una manera preventiva.
La Compañía promueve una cultura que:
- Reconoce el riesgo como parte inherente de su actividad y lo gestiona de forma oportuna.
- Fomenta la comunicación y el reporte transparente, permitiendo la generación de alertas tempranas.
- Integra el conocimiento y fortalece capacidades mediante el aprendizaje continuo como práctica sistemática de la gestión de riesgos.
- Establece expectativas claras sobre la conducta esperada frente a la toma de decisiones basadas en riesgos.
- Incentiva comportamientos alineados al apetito de riesgo.
- Promueve que la gestión de riesgos sea percibida como una práctica de generación de valor.
- Orienta a la corresponsabilidad porque la gestión de riesgos es un asunto gestionado por toda la organización.
La cultura de gestión de riesgos se promueve mediante la formación continua, la comunicación transversal y recurrente, el liderazgo y el seguimiento de las mejores prácticas.
Capacitación, entrenamiento y aprendizaje continuo
Junta Directiva: Con el propósito de consolidar una cultura basada en riesgos, todos los miembros de la Junta Directiva reciben formación periódica en gestión de riesgos, combinando espacios guiados por expertos y contenidos desarrollados internamente. Los temas abordan la relación entre riesgos, gobierno corporativo y toma de decisiones estratégicas, así como tendencias del entorno y riesgos asociados a tecnologías emergentes, incluyendo inteligencia artificial, entre otros.
Fuerza Laboral: A lo largo del año se promueven acciones de sensibilización y entrenamiento para fortalecer capacidades en la gestión integral de riesgos, incluyendo el ciclo de gestión de riesgos empresariales y emergentes, la gestión de oportunidades, y la adopción de prácticas de riesgos a nivel de Grupo. Este despliegue se complementa con un itinerario virtual institucional, alineado con ISO 31000, que refuerza criterios y responsabilidades comunes, y hace parte del proceso formativo tanto para personal vigente como para nuevos ingresos.
Incentivos alineados al apetito de riesgo.
Para fomentar una cultura de riesgos en la compañía, se han diseñado incentivos financieros vinculados al cumplimiento de objetivos que se relacionan directamente con riesgos empresariales.
La compensación variable es un componente clave del paquete total de remuneración, diseñado para alinear a los trabajadores con los objetivos estratégicos anuales, medidos a través del Tablero Balanceado de Gestión (TBG). Este esquema considera desempeño financiero, operativo, ético y factores críticos de gestión de riesgos.
En este sentido, los incentivos se asocian a riesgos que la compañía ha identificado como estratégicos, tales como “Accidentes mayores con consecuencias humanas, ambientales y operativas” o “Conductas contrarias al marco normativo de ética y cumplimiento”. Para ello, la organización contempló en la compensación variable anual de los trabajadores de Ecopetrol S.A., indicadores específicos en la evaluación del desempeño en todos los niveles jerárquicos:
- HSE (Salud, Seguridad y Medio Ambiente): Fatalidades o incidentes ambientales;
- ii) Eventos éticos o fallos disciplinarios y
- iii) Fallas de control interno reportados por el Auditor externo
Este enfoque permite que la gestión preventiva y la responsabilidad individual y colectiva estén directamente vinculadas a los objetivos estratégicos y a la mitigación de riesgos.
El Sistema de Gestión Integrado de Riesgos (SRI) se basa en la norma ISO 31000: 2009 y por medio de este se establecen el conjunto de principios, el marco de referencia y el proceso (Ciclo único de Gestión de Riesgos) que permiten a la organización gestionar los efectos de la incertidumbre sobre el cumplimiento de los objetivos, con el fin de maximizar las oportunidades y ayudar en el establecimiento de estrategias, logro de objetivos y toma de decisiones informadas, según se muestra a continuación:
Este sistema es liderado por la Dirección Corporativa de Cumplimiento a través de la Gerencia de Gestión de Riesgos y es supervisado por la Junta Directiva a través de su Comité de Auditoría y Riesgos, de acuerdo con los roles y responsabilidades detallados a continuación.
En el marco del Sistema de Gestión Integrado de Riesgos, según el nivel en el que se administran, los riesgos se clasifican en estratégicos, tácticos y operativos.
En cada uno de estos niveles se gestionan riesgos de acuerdo con las normativas y estándares específicos adoptados.
Algunos ejemplos de los riesgos gestionados en el nivel operativo:
- Riesgos en oportunidades de nuevos negocios, en la gestión de las nuevas oportunidades de inversión y desinversión.
- Riesgos de comercialización en cuanto al mercado nacional e internacional.
- Riesgos de proyectos.
- Riesgo en actividades exploratorias.
- Riesgos financieros - crédito, liquidez, mercado.
- Riesgo en la gestión de ciberseguridad y fuga de información.
- Riesgos HSE - Salud ocupacional, ambiental, seguridad industrial, seguridad de procesos.
- Riesgos de cumplimiento - riesgos de fraude, riesgos de lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.
El proceso de la gestión de riesgos se enmarca en la aplicación sistemática del Ciclo Único de Gestión de Riesgos para todos los tipos de riesgos de la organización en el nivel estratégico, táctico y operativo.
Este debe ser ejecutado para todas las tipologías de riesgo, siempre direccionado al logro de objetivos, considerando el contexto interno y externo, pero con las particularidades que le apliquen según sus propios referentes metodológicos.
CICLO DE GESTIÓN DE RIESGOS
El ciclo único de gestión de riesgos se ejecuta partiendo de las siguientes etapas que orientan las actividades sistemáticas a desarrollar:
- Planear: Definición de alcance de las actividades y análisis de contexto interno y externo.
- Identificar: Identificación de los riesgos con base en los puntos de vista de las personas involucradas y en el análisis de información.
- Evaluar: Análisis de causas y consecuencias. Valoración según probabilidad e impacto.
- Tratar: Selección e implementación de opciones para abordar el riesgo.
- Comunicación, seguimiento y registro: Intercambio de información, retroalimentación, seguimiento continuo y revisión periódica de la exposición al riesgo, por medio de la identificación de alertas, verificación de la ejecución de los mitigantes y aseguramiento de acciones frente a las materializaciones presentadas, con el fin de mantener los riesgos dentro de los niveles definidos de tolerancia y aceptación.
Apetito al riesgo hace referencia a cuánto riesgo está dispuesta a asumir la compañía en el logro de los objetivos y orienta la toma de decisiones basadas en riesgos.
La expresión de apetito de riesgo de Ecopetrol se enmarca en la estrategia de la compañía y en el Código de Buen Gobierno.
Tolerancia al riesgo indica los resultados o variaciones aceptables en relación con el logro de los objetivos. Algunos riesgos de tolerancia cero en Ecopetrol son:
- Muertes en el ejercicio de las actividades de la empresa.
- Prácticas contrarias al Código de Ética y Conducta del Grupo Ecopetrol.
- Prácticas contrarias a la normativa relacionada con el medio ambiente, la integridad de las personas, las comunidades y otros grupos de interés, entre otros.
Además, existen algunos parámetros que complementan el apetito de riesgo de la compañía:
- Parámetros estratégicos de riesgo: Por ejemplo, nuevos productos que se introducirán, productos que se evitarán y enfoque de inversión para gastos de capital.
- Parámetros de riesgo financiero: Por ejemplo, el nivel máximo aceptable de pérdida o variación en el rendimiento, incluida la variabilidad de las ganancias por acción, el crecimiento / margen del flujo de efectivo libre, las ganancias antes de intereses e impuestos / margen, el rendimiento de los activos, el porcentaje de retorno del EBITDA.
- Parámetros de riesgo operacional: Por ejemplo, respuesta de sostenibilidad esperada, requisitos ambientales existentes / proyectados, objetivos de seguridad, objetivos de calidad y criterios y concentraciones del cliente.
Ecopetrol aplica la matriz de valoración de riesgos que contiene escalas descriptivas de probabilidad de ocurrencia e impactos en dimensiones como personas, medio ambiente, recursos económicos, reputación y clientes.
Según la combinación de probabilidad e impacto, los niveles de riesgo son: Muy Alto, Alto, Medio, Bajo y Muy Bajo.
La Matriz establece:
- Zona de no tolerancia: en la que se debe gestionar el riesgo.
- Zona de tolerancia con controles: en la que el riesgo se gestiona a través de medidas de mitigación.
- Zona de aceptación: en la que el riesgo es asumido por la empresa.
La evaluación de riesgos considera la magnitud de las consecuencias y su probabilidad de ocurrencia, obteniendo información básica para priorizar los riesgos y tomar decisiones con respecto al tratamiento.
Esta evaluación del riesgo incluye el cálculo del nivel de riesgo inherente y residual, de acuerdo con las escalas de probabilidad e impactos, y los niveles de tolerancia y aceptación definidos en la Matriz de Valoración de Riesgos.
De acuerdo con el Código de Buen Gobierno de Ecopetrol S.A., “ECOPETROL ha establecido una estructura organizacional que soporta la gestión de riesgos y el Sistema de Control Interno, asignando responsabilidades específicas a la Junta Directiva, el CAJD, el Presidente y el área de gestión de riesgos y Control Interno de la Vicepresidencia de Cumplimiento de ECOPETROL”.
En efecto, Ecopetrol S.A. define responsabilidades de supervisión, ejecución y reporte en la gestión de riesgos, enmarcadas en el Sistema de Gestión Integrado de Riesgos, de acuerdo con lo siguiente:
Junta Directiva:
- Aprobar el Código de Ética y Conducta y los lineamientos de “Sistema Programa de Cumplimiento” que incluye el Sistema de gestión integrado de riesgos, Sistema de control interno y el Sistema de Gestión de Cumplimiento.
- Asegurar la efectividad de los sistemas de control interno y de gestión de riesgos.
Comité de Auditoría y Riesgos de Junta Directiva:
- Verificar el establecimiento del Sistema de Gestión de Riesgos, el cual debe comprender la identificación, valoración, tratamiento y monitoreo de los riesgos de la Sociedad, su materialización y el respectivo análisis sobre los impactos de la eventual materialización de riesgos.
- Analizar y recomendar a la Junta Directiva la aprobación del Mapa de Riesgos Empresariales de Ecopetrol S.A., de acuerdo con los objetivos estratégicos y realizar seguimiento al estado de su gestión.
- Recomendar a la Junta Directiva la aprobación de los lineamientos de retención, transferencia y mitigación de riesgos financieros, incluidos los seguros para el Grupo Ecopetrol S.A.
- Aprobar el Plan General de Auditoría (PGA) basado en el mapa de riesgos empresariales, asegurando la adopción de estándares y aplicación de prácticas internacionales de auditoría de general aceptación y hacer seguimiento.
Presidencia:
- Establecer, mantener y evaluar la efectividad de los Sistemas de Control Interno y Gestión integrado de riesgos de la compañía. Y presentar para aprobación de la Junta Directiva, junto con el Oficial de Cumplimiento, los lineamientos del “Sistema Programa Cumplimiento” y los reportes de su efectividad.
Vicepresidencias, Direcciones y Gerencias:
- Proveer los recursos necesarios para la aplicación de las metodologías para la gestión de los tipos de riesgos a su cargo.
- Revisar y hacer seguimiento de las medidas para la gestión de los riesgos.
- Reportar la información requerida para el monitoreo del Sistema de Gestión Integrado de Riesgos.
Dirección Corporativa de Cumplimiento:
Liderar el Sistema de Gestión Integrado de Riesgos, como área independiente (rol de segunda línea), a través de la Gerencia de Gestión de Riesgos (GIR), asegurando el diseño, implementación, administración, sostenimiento y mejora continua del SRI. Así mismo, frente a las compañías del Grupo, ejercer el gobierno, orientar, emitir lineamientos, definir prácticas y hacer seguimiento a la gestión de riesgos, con el fin de unificar los lineamientos y favorecer las sinergias, con el objetivo de contar con un proceso de toma de decisiones oportunas y adecuadas.
Gerencia de Gestión de Riesgos:
Diseñar, implementar, administrar y sostener el Sistema de Gestión Integrado de Riesgos para el Grupo Ecopetrol, así como definir lineamientos del Sistema y de los ciclos de gestión de riesgos del nivel estratégico y táctico.
Todos los colaboradores de Ecopetrol S.A.:
Son responsables de llevar a cabo las tareas diarias con compromiso, rigurosidad, atención al detalle y son quienes deben identificar, evaluar, tratar, controlar y comunicar los riesgos a los que estamos expuestos, en cumplimiento de los principios, marco y proceso del SRI y en observancia del Código de Ética y Conducta.
Dirección de Auditoría Interna:
Proveer actividades de aseguramiento y servicios de consultoría de manera independiente y objetiva diseñados para agregar valor y contribuir activamente en el mejoramiento de las operaciones de la Sociedad; a través de la utilización de un enfoque sistémico y disciplinado para evaluar la eficacia y eficiencia de los procesos de gestión de riesgos, control y gobierno.
El Mapa de Riesgos Empresariales refleja los eventos que, a juicio de la Junta Directiva y de la Alta Dirección de Ecopetrol S.A., podrían desviar a la compañía del logro de los objetivos estratégicos y/o del tablero balanceado de gestión de la organización.
Ecopetrol realiza la revisión y actualización del mapa periódicamente.
A continuación, el Mapa de Riesgos Empresariales vigente de Ecopetrol S.A.:
Consulta más información sobre los riesgos empresariales.
Consulta más información sobre los riesgos empresariales vigentes
Ecopetrol define los riesgos emergentes como aquellos que podrían tener impacto a largo plazo en la empresa (3-5 o más años) o, en algunos casos, es posible que ya hayan empezado a tener impactos para la compañía.
A partir del análisis efectuado se identificaron las tendencias emergentes para Ecopetrol, clasificadas en las categorías: Social, Ambiental, Económico, Tecnológico y Geopolítico.
A partir de estas tendencias, los riesgos emergentes fueron identificados y evaluados, como se muestra a continuación:
